Archives par mot-clé : sécurité

Cybersécurité

Les e-mails contrefaits mis en péril : DMARC

Pour lutter contre les fraudes par les e-mails, des technologies d’authentification ont été mises en place. Dans cet article, nous parlerons de l’une des technologies d’authentification les plus utilisées : le DMARC.

Le DMARC : qu’est-ce que c’est ?

DMARC est l’acronyme anglais pour Domain Based Authentication, Reporting, and Conformance. C’est une technologie mise en place afin de lutter contre les fraudes par e-mail. Il s’agit entre autres des e-mails contrefaits, des spams, du phishing, etc.

Petit historique de DMARC : des débuts à nos jours

Sous l’égide de dmarc.org et dmarc.fr, plusieurs organisations se sont mises ensemble pour élaborer le DMARC. On les catégorise en deux groupes : les émetteurs et les destinataires.

Au niveau des émetteurs, nous avons : Facebook, PayPal, Twitter, LinkedIn, Fidelity Investments, American Greetings, Bank of America, JPMorganChase, etc. Quant aux destinataires, il s’agit de Google, Yahoo, Microsoft, Yandex, AOL, Mail.Ru, Netease, Comcast.

Dès son élaboration, le DMARC a mis du temps à décoller. Les grandes entreprises sont longtemps restées réticentes quant à son adoption. Il s’agit notamment de certaines entreprises du Fortune 500, de Chine et bien d’autres à travers le monde.

Cependant, force est de constater qu’on assiste depuis quelques temps à une certaine prise de conscience, certes lente, des entreprises. En effet, le taux d’adoption de DMARC au niveau des entreprises a connu un regain ces deux dernières années.

Le taux d’adoption, aujourd’hui, est nettement supérieur à celui des années antérieures.

DMARC : comment marche ce processus d’authentification ?

DMARC est une spécification qui complète SPF et DKIM. Ainsi, elle entre en œuvre en cas d’échec de ces deux protocoles et permet de déterminer la meilleure politique à appliquer. Il existe 3 politiques parmi lesquelles DMARC identifie les cas de non-correspondance des e-mails :

None/aucun : dans ce cas, aucune action spécifique n’est recommandée. La politique locale est donc appliquée. L’e-mail est reçu et traité comme il le serait s’il n’y avait pas DMARC ;

Quarantine/quarantaine : L’e-mail est reçu par le destinataire, mais n’est pas directement placé dans la boite de réception. Il est plutôt placé dans les spams ou courriers indésirables ;

Reject/rejet : l’e-mail est tout simplement rejeté ou détruit par le serveur destinataire.

Comment configurer DMARC ?

Pour pouvoir configurer les paramètres d’authentification DMARC de votre domaine, il vous faut vous assurer que SPF et DKIM sont bien implémentés. Après cela, vous devez accéder aux enregistrements DNS de votre compte d’hébergement.

À ce niveau, il vous faut ajouter ou modifier l’enregistrement DNS auprès de votre fournisseur. Cela se présente sous la forme d’une ligne de texte de format .TXT dans laquelle vous définissez laquelle des 3 politiques doit être appliquée.

DMARC : importance et avantages

Le DMARC est une spécification technique qui fait suite à DKIM et à SPF. En effet, mettre en place le DMARC offre de multiples avantages aussi bien pour les expéditeurs que les destinataires. Il existe plusieurs niveaux de configuration du DMARC, et chaque niveau a ses avantages.

Lorsque DMARC n’est pas configuré sur votre domaine, ce dernier est vulnérable aux attaques des pirates et autres individus malintentionnés. Ils pourront alors facilement s’introduire dans votre réseau pour effectuer leurs méfaits.

Ils pourront, par exemple, se faire passer pour vous ou l’un des membres de votre organisation auprès de vos employés, de vos clients, de vos fournisseurs, etc.

DMARC vous permet de limiter les risques d’hameçonnage, de spams et de faux positifs pour le destinataire. Pour cela, il indique au destinataire la bonne conduite de sécurité à tenir en cas de doute sur la fiabilité du message. De plus, DMARC est gratuit et facile à configurer.

En quoi DMARC permet-il de lutter contre les e-mails contrefaits et les fraudes ?

Contrairement à ses prédécesseurs (SPF et DKIM), DMARC prend en compte dans son processus des informations sur les domaines des destinataires. Cela lui permet d’être plus efficace et de renforcer la sécurité lors des échanges d’e-mails.

L’expéditeur met en place le DMARC tout en précisant au destinataire la réaction à avoir vis-à-vis de tout e-mail qui ne respecterait pas ses normes (l’expéditeur). Il peut s’agir de la destruction ou de la mise en quarantaine de l’e-mail en question.

Cette politique permet également aux destinataires d’envoyer un rapport au domaine de l’expéditeur pour spécifier que les e-mails passent ou non.

Mise à jour, Patch

112 vulnérabilités dont 17 critiques affectant notamment les codecs Windows, le système NFS de fichiers en réseau et les postes de travail, ainsi que des correctifs Adobe

Le Patch Tuesday de ce mois de novembre 2020 traite 112 vulnérabilités dont 17 classées comme critiques. Ces 17 vulnérabilités critiques concernent les codecs Windows, le système NFS de fichiers en réseau, Sharepoint, le spouler d’impression Windows ainsi que les postes de travail. De son côté, Adobe a publié des correctifs pour Acrobat Connect et Adobe Reader pour Android.

Corriger les vulnérabilités affectant les codecs Windows, GDI+, les navigateurs, Office et Exchange Server sont une priorité pour les équipements de type poste de travail, c’est-à-dire tout système utilisé pour accéder à la messagerie ou à Internet depuis un navigateur. Les serveurs multi-utilisateurs faisant office de postes de travail distants sont également concernés.

RCE dans SharePoint

Microsoft a corrigé six vulnérabilités dans SharePoint dont l’une est susceptible de déclencher une exécution de code à distance.(CVE-2020-17061). Trois de ces vulnérabilités ((CVE-2020-17016, CVE-2020-17015 et CVE-2020-17060) provoquent des problèmes d’émulation tandis que deux autres (CVE-2020-16979, CVE-2020-17017) entraînent des divulgations d’informations. La dernière (CVE-2020-17061) est une vulnérabilité par exécution de code à distance. Pour cette raison, il est hautement recommandé de privilégier l’application de ces correctifs sur tous les déploiements SharePoint.
Élévation de privilèges au sein du noyau Windows

Même si elle n’est indiquée que comme importante, une vulnérabilité est exploitée de manière active (CVE-2020-17087) dans Microsoft Windows. Cette vulnérabilité facilitant l’élévation de privilèges a été divulguée publiquement par Google fin octobre. Selon Mateusz Jurczyk et Sergei Glazunov, chercheurs en sécurité de l’équipe Project Zero de Google, ce bug permet à un attaquant de remonter des privilèges dans Windows. Ce correctif doit être déployé en priorité sur tous les équipements Windows.

RCE dans le système de fichiers en réseau (NFS) de Windows

Microsoft a corrigé une vulnérabilité (CVE-2020-17051) dans le système NFS (Network File System) de Windows. Cette CVE, qui a obtenu une score CVSS de 9,8, se caractérise par une attaque peu complexe à lancer et ne nécessitant pas l’interaction de l’utilisateur. Cette vulnérabilité peut éventuellement se propager sous la forme de ver et doit donc être résolue en priorité.
RCE dans le service de spouleur d’impression

Microsoft a également corrigé une vulnérabilité par exécution de code à distance (CVE-2020-17042) dans le spouleur d’impression qui est susceptible d’entraîner une élévation de privilèges. L’exploitation de cette vulnérabilité exige l’interaction de l’utilisateur, mais elle se caractérise par une attaque de faible complexité, ce qui augmente le risque de compromission. Ce correctif doit être déployé en priorité.

Adobe

Adobe a publié des correctifs pour résoudre de nombreuses vulnérabilités au sein du Reader pour Android et d’ Adobe Connect. Les patches pour Reader et Connect sont de Priorité 3.

Même si aucune des vulnérabilités rapportées par Adobe n’est a priori activement attaquée pour l’instant, tous les correctifs doivent être déployés en priorité sur les systèmes où ces produits sont installés.

Communiqué de presse

CMS Drupal : 10 précautions à prendre pour une sécurité maximale

Drupal figure aujourd’hui parmi les CMS les plus utilisés pour développer des sites internet. Sa rapidité, sa flexibilité et sa fiabilité font de lui le logiciel Open Source le plus prisé des grandes entreprises internationales. Autant dire qu’il est particulièrement sécurisé ! Cependant, des méthodes supplémentaires peuvent être appliquées pour augmenter encore sa résistance aux attaques. Voici 10 précautions à prendre pour encore plus de sécurité.

Drupal permet de créer des sites web aussi variés que des sites vitrine, marchands ou institutionnels, c’est pourquoi, à l’image de l’ agence drupal ITSS, bon nombre d’agences web spécialistes de création de site ou de développement spécifique choisissent, pour leurs clients, des solutions utilisant ce CMS.

Dix conseils pour plus de sécurité avec Drupal

Pour augmenter encore plus la sécurité avec drupal, et protéger son site au maximum, il est recommandé de prendre ces dix précautions supplémentaires.

1. Maintenir un nombre minimal de comptes administrateurs et enlever les utilisateurs inactifs

2. Installer des modules que la communauté Drupal a approuvé. En effet, celle-ci teste et corrige les failles détectées (plus ou moins rapidement cependant). Parmi les modules de sécurité, on retrouve Password Policy, Security Review, Kit de sécurité, Username Enumeration Prevention, Generate Password.

3. Patcher régulièrement les modules installés. En effet, ces derniers contiennent souvent des correctifs de sécurité. Drupal et ses modules doivent être à jour.

4. Choisir un bon hébergeur, qui a des mesures de sécurité qui résistent. Il est important qu’il fasse des sauvegardes régulières des sites. De même, l’utilisateur doit aussi faire des sauvegardes régulières de son site.

5. Mettre en place un certificat SSL afin de sécuriser les communications client-serveur via le protocole HTTPS.

6. Installer une protection anti-DDoS.

7. Vérifier de façon régulière les rapports d’état de Drupal pour avoir une idée de la sécurité de son site.

8. Utiliser des mots de passe forts et les changer régulièrement.

9. Utiliser l’authentification à double facteur.

10. Enlever les modules qui ne servent pas.

Drupal et ses modules

L’environnement Drupal propose un éco-systéme de modules et autres plugins. Pensez, pour la sécurité de votre espace de travail à la double authentification. Cette fameuse authentification à deux facteurs qui devient, aujourd’hui, indispensable.
Comme vous le savez, pour vous connecter, il vous est réclamé vos identifiants de connexion : login et mot de passe. Avec cette double authentification (2fa, TFA, …) il vous sera réclamé une seconde clé. Ainsi, en cas de vol de vos identifiants, sans la seconde étape de validation de connexion, point de passage possible pour le malveillant.
Pour cette option, vous devez possdéder l’extension mcrypt. Elle doit être installée pour utiliser le module TFA. Pourquoi ? Ce module stocke certaines données sensibles. Informations chiffrées à partir de  la bibliothèque php mcrypt.
Le second code dédiée à cette double authentification sera généra à partir de votre smartphone et d’une application dédiée comme celle proposée par Google.
Dernier point, et pas des moindres, lors de la mise en place de votre site, n’oubliez pas de sécuriser les comptes utilisateurs et de ne pas valider des comptes administrateurs à la pelle, ouvrant, en cas d’oublie, des portes possibles à des modifications non prévues. Les personnes autorisées se devront d’avoir un mot de passe fiable. Le module « password policy » devrait pouvoir les y aider. Il obligera les plus « feignants » à se créer un sésame digne de ce nom en définissant des politiques de mot de passe que vous aurez décidé : majuscules, chiffres, nombre de signes … Vous pourrez, par exemple, imposer deux majuscules dans un mot de passe ; quatre chiffres ; …
Il permet aussi de véfirier que le mot de passe n’a pas déjà été exploité via un historique proposé par le module. Il vérifie le mot de passe haché par rapport à une collection de mots de passe hachés précédents.
Entreprise

Les options de configuration : la boîte de Pandore des pirates

Les détails revêtent d’une importance cruciale en matière de sécurité d’entreprise. En effet, disposer seulement des meilleurs équipements technologiques ne suffisent plus à s’assurer une fiabilité totale.

Pour les pirates informatiques, l’environnement idéal pour une attaque est celui qui demande aussi peu d’effort que possible à infiltrer. Ces opportunités s’expliquent par des systèmes, des équipements peu ou mal configurés et entraînent une vulnérabilité totale de l’environnement et de ses données.

Voici les cinq principales erreurs de configuration qui peuvent entraîner des failles de sécurité.

1. Ne pas reconfigurer les identifiants par défaut

L’une des erreurs les plus courantes, et pourtant les plus évidentes, consiste à ne pas reconfigurer les noms d’utilisateur et les mots de passe par défaut des bases de données, des installations et des équipements. C’est un problème tellement basique qu’il est comparable à des clés laissées sur une porte verrouillée. Et quand cela arrive, les informations d’identification par défaut sont l’une des erreurs de configuration les plus faciles à exploiter.

Les scanners de vérification des mots de passe peuvent en effet permettre aux pirates d’accéder aux équipements clés du réseau, comme les pare-feu et les routeurs. Même les systèmes d’exploitation peuvent se trouver exposés à cause d’informations d’identification par défaut. Les attaques de force brute scriptées peuvent également fournir accès aux divers équipements en ciblant des noms d’utilisateur et des mots de passe par défaut, ou des options basiques comme « 12345 », « azerty » ou « password ».

Le processus est également automatisé jusqu’à un certain point. Les chercheurs ont récemment découvert un scanner web en Python appelé Xwo, en mesure de balayer facilement le web à la recherche de services web exposés et de mots de passe par défaut. Après avoir collecté les informations d’identification par défaut pour MySQL, MongoDB, Postgre SAL et Tomcat, le scanner transfère les résultats à un serveur de commande et contrôle pour poursuivre son action.

2. Retarder la mise à jour des logiciels

Les prestataires technologiques et les spécialistes de la sécurité répètent ce message essentiel à la sécurité depuis des années. Pourquoi ? Parce que c’est efficace. Des systèmes d’exploitation mis à jour à l’aide des derniers correctifs peuvent avoir un impact crucial sur la prévention des failles.
Certes, il peut être difficile de suivre le rythme des correctifs. Ces éléments peuvent changer tous les jours, et le défi s’étoffe à mesure que les environnements se complexifient. Mais si les administrateurs n’assurent pas une maintenance correcte sur le plan des correctifs, ils ne font qu’attendre un accident inévitable.

Et les attaquants continueront à exploiter les vieux bugs tant qu’ils seront efficaces. Bien que la détection et la prévention des vulnérabilités de type « Zéro Day » suscitent une attention justifiée, les vulnérabilités les plus couramment exploitées remontent, par comparaison, à l’âge de pierre du numérique.

3. Appliquer les mêmes mots de passe sur différents périphériques

Bien que des mots de passe forts et complexes constituent l’un des piliers de toute stratégie de sécurité basique, même lorsqu’ils sont mis en place, leur utilisation est discutable. Les environnements utilisent souvent le même compte utilisateur et le même mot de passe sur tous les périphériques d’un parc de terminaux.

L’une des principales raisons est que cela facilite la gestion. Mais, et c’est un inconvénient majeur, c’est également pratique pour les malveillants, et cela peut leur permettre de compromettre toutes les machines à partir d’une faille sur une seule d’entre elles. À partir de là, ils peuvent utiliser des programmes d’extraction des informations d’identification pour révéler les mots de passe, voire leurs hachages. C’est alors que les vrais problèmes commencent. La réutilisation des mots de passe doit être évitée à tout prix, et les comptes non indispensables doivent être désactivés avant de pouvoir fournir un accès.

4. La mauvaise configuration des interfaces à distance

Tout appareil en contact avec l’extérieur et connecté à Internet doit faire l’objet d’une protection particulièrement soignée. Des services tels que le protocole propriétaire RDP (Remote Desktop Protocol) développé par Microsoft peuvent fournir aux administrateurs une interface permettant de contrôler les ordinateurs à distance. Mais leur mauvaise configuration offre aux cybercriminels une possibilité d’accéder aux systèmes.

Par exemple, des ransomwares ont déjà ciblé les entreprises via des ports RDP ouverts, en utilisant des attaques par force brute et par dictionnaire. Les administrateurs doivent utiliser une combinaison de mots de passe forts et complexes, de pare-feu et de listes de contrôle d’accès pour réduire le risque de compromission.

5. Désactiver la journalisation ou la cape d’invisibilité des pirates

Bien que la désactivation de la journalisation ne permette pas nécessairement à un attaquant d’accéder à un système, cela lui permet d’agir en restant inaperçu sur la machine. Lorsque la journalisation est désactivée, les pirates informatiques peuvent se déplacer latéralement sur un réseau à la recherche de données ou d’actifs à exploiter, sans laisser de trace de leur activité.

Cela complique énormément le travail des analystes judiciaires et des intervenants en cas d’incident lorsqu’ils doivent reconstituer ce qui s’est produit lors d’un incident ou d’une intrusion. En revanche, il peut être très bénéfique d’activer la journalisation et d’en envoyer les données vers un emplacement centralisé, par exemple une plateforme de gestion des informations et des événements de sécurité (SIEM). Ces données fourniront les indices nécessaires aux analystes judiciaires lors d’une enquête pour reproduire l’attaque et comprendre l’ampleur de l’intrusion.

Tout périphérique, toute plateforme laissé(s) dans un état par défaut ou mal configuré facilite d’autant le travail d’un criminel. Bien que ces vulnérabilités n’entraînent pas nécessairement de problèmes tout de suite, les pirates informatiques les découvriront probablement à un moment donné et les exploiteront pour obtenir un accès non autorisé. La mise en place de configurations de sécurité appropriées pour protéger les applications, les serveurs et les bases de données peut aider les entreprises à préserver leurs données et leur éviter de devenir une cible facile.

Cybersécurité, IOT

Sécuriser l’IoT comme on protège son domicile

Un pirate informatique a récemment publié la liste des identifiants de connexion de 500 000 routeurs et objets connectés. Un grand classique ! Cependant, cela montre une fois de plus la facilité de la prise de contrôle de ces appareils.

Il devient impératif de protéger les objets connectés (routeurs, Iot, …) dont plus de 26 milliards sont attendus en 2020 dans le monde. Conçus pour simplifier notre quotidien, la vigilance est pourtant de mise comme le démontrent chaque jour de nouvelles cyber-attaques, surtout lorsque l’on introduit ces appareils dans nos foyers.

Philippe Alcoy, spécialiste de la sécurité chez NETSCOUT, rappelle que de nombreux objets connectés possèdent des microphones, des caméras ou des mouchards de localisation intégrés, qui diffusent des informations à notre insu, c’est pourquoi les consommateurs ne doivent pas seulement se fier aux fabricants et prendre les devants pour protéger leurs appareils. « Il est important de lire les politiques de confidentialité de l’entreprise et de savoir ce que ces appareils apprennent sur vous et votre famille. Les fournisseurs de services deviennent plus transparents et permettent aux consommateurs de refuser le partage de données. Nous devons tous être conscients des protections qu’ils offrent à cet égard. En comprenant les solutions qu’ils proposent, nous saurons quel fournisseur répond le mieux à nos besoins. En outre, avant d’offrir ou d’acquérir un appareil IoT, il est également essentiel de sécuriser nos réseaux domestiques contre les pirates, afin de protéger ses données et de préserver sa confidentialité. Or, le problème le plus récurrent est que la plupart des utilisateurs ne savent pas nécessairement comment s’y prendre, ou ne prennent simplement pas le temps, confiants envers leur fabriquant ou dans le fait que cela ne leur arrivera pas. Pourtant quelques pratiques simples permettraient de pallier ce problème.« 

On ne peut pas protéger ce qu’on ne connaît pas

Tout d’abord, partant du postulat qu’on ne peut pas protéger ce qu’on ne connaît pas, il est important de savoir combien d’appareils se trouvent connectés au réseau domestique. Une maison possède en moyenne huit appareils en réseau par personne, et ce nombre va continuer d’augmenter. Par exemple, les parents doivent accorder une attention toute particulière aux jouets de leurs enfants également connectés au réseau et dont un grand nombre possède des micros ou des caméras. Ensuite, il ne faut jamais utiliser les mots de passe par défaut fournis avec l’appareil. Ces derniers sont très connus et la première chose que le cybercriminel tentera pour prendre le contrôle de l’objet visé.

Sécuriser une bonne fois pour toutes ?

Par ailleurs, on aurait tort de penser qu’il est possible de configurer les objets connectés en mode ʺune bonne fois pour toutesʺ ; le fait d’être connectés à internet fait qu’ils doivent en effet être mis à jour régulièrement, bénéficier d’un système de mise à jour automatique et d’une authentification multifactorielle.

D’ailleurs, si l’appareil possède un micro intégré, l’utilisateur doit absolument prendre le temps d’en connaître le fonctionnement afin de savoir comment il enregistre et sa capacité – quantité et durée – de sauvegarde des enregistrements. Il faut savoir que toute demande formulée à son enceinte connectée est sauvegardée sur internet par son constructeur. C’est pourquoi activer les paramètres de sécurité qui bloquent l’enregistrement de la voix ne doit pas être une option. Enfin, dans la mesure du possible, il conviendrait de créer deux réseaux wifi domestiques sécurisés par mots de passe. Le premier pour les ordinateurs, les tablettes et smartphones.

Partage de connexion ?

Le second, pour les appareils IoT, le partage de mots de passe avec les proches, si nécessaire – sans pour autant accorder l’accès aux appareils à ses contacts. Il en va de même pour toute connexion aux routeurs.

Les recommandations de sécurité semblent infinies, pourtant les règles de base permettent de réduire drastiquement les risques de vols d’informations. A l’heure du tout connecté, se contenter d’une sécurité par défaut (routeurs, caméra, …) n’est pas la marche à suivre pour protéger sa vie privée, et il n’est plus possible d’attendre seulement une action du fabricant ou des spécialistes de la cybersécurité. Comme on verrouille sa porte en sortant de chez soi, il est impératif de verrouiller l’accès à ses objets connectés pour éviter, justement, qu’on ne s’introduise dans sa maison.

Cybersécurité, Securite informatique

Le rôle de la cybersécurité dans les environnements OT

Une étude commanditée auprès de Forrester Consulting révèle une exposition croissante des acteurs industriels aux cybermenaces, une des conséquences de leur transformation digitale. Le manque de collaboration entre les équipes IT (Information Technology) et celles en charge de l’informatique industrielle (OT – Operational Technology) constitue également un frein à la cybersécurité des entreprises qui souhaitent tirer pleinement parti de la convergence IT/OT pour augmenter leur compétitivité.

Les industriels se sont engagés dans la transformation digitale de leur outil de production, pour doper leur productivité et améliorer leur capacité à recueillir des données liées à leur processus de production. 66% des personnes interrogées indiquent que leurs usines disposent de réseaux IP et qu’elles utilisent des données en temps-réel dans le cadre de leur prise de décision. Cependant, ces réseaux IP génèrent de nouveaux risques de cybersécurité et une expansion de la surface d’attaque, comme le reconnaissent 73% des répondants. Dans le même temps, seule la moitié des répondants estime que leur outil de production est suffisamment préparé pour lutter efficacement contre les menaces de cybersécurité. Ceci laisse l’autre moitié plus vulnérable, d’autant que 55% des interrogés n’ont aucun projet de déployer des technologies de cybersécurité au cours des 12 prochains mois.

Autre constat important : les systèmes de contrôle industriel subissent un risque important, compte tenu du manque de collaboration entre l’IT et l’OT. 51% des personnes interrogées déclarent opérer de manière cloisonnée : les équipes OT gèrent ainsi les équipements industriels critiques et la cybersécurité OT, tandis que les équipes IT sont responsables de la cybersécurité IT. Entre un quart et un tiers des personnes sondées ignorent qui détient la principale responsabilité pour les solutions de cybersécurité associées aux processus, aux systèmes de contrôle et d’automatisation, à la planification métier et à la logistique. Cependant, 91% d’entre elles estiment que la sécurité des machines de production doit être une responsabilité partagée entre l’IT et l’OT, tandis que 58% pensent que des communications claires et régulières sont importantes pour échanger sur la vision de la convergence IT/OT, et ainsi la mener à bien.

Les entreprises ont tout à gagner d’une collaboration étroite entre les équipes IT et OT. Les principaux avantages sont un accès aux données en temps-réel issues des opérations de production (66%), ainsi que la création et la monétisation de nouvelles opportunités business grâce à une visibilité plus claire sur les données de production (59%). Ce sont également des gains de productivité qui sont au rendez-vous, avec 43% des personnes interrogées qui déclarent constater moins de doublons entre les processus et workflows d’un site de production à l’autre, ainsi qu’une visibilité plus fine qui permet de maîtriser les menaces de sécurité.

Joe Sarno, VP International Emerging & Operational Technology & Critical Infrastructure EMEA, Fortinet : « Les entreprises industrielles doivent rapprocher l’IT et l’OT dans le cadre de leurs opérations. Il s’agit de nouer un lien de confiance entre les équipes de ces deux disciplines, pour mener à bien cette convergence IT/OT. Au fur et à mesure que la surface d’attaque s’élargit, les équipes IT et OT doivent collaborer pour améliorer la visibilité sur les menaces et les neutraliser. C’est la raison pour laquelle Fortinet investit beaucoup de temps et de ressources dans la Recherche et le Développement pour ses solutions de cybersécurité industrielle. »

Forrester Consulting a mené une enquête en ligne sur plusieurs pays : Inde, Turquie, Royaume-Uni, Espagne, Pologne, Allemagne, Slovaquie, Italie, France, République tchèque et Pays-Bas. L’objectif était d’évaluer les techniques utilisées par les entreprises industrielles pour gérer leur sécurité, les rôles et responsabilités entre IT et l’OT, ainsi que les défis et les opportunités qu’offre la convergence IT/OT. L’enquête a porté sur 459 décideurs IT et OT en charge des systèmes de contrôle industriel au sein d’entreprises industrielles de 1 000 collaborateurs ou plus (automobile, transport, fabrication, génie maritime et aéronautique), sur l’Europe et en Inde.

Cybersécurité, Securite informatique

Votre système de sécurité est-il réellement fiable ?

De nos jours, la majorité des entreprises ont recours à un système de caméras de surveillance, que ce soit dans leurs bureaux ou leurs entrepôts. Supposées éloigner ou attraper des potentiels malfaiteurs, ces caméras sont aujourd’hui un nouveau danger car la technologie actuelle permet à certains pirates de contrôler les systèmes de surveillance à distance. Pour éviter cela, il faut comprendre le fonctionnement des caméras, connaître les meilleurs modèles et apprendre à protéger son système de surveillance efficacement.

Comment les pirates agissent-ils ?

À l’époque, les caméras de surveillance étaient reliées par des câbles permettant de filmer et de relayer l’information sur un écran. Actuellement, la plupart des systèmes utilisent une connexion Internet (Wi-Fi) afin de relier leurs caméras, et c’est de là que le danger peut survenir. En effet, les pirates prennent contrôle du système de surveillance en s’y infiltrant par le Wi-Fi. Nombreuses sont les personnes qui ne protègent pas leurs caméras avec un mot de passe réellement sécurisé, ce qui est une porte ouverte aux malfaiteurs. Ceci est aussi valable pour les caméras de particuliers qui ont un système de sécurité à leur domicile.

Quel modèle choisir ?

Les caméras de sécurité ont beaucoup évolué et sont maintenant facilement accessibles au grand public. Ceci n’est pas forcément avantageux pour les entreprises car certains fabricants, au prix de la compétitivité, mettent sur le marché des nouveautés qui ne sont pas d’une grande qualité au niveau sécuritaire. C’est pour cela qu’en tant qu’entreprise (ou même particulier), il vous faut faire appel à un fournisseur professionnel et sérieux, comme par exemple RS Components en ligne, qui garantira un meilleur niveau de sécurité. Ensuite, au niveau du type de caméra, cela dépendra de la zone que vous avez à filmer. Les caméras thermiques appréciées car excellentes pour les entrepôts plutôt grands et obscurs, vu que le manque de lumière ne les affecte pas. Pour des zones où vous souhaitez avoir une image standard, plusieurs options s’offrent à vous au niveau de la qualité de résolution, de la forme et de l’adaptation à la lumière, choix qui se feront en fonction de la zone à filmer.

Comment se protéger ?

La première chose à faire est de définir un mot de passe avec un niveau élevé de sécurité car cela peut être le premier obstacle pour un pirate. Ensuite, si vous êtes inquiet pour votre webcam d’ordinateur, installez un antivirus. En ce qui concerne les entreprises et les systèmes de surveillance plus gros, il est nécessaire de choisir un type de caméra sûr mais aussi de se renseigner sur les possibles failles du modèle en question car les pirates adapteront leur tactique en repérant celui auquel ils ont à faire. Finalement, si vous le souhaitez, il est aussi possible d’installer des caméras en circuits fermés. C’est-à-dire non connectées à un réseau, ce qui immunise efficacement contre les piratages en ligne.

La menace

La menace des piratages de caméras de surveillance est bien réelle. La première étape vers une meilleure sécurité est de se renseigner sur la manière dont les pirates agissent et sur les moyens disponibles pour se protéger, que vous soyez une entreprise ou un particulier. En bref, assurez-vous d’acheter votre système de surveillance chez un professionnel, renseignez-vous sur les failles et n’oubliez pas les réflexes de base comme l’installation d’un mot de passe à sécurité élevée.

Cybersécurité, Mise à jour, Patch

Microsoft et navigateurs : 79 vulnérabilités corrigées

Ce mois-ci, le Patch Tuesday de septembre 2019 traite de 79 vulnérabilités dont 17 classées critiques. Parmi ces dernières, 8 affectent les moteurs de scripts et les navigateurs, 4 la connexion Bureau à distance et 3 SharePoint. En outre, Microsoft a publié un nouveau patch pour une vulnérabilité critique au sein des fichiers LNK et pour une vulnérabilité dans Azure DevOps/TFS. Adobe a également publié des correctifs pour Flash et Application Manager.

 

Le déploiement de patches pour les moteurs de script, les navigateurs et les fichiers LNK est une priorité pour les équipements de type poste de travail, c’est-à-dire tout système permettant d’accéder à la messagerie ou à Internet depuis un navigateur. Concernés les serveurs multi-utilisateurs faisant office de postes de travail distants.

Connexion Bureau à distance et navigateurs

Microsoft a corrigé quatre vulnérabilités par exécution de code à distance au sein de la fonctionnalité Connexion Bureau à distance : CVE-2019-0787, CVE-2019-0788, CVE-2019-1290 et CVE-2019-1291. Pour exploiter ces vulnérabilités, un attaquant aura besoin qu’un utilisateur se connecte à un serveur RDP malveillant ou compromis. Les vulnérabilités découvertes par Microsoft suite à un test interne sur la fonction Connexion Bureau à distance. Des patchs prioritaires sur tous les systèmes qui utilisent la fonction de connexion Bureau à distance.

SharePoint

En outre, Microsoft a publié des correctifs pour résoudre trois vulnérabilités RCE dans SharePoint : CVE-2019-1257, CVE-2019-1295 et CVE-2019-1296. L’une d’entre elles implique de télécharger une application malveillante tandis que les deux autres sont des vulnérabilités au niveau de la désérialisation dans l’API SharePoint.

Des correctifs à déployer en priorité pour tous les serveurs SharePoint.

Azure DevOps Server (anciennement Team Foundation Server)

Azure DevOps Server et Team Foundations Server (TFS) sont affectés par une vulnérabilité par exécution de code à distance (CVE-2019-1306) qui est exploitée via des téléchargements de fichiers malveillants. En effet, quiconque télécharge un fichier vers un serveur peut exécuter du code via un compte Azure DevOps/TFS. Aussi concernés les utilisateurs anonymes via des serveurs configurés pour les valider.

Un correctif prioritaire pour toutes les installations Azure DevOps ou TFS.

Attaques actives sur des vulnérabilités facilitant une élévation de privilèges

Microsoft corrige deux vulnérabilités facilitant une élévation des privilèges exploitées en aveugle.

CVE-2019-1214 est une faille dans le pilote Common Log File System (CLFS), tandis que CVE-2019-1215 concerne le pilote Winsock.

Ces deux problèmes impactent toutes les versions Windows. Corrections prioritaires. Les vulnérabilités facilitant une élévation des privilèges sont généralement utilisées avec une exécution de code à distance où cette dernière n’accorde pas de droits administratifs

Adobe

Ce mois-ci, peu de publications d’Adobe. L’éditeur a publié des correctifs pour deux vulnérabilités critiques dans le Flash Player, correctifs qui doivent être déployés de manière prioritaire sur tous les systèmes de type poste de travail Adobe a également corrigé une vulnérabilité classée comme importante concernant le chargement de DLL non sécurisé dans Application Manager.

Banque, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Paiement en ligne, Securite informatique

Etat de la sécurité des applications des plus grandes banques du monde

Des chercheurs ont mené une enquêtes sur l’état de la sécurité des applications des plus grandes banques du monde. Un des outils posséde une faille connue depuis 2011.

Les nouvelles recherches de la société ImmuniWeb va faire grincer des dents dans le petit monde bancaire. Ils ont étudié la sécurité, la confidentialité et la conformité des applications des plus grandes institutions financières mondiales figurant dans la liste S&P Global 2019. Le résultat a de quoi étonner. En ce qui concerne la conformité, 85 applications Web de banque en ligne ont échoué au test de conformité GDPR ; 49 banque en ligne ont échoué au test de conformité PCI DSS ; 25 app ne sont pas protégées par un WAF.

Vulnérabilités de sécurité

Dans cette étude, on découvre que sept applications Web de banque en ligne contiennent des vulnérabilités connues et exploitables.

La plus ancienne vulnérabilité est connue depuis 2011. 92% des applications bancaires mobiles contiennent au moins une vulnérabilité à risque moyen.

100% des banques ont des problèmes de sécurité ou des problèmes liés aux sous-domaines oubliés.

Pour finir, concernant la sécurité du site web, seuls 3 portails sur 100 affichaient la note la plus élevée «A+» pour le « chiffrement SSL et la sécurité des sites Web ». Dans ce top 3, on trouve un Suisse (credit-suisse.com), un Danois (danskebank.com) et un Suédois (handelsbanken.se).

Pendant ce temps, dans le commerce 2.0

De son côté, le laboratoire Pradeo a étudié 38 applications mobiles d’e-commerce les plus téléchargées au monde. Le rapport montre qu’elles envoient les données personnelles des utilisateurs via de nombreuses connexions non sécurisées (pourcentages précis dans l’article) et présentent en moyenne 13 vulnérabilités de code, dont certaines ayant un haut niveau de sévérité.

Chiffrement, cryptage, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

La sécurité de l’IoT souffre encore de failles majeures

2 commentaires

Si personne ne remet en cause l’intérêt et la rapidité des progrès de l’Internet des Objets (IoT), la sécurité des objets connectés, elle, continue d’inquiéter. Il est en effet relativement simple de les pirater et les nombreuses cyberattaques récentes ont montré les dangers d’un réseau globalisé.

La transformation numérique du monde progresse, avec dans son sillage, de plus en plus d’appareils intelligents qui communiquent entre eux (y compris dans des secteurs sensibles) afin de nous faciliter la vie. Mais l’IoT a aussi des faiblesses évidentes de sécurité.

Quand des cybercriminels détectent des équipements IoT vulnérables, il leur suffit souvent d’actions basiques pour les pirater. Les moyens les plus simples demeurent l’attaque par force brute pour trouver un mot de passe ou encore l’utilisation des identifiants de connexion par défaut, configurés en mode usine. Car il est malheureusement clair que, pour des raisons de coût, de nombreux fabricants utilisent les mêmes données de connexion standards pour tous leurs appareils, au lieu de définir un mot de passe distinct pour chacun. En utilisant des Botnets récupérés sur le Darknet, il devient ainsi possible d’infecter des milliers d’équipements d’un seul coup.

Un état des lieux alarmant

La vérité, c’est que les objets connectés n’ont jamais vraiment été sûrs, et il est évident que certains risques vont s’intensifier. L’une des plus graves menaces de ces dernières années a été le Botnet Mirai, qui a provoqué des attaques DDoS massives à l’aide d’identifiants de connexion standards. Il a permis de mettre en évidence que des produits chinois bon marché, tels que des webcams, figurent parmi les équipements IoT les plus vulnérables, qui ne devraient être utilisés que dans des environnements isolés.

Depuis que le code source de Mirai a été publié, pratiquement tout le monde peut faire fonctionner son propre Botnet IoT ou réécrire le code de programmation à sa façon, ce qui a permis à de nombreuses mutations de Mirai de voir le jour.

Les autres moyens d’infecter un objet connecté étant plus sophistiqués et onéreux, ils sont moins répandus. C’est le cas par exemple de l’ingénierie inverse des firmwares ou des systèmes d’exploitation, qui requiert des connaissances techniques pointues et beaucoup de temps. Des stratégies de sécurité peuvent néanmoins s’appliquer dans ce domaine.

En finir avec les mots de passe standards

Une solution possible et efficace pour améliorer la sécurité dans l’IoT, permettre aux utilisateurs de modifier facilement leurs identifiants de connexion. Certes, cette stratégie n’aurait d’efficacité que sur les méthodes d’infiltration les plus élémentaires, mais le jeu en vaut la chandelle puisque ce sont les plus répandues.

Les fabricants pourraient ainsi « forcer » leurs clients à modifier leurs identifiants de connexion en rendant obligatoire la saisie d’un mot de passe unique et fort lors du démarrage initial de l’appareil. Les fabricants pourraient également attribuer un mot de passe unique généré aléatoirement à chaque périphérique et l’envoyer au client avec l’objet connecté.

En pratique, le changement d’identifiants de connexion limiterait nettement le nombre d’appareils vulnérables et compliquerait la tâche des hackers et bots qui essaient d’en prendre le contrôle.

Le problème des clés de chiffrement

Les fabricants peinent à concevoir des objets qui intègrent d’office des mécanismes de sécurité. Ces équipements destinés aux particuliers ou aux entreprises. C’est notamment le cas pour le chiffrement.

Dans les faits, rien n’empêche de chiffrer les données qu’un objet connecté recueille et transmet à un autre périphérique ou vers le cloud pour analyse. Il est ainsi possible de trouver de très bons conseils à propos des algorithmes. Il existe plusieurs solutions de chiffrement Open Source.

Mais c’est au niveau de la protection et de la gestion des clés de chiffrement que le bât blesse. Or, ces carences retirent toute efficacité au processus de chiffrement. Une clé mal gérée peut rendre le chiffrement inutilisable, si par exemple elle n’est pas rendue disponible dans un processus d’authentification. Le nombre de périphériques dans l’IoT exacerbe ainsi de manière exponentielle les défis du chiffrement et de la gestion des clés.

S’ajoute à cela le fait que beaucoup d’objets connectés n’ont pas les capacités techniques requises pour chiffrer les données efficacement. Dotés d’un espace de stockage limité, ils ne peuvent généralement pas intégrer une connexion SSL digne de ce nom. Les fabricants d’objets connectés, en particulier ceux destinés au grand public, continuent ainsi de commercialiser des appareils dont la sécurité est légère, sinon inexistante. Et nous ne pouvons pas y faire grand-chose.

La cybersécurité est l’affaire de tous

Si le public est de plus en plus sensible aux failles des objets IoT, cette prise de conscience est pour l’heure insuffisante. Pas d’impact sur les décisions d’achat. Les facteurs déterminants restent les fonctionnalités et le prix. Pour preuve, le succès actuel des Amazon Echo et Google Home auprès des consommateurs.

Ainsi, s’il est vrai que la première grande vague d’attaques, avec le Botnet Mirai en tête, n’a pas manqué d’attirer l’attention des spécialistes de la cybersécurité, le consommateur lambda, lui, n’a pas encore conscience de l’ampleur du problème.

Ceci étant, on assiste à l’émergence d’une petite, mais croissante, fraction de consommateurs qui s’inquiètent vraiment de la sécurité des objets connectés, en particulier celle des enceintes intelligentes capables d’écouter tout ce qui se dit à proximité d’elles. La pression sur les fabricants augmente donc et avec elle, la demande de meilleures mesures de sécurité et de protection des données. (Tribune de Christophe da Fonseca, Sales Development Manager France chez Paessler AG envoyée à toutes les rédactions web)

Chiffrement, Communiqué de presse, Cybersécurité, IOT, Securite informatique, VPN

Risques ! En vacances, hors de vos murs, le WIFI ne s’utilise pas sans VPN

3 commentaires

Une enquête menée par HideMyAss! révèle en effet que, si la grande majorité (80 %) des Français sont conscients des risques de sécurité en ligne, près d’un internaute sur cinq (17 %) se connecte toujours à des réseaux Wi-Fi gratuits dans des lieux publics.

Selon une étude récente, partir en vacances est un besoin vital pour 55 % des Français. Seulement, à l’approche des vacances de la Toussaint, le même dilemme se pose pour toutes les familles qui ont décidé d’en profiter pour voyager : comment occuper les enfants ? Sécurité des données ! Selon Harris Interactive, disposer d’un accès à Internet constitue un critère important pour 71 % des Français, pour choisir leur lieu de vacances. En effet, ils vont se connecter, entre autres, pour rester en contact avec des proches, planifier des loisirs ou encore surveiller leur compte bancaire.

Pour Brad Pool, Responsable chez HideMyAss!, bien que cela soit pratique, se connecter à n’importe quel endroit, à tout moment, comporte de nombreux risques, si on ne se montre pas vigilant : « Une enquête menée par HideMyAss! révèle en effet que, si la grande majorité (80 %) des Français sont conscients des risques de sécurité en ligne, près d’un internaute sur cinq (17 %) se connecte toujours à des réseaux Wi-Fi gratuits dans des lieux publics. Parmi ces derniers, près de la moitié des répondants (47 %) admet préférer se connecter aux réseaux Wi-Fi gratuits qui ne nécessitent ni inscription, ni mot de passe. Or, ces critères de connexion attestent en réalité de leur manque de sécurisation. ».

Risques réels

Les risques augmentent d’autant plus pour les personnes qui se connectent au Wi-Fi de leur hôtel. L’année dernière, des recherches ont ainsi montré que le groupe de hackers russes ‘Fancy Bear’ ciblait les réseaux Wi-Fi d’hôtels dans toute l’Europe, pour installer des logiciels malveillants sur les appareils des vacanciers. Pour s’immiscer dans les terminaux et récupérer des informations personnelles, les cybercriminels créent aussi de faux réseaux Wi-Fi, dotés d’un nom proche de celui de l’hôtel, pour inciter les voyageurs à s’y connecter.

Près de la moitié des utilisateurs français (47 %) se fient à un logiciel, ou une application, pour assurer leur sécurité en ligne, et 28 % affirment éviter de saisir des informations sensibles sur un réseau Wi-Fi public, telles que des identifiants de connexion ; mais de nombreuses personnes ne sont pas aussi prudentes. Presque un répondant sur dix pense que la sécurité du fournisseur réseau le protège, et seuls 12 % des français utilisent un proxy ou un réseau privé virtuel (VPN) pour sécuriser leur connexion.

Trois démarches clés peuvent aider les familles à protéger leurs données

  1. S’assurer que la connexion Wi-Fi est sécurisée. Les points d’accès Wi-Fi publics sont en effet des cibles de choix pour les pirates. S’ils se connectent au même réseau qu’un internaute, ils peuvent facilement voir les sites web visités, leur historique de navigation, ainsi que leurs mails et identifiants de connexion. Pour toute navigation hors du réseau domestique, il est donc fortement conseillé d’installer un VPN sur ses appareils pour sécuriser la connexion, et de minimiser les risques de compromission avec des extensions de navigateur telles que « HTTPS Everywhere ».
  1. Désactiver les services de géolocalisation et, si possible, l’extraction de métadonnées sur les appareils et navigateurs. Dans le cas contraire, le simple fait de partager une photo sur un réseau social permet de révéler sa position, ou celle d’un membre de sa famille.
  1. Installer un logiciel de sécurité de confiance sur les smartphones et les tablettes. De très bonnes versions gratuites sont disponibles, et réduisent tout risque de perte de données personnelles ou de vol d’identité.

Si, comme l’indique le rapport Harris Interactive, plus de 8 Français sur 10 utilisent Internet durant leurs congés pour rester en contact avec leurs proches, ou pour planifier et réserver des activités, les pirates informatiques sont eux aussi au rendez-vous et profitent de chaque vulnérabilité pour opérer. Partant du constat que les cyberattaques ont augmenté de 100 % ces deux dernières années, d’après un rapport publié par ThreatMetrix, il est urgent que les vacanciers connaissent et adoptent les bonnes pratiques en ligne pour y faire face et pour protéger leurs informations sensibles, non seulement en voyage, mais également le reste de l’année.

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, loi, Mise à jour, Particuliers, RGPD, Securite informatique

HMA! renforce la vie privée des internautes et permet l’accès à du contenu restreint en ligne

Quand le RGPD restreint la liberté d’expression ! En mai dernier, le Règlement Général sur la Protection des Données (RGPD) est entré en vigueur, offrant plus de transparence sur la collecte des données et des droits plus importants en termes de vie privée pour les Européens. Pourtant, comme le révélait alors une récente étude menée par HideMyAss!, près de la moitié des français (48 %) ne considèrent pas la vie privée comme un droit fondamental.

Le RGPD restreint la liberté d’expression ? Ils sont cependant 66 % à penser que le gouvernement, les fournisseurs d’accès à internet et les services de police peuvent accéder, à leur insu, à l’historique des sites qu’ils ont visité, et de leurs activités en ligne.

Pour répondre aux besoins des consommateurs soucieux du respect de leur vie privée, HMA! propose une couche d’anonymat supplémentaire lors de la navigation en ligne via son service gratuit Proxy Web. Cette fonctionnalité permet de masquer l’adresse IP d’un internaute et de lui en attribuer une nouvelle, afin d’acheminer le trafic web vers d’autres serveurs et adresses IP. Cela signifie que son adresse IP, qui représente également son identité en ligne, devient beaucoup plus difficile à repérer ou à suivre. En outre, la toute dernière version de HMA! est fournie via le protocole HTTPS, garantissant ainsi le cryptage des activités en ligne.

Elle permet également d’accéder à du contenu restreint. Un citoyen Européen pourra par exemple lire le Los Angeles Times, le New-York Daily News ou encore le Chicago Tribune, grâce à l’utilisation du Proxy Web. Impossible en effet de faire sans, car ces médias ont bloqué l’accès aux internautes basés en Europe, suite à l’entrée en vigueur du RGPD.

Un Proxy Web n’a cependant pas les mêmes fonctions qu’un réseau privé virtuel (VPN). Ce dernier devra en effet être envisagé par un internaute s’il recherche un anonymat en ligne avancé et une protection contre les regards indiscrets. En revanche, dans le cas où il veut se procurer un outil lui permettant de contourner la « censure locale » et de bénéficier d’un niveau convenable de confidentialité lors de sa navigation sur Internet, un Proxy Web constitue un bon point de départ.

Chiffrement, Cybersécurité, Mise à jour, santé, Securite informatique

Sécurité : Ça tousse du côté de la eSanté

eSanté : Les équipes de sécurité informatique doivent jouer un rôle primordial dans les hôpitaux.

eSanté – L’éditeur de solutions de sécurité informatique Trend Micro revient sur la problématique de la sécurité informatique dans le milieu de la santé. La dernière étude conjointe avec HITRUST, Securing Connected Hospitals, met en évidence deux aspects cruciaux de l’écosystème des soins de santé que les équipes informatiques doivent prendre en compte dans le cadre de leurs dispositifs de sécurité et de leurs partenaires tiers.

Nous pouvons penser que les hôpitaux seraient extrêmement sensibles à l’exposition des appareils sur Internet en raison des amendes imposées par la Loi sur la transférabilité et la responsabilité de l’assurance maladie (HIPAA) et des règlements similaires pour les violations de l’exposition aux données. Mais lorsque Trend Micro a cherché des points sensibles liés aux soins de santé à l’aide de l’outil Shodan, ils ont été surpris de trouver un grand nombre de systèmes hospitaliers exposés.

Il a été découvert des systèmes médicaux exposés – y compris ceux qui stockent des images médicales, des interfaces de logiciels de soins de santé et même des réseaux hospitaliers mal configurés – qui ne devraient pas être consultables publiquement. Bien qu’un dispositif ou un système exposé ne signifie pas nécessairement qu’il soit vulnérable, les dispositifs et systèmes exposés peuvent potentiellement être utilisés par des cybercriminels et d’autres acteurs pour pénétrer dans des organisations, voler des données, exécuter des botnets, installer des rançongiciels, etc.

En outre, il montre qu’une quantité massive d’informations sensibles est accessible au public alors qu’elles ne devraient pas l’être.

Communiqué de presse, Cybersécurité, IOT, Mise à jour, Patch, Securite informatique

Pas (encore) de normes de sécurité pour les objets connectés

De nombreux objets connectés iot pour la maison et le bureau ne sont tout simplement pas sécurisés. On ne compte plus les histoires sur les vulnérabilités des objets connectés – particulièrement ceux utilisés à domicile. Bien que certaines aient l’air « tirées par les cheveux » – comme celle de la caméra pour bébé piratée qui répondait à sa mère – d’autres, comme le botnet Mirai, montrent que les problèmes de sécurité liés aux petits objets peuvent rapidement prendre de l’ampleur. Bref, difficile d’oublier que nombre d’objets connectés ne sont pas très sécurisés.

Camouflés derrière le plastique lustré de ces appareils connectés iot tout neufs pour la maison, de nombreux facteurs contribuent pourtant à créer cet environnement à risque. Voici les trois facteurs principaux, mais il en existe d’autres :
1.Les mots de passe codés en dur
2.Les mots de passe par défaut difficiles à changer
3.Les vulnérabilités non corrigées

La balle n’est PAS dans votre camp (mais vous êtes quand même coupable)
Avec un ordinateur à la maison, vous pouvez suivre de bonnes mesures de sécurité. Cela signifie entre autres, avoir installé un antivirus et faire en sorte que toutes vos applications et pilotes soient à jour (voire même utiliser un programme qui s’en charge tout seul). Et puis il y a cet élément important du piratage psychologique, vous en tant qu’utilisateur, ne cliquez pas sur des offres trop alléchantes sur Internet sans en être sûr.

Mais avec les objets connectés, impossible de suivre ce genre de précautions. Dans le meilleur des cas, vous pouvez modifier le mot de passe par défaut, mais ça s’arrête là. Le plus souvent, vous ne saurez même pas avec qui votre télé connectée communique et de quoi elle parle. Et ces appareils recueillent un tas de données potentiellement compromettantes sur vous et vos activités. En fait, même si votre caméra de surveillance faisait partie d’une armée internationale de botnets par DDoS, vous ne le sauriez pas.

SOS, mais qui pouvez-vous appeler ?
Les failles de sécurité de nombreux objets connectés ont lancé le débat sur les moyens des autorités ou des instances de réglementation pour remédier au problème. Aux États-Unis, une loi a été proposée qui obligerait les objets connectés achetés par le gouvernement fédéral à répondre à certaines normes. L’entrée en vigueur de cette loi aurait des répercussions sur la sécurité, car les fabricants devraient faire en sorte que leurs appareils soient plus sécurisés pour les clients du secteur public. Puis, cette certification pourrait également être utilisée pour d’autres types de clients.

Dans l’Union européenne, la Commission européenne dispose de l’AIOTI, l’Alliance for Internet of Things Innovation, un groupe de travail qui souhaiterait que les labels sur les produits – comme ceux utilisés pour présenter les données sur la consommation d’énergie – s’étendent aussi aux objets connectés.

Toutefois, cet autre concept d’auto réglementation ferait encore appel à des organismes de tests indépendants comme l’American Underwriters Laboratories, le German Stiftung Warentest ou l’AFNOR en France.

Il est temps de faire vos propres recherches sur la sécurité
Cependant, toutes ces options n’en sont encore qu’à leurs balbutiements et au moment d’acheter un objet connecté sécurisé, vous êtes encore livré à vous-même. La seule option pratique qui vous soit disponible pour le moment est de faire des recherches pour écarter toute marque ou modèle lié(e) à un problème de sécurité. Vous pouvez également jeter un œil à la liste de Krebsonsecurity des objets considérés comme problématiques. Cependant, cette approche en mode « système D » ne mettra pas au jour les composants génériques d’objets connectés, qui ont été intégrés à un système.

Il existe aussi des solutions qui peuvent vous aider à sécuriser vos connexions telle que Avira Home Guard. Il s’agit d’une application gratuite pour Windows qui scanne les objets intelligents connectés au réseau, identifie les vulnérabilités de sécurité, suggère des solutions et conserve un inventaire des appareils connectés. Cette solution vous donne une vue complète des appareils connectés à votre réseau et de leurs failles potentielles. Avira Home Guard est inclue dans le tableau de bord Avira pour Windows.

Android, Base de données, Chiffrement, Communiqué de presse, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, IOT, Particuliers, RGPD, santé, Sécurité, Securite informatique, Smartphone, Social engineering, Vie privée

Domotique : objets connectés sont-ils dangereux ? Test !

Les objets connectés et la domotique sont devenus omniprésents dans notre quotidien, au travail comme à la maison : téléphones, ampoules, enceintes, montres, caméras, voitures, etc. Pourtant, nous devrions nous préoccuper des informations que nous transmettons (mode de vie, habitudes, localisation, photos et vidéos, etc.) et les risques d’un tel partage. À cet effet, ESET reconstitue une maison connectée lors du Mobile World Congress, où différents appareils sont testés afin de mettre en évidence les vulnérabilités liées à ces objets qui nous entourent. Partage de données, virus, informations collectées… Que risque-t-on vraiment en partageant avec ces objets des informations nous concernant ? Nos experts ont testé 12 produits que nous retrouvons habituellement dans une maison connectée.

L’un de ces objets de domotique qui n’a pas été listé ici présentait de nombreuses vulnérabilités importantes. Nous avons averti le fabricant pour qu’il puisse y remédier. Cet appareil est une centrale de commande domotique qui peut gérer les détecteurs de mouvement, les commandes de chauffage, les moteurs de volets roulants, les capteurs d’environnements et les prises intelligentes.

Voici les principales vulnérabilités de cet appareil :

  • Le processus de connexion au réseau local n’est pas entièrement protégé par un système d’authentification. L’option par défaut autorise la connexion automatique, qui contourne le renseignement d’informations d’identification standard telles que l’identifiant et le mot de passe. Le fabricant mentionne ce problème dans une alerte de sécurité et recommande de désactiver cette option par défaut.
  • Comme avec presque tous les systèmes de maison connectée, un service Cloud permet de gérer les appareils connectés depuis un endroit X. Les communications vers le service cloud ne sont pas chiffrées.
  • Le service Cloud des fournisseurs a la possibilité d’établir une connexion VPN (Virtual Private Network – à distance) avec les périphériques distants. Une fois ce tunnel établi, il pourrait être possible de modifier la configuration du réseau distant. Cela pourrait entraîner l’accès au réseau local des utilisateurs sans leur consentement.
  • L’accès au service Cloud nécessite un enregistrement. Si les détails concernant l’utilisateur sont compromis, l’accès VPN au réseau distant peut présenter un risque considérable.

Les autres appareils que nous avons testés et détaillés dans ce rapport permettent de mettre en évidence certaines vulnérabilités qui doivent être prises en compte au moment de l’achat de l’appareil. Par exemple, les caméras D-Link et la connexion TP-Link présentent des problèmes de sécurité. La principale préoccupation de ces caméras est l’absence de chiffrement du flux vidéo, accessible depuis un système d’authentification faible.

La confidentialité de la domotique, un sujet qui nous concerne tous

La radio Internet Soundmaster, qui ne dispose pas entre autres de politique de confidentialité, a alerté nos chercheurs. Les préoccupations les plus importantes concernent les assistants intelligents à commande vocale – en l’occurrence Alexa. Il s’agit d’un service qui sert de conduit à tous les autres appareils et qui stocke ensuite les interactions avec eux. Ni la réputation de l’appareil ni les services d’Amazon ne sont en cause, mais un pirate intelligent qui tente de recueillir des données personnelles pour le vol d’identité pourrait créer une attaque par spear-phishing pour accéder au compte Amazon des victimes.

AMAZON ECHO

Les interactions que vous aurez avec cet appareil permettront d’informer Amazon des produits que vous souhaitez acheter, de ce que vous écoutez, des autres produits connectés que vous avez et ainsi de suite. Cette collecte de données permet de créer un profil qui contient potentiellement des détails très précis sur votre style de vie – le rêve d’un marketeur, et aussi celui d’un cybercriminel. Avec les violations de données fréquentes, tout assistant numérique activé par la voix doit nous préoccuper. Si, par exemple, quelqu’un accède à votre identifiant et votre mot de passe Amazon, il a la possibilité d’écouter vos interactions avec Alexa. Le stockage d’informations stockées constitue un problème de confidentialité.

D-LINK

Les mises à jour de micrologiciels sont au format http et non https (le -s- indique que le protocole est sécurisé), ce qui signifie qu’un pirate pourrait injecter des virus lors d’une mise à jour, car le flux de données n’est pas chiffré. Les caméras incluses dans notre test de maison connectée présentent des faiblesses. La caméra est contrôlée depuis l’application mydlink, qui est chiffrée. Mais si le flux vidéo lui-même est mal protégé, les problèmes de sécurité et de confidentialité se concentrent autour du contenu « capturé ».

NETAMTO

Si vous décidez de partager les données de votre appareil, sachez que votre emplacement est identifié. Jetez un œil ici. Vous comprendrez comment, en sélectionnant l’un des appareils. L’adresse de rue d’un propriétaire de NetAMTO est indiquée.

NOKIA HEALTH

Nous avons tenté d’accéder aux données qui circulent entre l’application Health Mate et le service Cloud affilié. Il était possible de lancer une attaque de type « MitM » entre l’application Android et le Cloud. Ceci signifie que les communications sont interceptées sans que l’utilisateur soit au courant.

Ici, l’attaque à distance n’est pas possible. Cependant, en cas de compromission, les données transmises deviennent lisibles. Ceci dit, pour NOKIA HEALTH, il est peu probable de trouver un scénario où un pirate peut accéder au téléphone, rooter l’appareil, intercepter le téléchargement du firmware, le réécrire, puis appuyer sur un bouton de configuration magique sur les balances réelles et installer le nouveau firmware.

Cependant, lorsque vous associez Nokia Scales à Amazon Echo, vous pouvez poser des questions à Alexa sur les données stockées dans votre compte Health Mate. Sur la page Internet d’Amazon qui détaille l’habileté et l’offre des compétences Nokia, il y a la déclaration suivante : Alexa et Amazon, Inc. ne stockent ni ne conservent vos données Nokia Health, mais les interactions vocales associées à votre compte Amazon peuvent contenir vos données Nokia Health Mate.

Lorsque vous liez Alexa et accordez à Amazon la permission d’accéder à votre compte Nokia Health Mate, vous accordez en réalité à Amazon Alexa l’accès aux données personnelles, y compris le poids, la distance parcourue, le sommeil et les objectifs. Ces informations sont stockées sous forme d’interactions vocales associées à votre compte Amazon.

SONOS

Si, par exemple, vous avez des enceintes dans les chambres de vos enfants, nommer les enceintes en utilisant leurs noms réels peut, par inadvertance, mener à partager des données avec Sonos au sujet des personnes de votre famille.

WOERLEIN

En l’absence de politique de confidentialité, nous devons nous fier à notre enquête pour comprendre la communication entre l’appareil et Internet. Tout d’abord, lors de la configuration de l’appareil pour se connecter au réseau Wi-Fi, le mot de passe n’est pas masqué. Si l’appareil est accessible, par exemple dans un lieu public tel qu’un bureau ou un établissement de vente au détail, les informations d’identification Wi-Fi seront accessibles en cliquant sur les paramètres.

Lors de la sélection d’une station de radio, une instruction est envoyée en clair à mediayou.net, qui semble être un portail d’accès au contenu radio en ligne. Mediayou connaîtra l’adresse IP de la radio qui s’y connecte, la station de radio demandée, ainsi que l’heure et la durée d’écoute.

Aucune politique de confidentialité n’est répertoriée sur le site Internet mediayou.net. Même lors de la création d’un compte sur le site, il n’y avait aucune offre de politique de confidentialité ou de conditions d’utilisation. Faire des recherches sur le domaine mediayou.net pour déterminer qui en est le propriétaire est futile, car les détails du domaine sont cachés derrière un bouclier de confidentialité, ce qui est ironique…

Si vous ne comprenez pas quelles données, le cas échéant, peuvent être collectées et conservées, vous devez envisager le pire : une entreprise pourrait collecter tout ce qu’elle peut et vendre ces données à qui elle veut et quel que soit son choix. À l’heure où les données personnelles ont une valeur et où le vol d’identité est un problème croissant, cette situation est inacceptable.

TP-LINK

Cet appareil présente des vulnérabilités qui incluent un chiffrement facilement réversible entre l’appareil et l’application TP-Link Kasa utilisée pour le contrôler, des problèmes de validation de certificat et des attaques potentielles de type man-in-the-middle.

CONCLUSION

Aucun appareil ou logiciel n’est garanti « totalement sécurisé » ou « sans vulnérabilités potentielles ». Chaque personne qui lit ce rapport aura une vision différente des informations personnelles qu’elle estime pouvoir partager avec une entreprise ou un fournisseur. Il est nécessaire de se renseigner sur le niveau de protection des appareils. Par exemple, est-ce que le fabricant envoie des notifications pour la mise à jour du firmware ? Les assistants personnels vocaux intelligents sont très pratiques. Ils sont également omniscients. Évaluez avec prudence les informations que vous souhaitez partager avec eux.

Les données collectées sur la maison, le style de vie, la santé et même les données de navigation Internet d’une personne ne devraient être autorisées qu’une fois les conséquences prises en compte. Alors que les entreprises découvrent de nouvelles façons de faire du profit avec les données collectées via les objets connectés, soit l’industrie doit s’autoréguler, soit les gouvernements devront renforcer la législation relative à la protection de la vie privée (de la même manière que l’UE a mis en place le RGPD).

Communiqué de presse, Cybersécurité, Securite informatique

Cybermenaces : AFNOR publie un guide utile pour comprendre, prévenir et traiter les attaques

Un commentaire

Toute organisation est aujourd’hui exposée aux risques de cyberattaques. Le guide AFNOR tout juste publié les aidera à s’y préparer, mais aussi à trouver des solutions opérationnelles en cas d’attaque effective. Un outil précieux face aux obligations fixées par le RGPD.

Sabotages, exfiltration de données, fraudes… Les malversations provenant d’une attaque informatique externe sont protéiformes. La Commission Européenne estime que huit entreprises européennes sur dix ont été touchées en 2016. Plus de 4000 attaques par « rançongiciel » ont lieu chaque jour en Europe (soit une hausse de 300% par rapport à 2015) et le développement exponentiel des objets connectés créé un terreau favorable à ces malversations.

Intégrer un réflexe de détection/réaction à l’égard des APT (Advanced Persistent Threats ou menaces persistantes avancées) est donc devenu vital pour les organisations. C’est d’autant plus vrai du fait de l’entrée en application du Règlement Général sur la Protection des Données (RGPD) annoncée le 25 mai 2018. Pour les dirigeants, les responsables de la gestion des risques et de la sécurité des systèmes d’informations, le nouveau guide publié par AFNOR tombe à point nommé. Il propose, en une quarantaine de pages, des bonnes pratiques pour identifier les risques, mieux se protéger, former le personnel, gérer la crise lorsqu’elle survient et disposer de réponses techniques.

Comprendre, éviter, détecter, contre-attaquer

Les organisations sans structures dédiées à la sécurité des systèmes d’informatique apprécieront particulièrement ce guide : il présente de manière pragmatique et didactique la conception et le déroulement d’une attaque. Il détaille aussi des exemples de mesures à prendre pour détecter et éviter les attaques puis, le cas échéant, les démarches à effectuer en cas de tentative d’intrusion réussie. Cette dernière partie, qui délivre un véritable plan de réponse adapté à ces nouvelles cyber-attaques, constitue une incontestable nouveauté et originalité dans le genre.

Le plan de réponse à une cyberattaque est effectivement bien détaillé. Il consiste à gérer l’incident de manière à en limiter les dommages, à conserver la confiance des parties prenantes internes et externes et à réduire le temps de reprise d’activité normale. Ce plan vise à regrouper les personnes pressenties (cellule de crise décisionnelle/ opérationnelle), connaître les caractéristiques de l’attaque, déterminer un calendrier des étapes à suivre et vérifier de la bonne réalisation de toutes les opérations prévues.

La publication du guide AC Z90-002 s’inscrit dans le prolongement des travaux du groupe de travail « Prévention de la fuite d’information ». Deux guides sont déjà parus : l’un sur les plans de continuité d’activité (BP Z74-700), l’autre sur la prévention et la gestion de la fuite d’informations (BP Z90-001).

Le guide AC Z90-002 « Bonnes pratiques pour la prévention, la détection et le traitement des nouvelles cyber-menaces » est disponible via la boutique de l’AFNOR.

backdoor, Cybersécurité, IOT, Securite informatique

IoT : quand les objets connectés deviennent des menaces de sécurité

Un commentaire

Les fêtes de Noël, et maintenant les soldes représentent la période propice pour l’achat d’appareils connectés iot. Maintenant, même les jouets pour les enfants sont des bijoux de technologie intelligents, télécommandés et équipés de caméras vidéo et même de haut-parleurs intégrés. Si ces jouets sont très populaires auprès des dernières générations de consommateurs, ils peuvent également s’avérer dangereux. En effet, certains objets connectés peuvent parfois échapper au contrôle de leurs propriétaires et devenir des portes faciles d’accès pour les intrus. Dans ces cas-là les options vidéos et haut-parleurs deviennent indésirables et nuisent à la sécurité des enfants.

Les objets intelligents connectés (IoT) sont aujourd’hui très attrayants et ont pour vocation de faciliter le quotidien. Mais dans quelle mesure leur utilisation est-elle sans danger du point de vue de la cybersécurité ? En 2015, les chercheurs de Kaspersky Lab ont décidé de se pencher sur le niveau de menace que présente l’Internet des objets (IoT). Les résultats étaient préoccupants, c’est pourquoi, 2 ans plus tard, ils ont approfondi leurs recherches dans ce domaine. Sur 8 objets IoT pris au hasard (allant d’un fer à repasser intelligent à un véhicule-espion miniature), la moitié d’entre eux étaient piratables en raison de la faiblesse de leur mot de passe. En outre, un seul des objets a répondu aux exigences des chercheurs en matière de sécurité.

Un vaste réseau d’objets connectés, attrayant pour les cybercriminels.

Les objets connectés orbitent en réseau et intègrent une technologie qui leur permet d’interagir les uns avec les autres ou avec leur environnement extérieur. Du fait du grand nombre et de la variété d’objets connectés disponibles, l’IoT est devenu une cible tentante pour les cybercriminels. C’est ce qui explique, entre autres, les attaques DDoS record lancées en 2016 avec l’aide de botnets massifs constitués de routeurs, de caméras IP, d’imprimantes et d’autres appareils transformés en « zombies ». En piratant ces objets IoT, des criminels peuvent exercer un chantage ou espionner les utilisateurs. D’autres vecteurs peuvent être encore plus dangereux. Par exemple, les équipements du réseau domestique pourraient servir à des activités illicites ou bien un cybercriminel ayant accès à un objet IoT pourrait faire chanter – et espionner – son propriétaire pour lui extorquer de l’argent. Moins grave, mais toujours ennuyeux, l’appareil infecté peut aussi être mis simplement hors service.

Un niveau de sécurité beaucoup trop faible, malgré les menaces omniprésentes.

Alors que de nombreuses études ont été réalisées à la suite des incidents déplorés ces dernières années, on pourrait s’attendre à un changement notoire en matière de sécurité des objets IoT. Pour autant, Kaspersky déplore encore un manque de sécurité inquiétant, notamment au niveau des mots de passe. Pour en arriver à ces conclusions, les chercheurs ont de nouveau analysé plusieurs objets intelligents choisis de manière aléatoire, en l’occurrence un chargeur, une voiture miniature commandée par une application, un tuner, une balance, un aspirateur, un fer à repasser, une caméra et une montre. Les résultats sont véritablement inquiétants : sur les 8 objets examinés, un seul était satisfaisant en termes de sécurité.

Qui plus est, la moitié des objets pourraient être piratés et leurs vulnérabilités exploitées à cause d’un défaut de vigilance du fabricant dans la définition des mots de passe. Il s’agit en particulier de l’impossibilité de modifier le mot de passe par défaut alors même que, dans certains cas, celui-ci est identique pour tous les produits d’une gamme.

Quelques conseils d’experts pour éviter les risques

DataSecurityBreach.fr vous conseille de prendre les précautions suivantes afin de se prémunir contre l’achat d’objets intelligents vulnérables :

  1. Avant d’acheter un objet IoT, recherchez sur Internet la mention d’éventuelles vulnérabilités. L’Internet des objets est aujourd’hui un sujet brûlant et de nombreux chercheurs font un excellent travail pour découvrir des failles de sécurité dans les produits de ce type, depuis les écoute-bébés jusqu’aux armes gérées par une application. Il est probable que l’objet de convoitise ait déjà été examiné par des chercheurs en sécurité et il est souvent possible de vérifier si les problèmes découverts ont été corrigés ou pas.
  2. Ce n’est pas toujours une bonne idée d’acheter les produits les plus récents dès leur lancement sur le marché. En dehors des bugs habituels affectant les nouveaux produits, ces derniers sont plus susceptibles de receler des failles de sécurité encore inconnues des chercheurs en sécurité. Il est donc préférable de choisir des produits ayant déjà connu plusieurs mises à jour de leur logiciel.
  3. Avant de décider de rendre un aspect de sa vie un peu plus intelligent, tenir compte des risques pour la sécurité. Si on conserve de nombreux objets de valeur à votre domicile, il est sans doute judicieux d’installer un système d’alarme professionnel en remplacement ou en complément de son modèle existant commandé par une application ou bien de configurer ce dernier de sorte qu’aucune vulnérabilité éventuelle n’affecte son fonctionnement.
Base de données, Chiffrement, Cloud, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Les 4 piliers pour maîtriser l’environnement multi-Cloud

Il existe quelques fondamentaux à respecter pour gagner en liberté et en sécurité et permettre à l’entreprise de tirer le meilleur parti de ses applications.

Le Cloud, qu’il soit public, privé ou hybride, ne cesse de gagner du terrain. Il offre aux entreprises une formidable opportunité de se développer rapidement et de fournir des services à valeur ajoutée pour répondre à la demande croissante des clients. Selon un récent rapport d’IDC, 86 % des entreprises adopteront une stratégie multi-Cloud d’ici deux ans. Cette évolution exerce de fortes pressions sur les départements informatiques, qui se voient contraints de réduire les coûts, d’assurer la protection des données et de sécuriser les applications critiques. Pour maîtriser l’univers multi-Cloud, l’accent doit être mis sur quatre piliers fondamentaux : stratégie, marché, opérations et valeur.

Stratégie du multi-cloud

Un plan de migration stratégique vers le Cloud aide les entreprises à aller de l’avant grâce à une architecture efficace qui sécurise les applications critiques, optimise le potentiel de l’entreprise, garantit la conformité des données et préserve l’expérience utilisateur. La question que doivent se poser les responsables est de savoir si la stratégie de migration vers le Cloud fournit le socle nécessaire à l’innovation, la croissance de l’activité et l’apport de valeur ajoutée aux clients. Les entreprises ont besoin de résultats tangibles qui ont un impact positif sur l’activité. La sécurité est une composante centrale de tout projet de migration, en particulier lorsque ce dernier intègre des services Cloud natifs s’appuyant sur des règles incompatibles avec les services déployés sur site. Parallèlement, investir dans des outils avancés et du personnel qualifié renforce la maîtrise technologique et l’alignement de la stratégie globale.

Marché

Une compréhension du marché des fournisseurs de services Cloud est fondamentale pour créer de la valeur et optimiser les performances. D’après le rapport State of Applications Delivery 2017 publié par F5, une entreprise sur cinq prévoit d’héberger plus de 50 % de ses applications dans le Cloud, ce qui ne fera qu’amplifier le problème de la sécurité des applications.

D’où l’importance de choisir une solution Cloud et un fournisseur de sécurité appropriés. Il est par exemple possible de combiner services sur site, services de Cloud public/privé et services SaaS (Software-as-a-Service). Le marché offre de nombreuses possibilités. Que l’entreprise opte pour le transfert des applications existantes vers le Cloud (migration de type « lift and shift ») ou pour des applications Cloud natives, il est important d’éviter toute dépendance vis-à-vis de fournisseurs de services Cloud spécifiques. Déployer la bonne combinaison de solutions dans le ou les bons environnements accélère la mise sur le marché, atténue les menaces et assure la cohérence, quel que soit le scénario opérationnel.

Opérations

Un modèle multi-Cloud transforme le département informatique en courtier de services, aidant ainsi les entreprises à renforcer la sécurité des applications tout en optimisant le rendement de l’infrastructure existante via la normalisation. Les entreprises prospères adoptent une approche intégrée du Cloud et évitent les silos départementaux. La sécurité des applications dépend de l’ensemble de l’architecture applicative, y compris de l’infrastructure réseau. Tout l’écosystème doit protéger pleinement les données et services vitaux en constante évolution. La sécurité ne doit pas être l’affaire d’un seul individu ni d’une seule fonction de l’entreprise. Pour une transition en douceur, toutes les parties prenantes doivent se synchroniser entre elles et parfaitement saisir les objectifs commerciaux. Une collaboration plus étroite entre les équipes DevOps et NetOps est attendue. De leur côté, les architectes des nouvelles solutions et nouveaux services applicatifs doivent mieux sensibiliser les dirigeants. Avantages de la migration vers le Cloud et aux aspects à normaliser.

Valeur

Il est indispensable de mettre en place des dispositifs de mesure, de surveillance et de gestion. Un écosystème de solutions de sécurité intégrées est requis. Il doit protéger les applications vitales contre des risques majeurs, où qu’elles résident.

Recourir à des outils robustes. Appréhender le paysage des menaces. Mettre à la disposition des spécialistes de la sécurité tous les moyens nécessaires aide les entreprises à protéger les données sensibles. Il doit faciliter le contrôle des accès en vue d’une meilleure expérience client.

Une mesure et une surveillance étroites des performances d’un projet Cloud permettent d’identifier les menaces. Connatre leur impact sur le bilan de l’entreprise.

L’adoption de technologies Cloud doit également être un moyen pour les entreprises de lancer de nouveaux services et d’innover. Croissance de l’activité, accélération de la mise sur le marché, flexibilité/efficacité opérationnelles et optimisation des performances applicatives sont des facteurs essentiels. Au final, le Cloud doit être une source de fierté pour l’entreprise et renforcer la réputation de la marque.

Conclusion : maîtriser ou subir son multi-cloud

De plus en plus d’entreprises adoptent un modèle multi-Cloud. Si elles ne veulent pas être laissées pour compte dans un monde numérique en rapide mutation, elles doivent agir. Ce sont la réputation de leur marque et la confiance des clients qui sont en jeu. En l’absence de vision et de stratégie, elles se laisseront dépasser par la complexité. Elles finiront par rejoindre les rangs des victimes de la cybercriminalité. Il est temps pour elles de devenir maîtres de leur destin. (Par Laurent Pétroque, expert sécurité chez F5 Networks)

Base de données, Chiffrement, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Près de la moitié des entreprises ont subi une compromission de données en 2016

La forte progression du trafic Internet émanant de bots crée un sérieux angle mort pour la sécurité IT, et 79% des entreprises ne savent toujours pas si leur trafic web provient d’humains ou de bots selon une étude de Radware.

La publication d’une nouvelle étude intitulée Radware Research: Web Application Security in a Digitally Connected World ne laisse rien présagé de bon. Ce rapport, qui examine la façon dont les entreprises protègent leurs applications web, identifie des lacunes de sécurité au sein des actuelles pratiques DevOps, recense les principaux types et vecteurs d’attaques et identifie les principaux risques.

L’étude qui s’intéresse aux secteurs d’industrie les plus ciblés, comme la vente au détail, la santé et les services financiers, souligne la prolifération du trafic web généré par des bots et son impact sur la sécurité applicative des entreprises. En réalité, les bots sont à l’origine de plus de la moitié (52%) de tout le flux du trafic Internet. Pour certaines entreprises, les bots constituent plus de 75% du trafic total. Les résultats soulignent ainsi qu’une entreprise sur trois (33%) ne sait pas distinguer les « bons » bots des « mauvais ».

Le rapport révèle également que près de la moitié (45%) des sondés ont expérimenté une compromission de données l’année passée et que 68% ne sont pas certains de pouvoir préserver la sécurité de leurs informations internes. De plus, les entreprises protègent souvent mal leurs données sensibles. 52% n’inspectent pas le trafic échangé depuis et vers des API. 56% ne sont pas en capacité de suivre les données une fois qu’elles quittent l’entreprise.

Toute entreprise qui collecte les informations de citoyens européens va bientôt devoir se conformer aux réglementations strictes sur la confidentialité des données imposées par le nouveau règlement général sur la protection des données (GRPD) ou GDPR (General Data Protection Regulations).

Ces nouvelles obligations prendront effet en mai 2018. Toutefois, à moins d’un an de l’échéance, 68% des entreprises craignent de ne pas être prêtes à temps.

« Il est alarmant que les dirigeants d’entreprises qui recueillent les données sensibles de millions de consommateurs doutent de la sécurité des informations qu’ils détiennent », déclare Carl Herberger, vice-président des solutions de sécurité chez Radware. « Ils connaissent les risques mais des angles morts, potentiellement vecteurs de menaces, persistent. Tant que les entreprises ignoreront où se situent leurs vulnérabilités et qu’elles n’auront pas pris les bonnes mesures pour se protéger, les attaques d’ampleur et les compromissions de données continueront de faire les gros titres. » Selon le Dr Larry Ponemon, « Ce rapport montre clairement que la pression exercée à fournir des services applicatifs en continu limite la capacité des méthodes DevOps à assurer la sécurité des applications Web aux différentes étapes du cycle de vie des développements logiciels.»

La sécurité applicative est trop souvent négligée. Tout le monde veut bénéficier des avantages de l’automatisation totale et de l’agilité conférées permis par le déploiement continu. La moitié (49%) des sondés utilisent actuellement le déploiement continu des services applicatifs et 21% envisagent de l’adopter au cours des 12 à 24 mois. Toutefois, ce modèle peut aggraver les problématiques de sécurité du développement applicatif : 62% reconnaissent que la surface d’attaque s’en trouve étendue et la moitié environ déclare ne pas intégrer la sécurité au processus.

Les bots prennent le dessus. Les bots sont la dorsale du e-commerce aujourd’hui. Les e-commerçants utilisent les bots pour les sites comparateurs de prix, les programmes de fidélité électroniques, les chatbots, etc. 41% des commerçants ont même déclaré que plus de 75% de leur trafic émane de bots, alors que 40% ne font toujours pas la différence entre les bons et les mauvais bots. Les bots malveillants constituent un risque réel. Certaines attaques de web scrapping volent la propriété intellectuelle des commerçants, cassent les prix et rachètent des stocks de façon à écouler la marchandise via des canaux non autorisés en dégageant une marge. Mais les bots ne sont pas le seul problème des commerçants. Dans le secteur de la santé, où 42% du trafic émane de bots, 20% seulement des responsables de la sécurité IT étaient certains qu’ils pourraient identifier les « mauvais » bots.

La sécurité des API est souvent négligée. Quelque 60% des entreprises partagent et consomment des données via les API, y compris des informations personnelles, des identifiants et mots de passe, des détails de paiements, des dossiers médicaux, etc. Pourtant, 52% n’inspectent pas les données échangées avec leurs API, et 51% n’effectuent aucun audit de sécurité ni n’analysent les failles éventuelles des API en amont de l’intégration.

Les périodes de vacances sont à haut risque pour les commerçants. Les commerçants sont confrontés à deux menaces distinctes mais très dommageables pendant les périodes de vacances : les pannes et les compromissions de données. Des pannes d’Internet lors de la haute saison quand les commerçants dégagent le plus de bénéfices peuvent avoir des conséquences financières désastreuses. Pourtant, plus de la moitié (53%) ne sont pas certains de la disponibilité à 100% de leurs services applicatifs. Les périodes où la demande est forte comme celles du Black Friday et du Cyber Monday, exposent également les données des clients : 30% des détaillants laissent entendre qu’ils peinent à protéger correctement leurs données sensibles au cours de ces périodes.

Les données médicales des patients courent des risques également. 27% seulement des sondés dans le secteur de la santé ont confiance dans leur capacité à protéger les dossiers médicaux de leurs patients, même s’ils sont près de 80% à devoir se conformer aux réglementations d’état. Il est primordial de déployer des correctifs de sécurité pour faire face aux actuelles menaces et mieux pouvoir atténuer leur impact, mais 62% environ des sondés dans le secteur de la santé n’ont peu ou pas confiance dans la capacité de leur établissement à pouvoir adopter rapidement des correctifs de sécurité et déployer les mises à jour, sans compromettre la conduite des opérations. Plus de la moitié (55%) des établissements de santé déclarent n’avoir aucun moyen de suivre les données partagées avec une tierce partie une fois qu’elles ont quitté le réseau interne. Les organisations du secteur de la santé sont les moins enclines à rechercher des données volées sur le Darknet : 37% ont déclaré le faire contre 56% dans le secteur des services financiers et 48% dans le secteur de la vente au détail.

La multiplication des points de contact aggrave le niveau de risque. L’avènement des nouvelles technologies financières (comme celles liées aux paiements mobiles) facilite l’accès des consommateurs et leur degré d’engagement, ce qui a pour effet d’accroître le nombre des points d’accès comportant des vulnérabilités et de majorer le niveau de risque auquel sont confrontés les responsables de la sécurité. Alors que 72% des organisations de services financiers partagent les identifiants et mots de passe et que 58% partagent les détails des paiements réalisés via des API, 51% ne chiffrent pas le trafic, avec le risque d’exposer les données en transit des clients.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Securite informatique

Chiffrement : mais que se passe t-il chez nos voisins anglais ?

Suite aux récentes déclarations de madame Amber Rudd, ministre de l’Intérieur britannique, sur la question du chiffrement, Craig Stewart, VP EMEA chez Venafi, donne quelques enseignements de sécurité au gouvernement.

Le chiffrement est clairement à l’ordre du jour au Royaume Uni. Depuis quelques mois, le Ministre de l’Intérieur, Amber Rudd ne fait aucun secret sur ce qu’elle pense des entreprises technologiques comme WhatsApp, qui ne vont pas assez loin lorsqu’il s’agit d’arrêter des groupes extrémistes qui utilise la technologie à des fins néfastes. Lors d’un entretien assez controversé, Amber Rudd a prétendu qu’elle n’avait pas besoin de comprendre le chiffrement pour le combattre : une déclaration qui a choqué tous les acteurs de la sécurité.

Amber Rudd est sans aucun doute bien intentionnée. En tant que ministre de l’Intérieur, elle est responsable de la sécurité nationale et ce n’est donc pas étonnant, qu’elle agisse en pensant au devoir de préserver la sécurité publique. Cependant, ses récents propos indiquent un manque de compréhension des fondamentaux sur le chiffrement, même les plus élémentaires. Elle montre aussi un mépris inquiétant sur l’importance de la sécurité de notre économie numérique.

Obtenir des informations réalistes

Les citoyens devraient s’inquiéter par la vision d’Amber Rudd, qui semble voir le chiffrement comme une partie du problème, alors qu’il est en fait, l’un des moyens de défense incontournable dont nous disposons collectivement. Quand il est mis en place correctement, il préserve la sécurité de nos données, qu’il s’agisse de données sensibles sur « NHS Trust », où des informations sur l’enregistrement des votes (73% des sites de la police s’appuie là-dessus pour sécuriser les informations vulnérables) .

D’une façon plus générale, il est incontournable pour le succès de l’économie britannique dans le secteur bancaire, le commerce ou le e-commerce. Les logiciels de chiffrement, dans le viseur de Madame Rudd, ne sont que la partie visible de l’iceberg. Elle doit comprendre que le chiffrement ne peut pas s’appliquer ou se supprimer sur un simple coup de tête. Un chiffrement efficace exige que son infiltration soit impossible et que les portes dérobées de n’importe quel gouvernement ne puissent rendre les systèmes numériques accessibles ni aux cybercriminels ni aux gouvernements eux-mêmes. Amber Rudd a suggéré, à tort, qu’il s’agissait d’une théorie mais c’est un fait mathématique.

Etant donné le niveau de chiffrement, sur lequel le secteur public compte, pour préserver ses données publiques sensibles, il serait bon de conseiller à madame Rudd d’examiner de plus près, la fonction des entreprises technologiques, avant de tirer des conclusions trop rapides – particulièrement tant qu’il n’y a pas de preuve que l’affaiblissement du chiffrement par l’utilisation des « Backdoors » augmenterait notre sécurité.

Les citoyens face à l’accessibilité de leurs données personnelles

Dans le cadre d’un article pour The Telepgraph plus tôt dans l’année, Madame Rudd écrivait : « Qui utilise WhatsApp parce qu’il est crypté de bout en bout, plutôt que parce qu’il s’agit de la meilleure manière, la plus conviviale et bon marché, de rester en contact avec sa famille et ses amis ? », elle disait également : « Les entreprises font souvent des compromis entre sécurité et utilisation. C’est sur ce point, que nos experts croient pouvoir trouver des solutions. Les gens préfèrent souvent la facilité d’utilisation et une multitude de fonctions pour améliorer une sécurité inviolable ».

Pourtant, une étude récente la contredit. En se basant, sur les avis de plus de 1 000 citoyens britanniques, l’étude a examiné les initiatives qui accorderaient aux gouvernements plus d’accès aux données personnelles. Elle met en évidence, qu’une très large majorité d’entre eux, n’est pas d’accord sur l’utilisation de portes dérobées cryptées – avec une totale compréhension des menaces que ces portes dérobées présenteraient pour leur vie privée et leurs données personnelles-.

Dans cette étude, moins d’un quart (24%) des consommateurs britanniques croient en réalité que le gouvernement, devrait être capable d’obliger les citoyens, à communiquer leurs données personnelles. Par contre, à peine 1 sur 5 (19%), accepterait que le gouvernement puisse contraindre les entreprises technologiques à partager les données sans consentement préalable des consommateurs. La moitié des répondants, estime qu’elle serait plus en sécurité contre le terrorisme si le gouvernement avait accès aux données cryptées. Le manque total de soutien sur la position du gouvernement en matière de chiffrement, montre que le public estime clairement les avantages du cryptage, plus d’ailleurs que ne le font nos dirigeants.

Il est nécessaire d’avoir une vision globale

Malheureusement, le débat se poursuit. Madame Rudd ne sera pas la dernière à viser WhatsApp et d’autres sociétés technologiques, qui utilisent le chiffrement pour protéger la vie privée des consommateurs. Avec chaque attaque terroriste, la pression de ces sociétés va augmenter tant que nos dirigeants continueront à tirer des conclusions hâtives sans comprendre les faits.

Cela doit s’arrêter. Le chiffrement n’est pas un ennemi et le gouvernement devrait arrêter de l’encadrer comme si c’était le cas. Même si nous devions laisser de côté les priorités publiques sur cette question, la diminution du chiffrement nous rend plus vulnérables, et affaiblit notre économie, qui dépend d’une vaste gamme de transactions numériques sécurisées. Madame Rudd, de son côté, devrait bien apprendre les fondamentaux du chiffrement avant de commenter encore ce sujet.

Chiffrement, cryptage, Cybersécurité, Securite informatique

Testé pour vous la Secure-K, une clé USB sécurisée

La clé USB Secure-k couple une clé USB chiffrée, un digicode, un OS sécurisé, de quoi transporter ses données privées en toute sécurité.

Si vous êtes à la recherche d’un système d’exploitation portable chiffré et puissant qui peut être chargé sur n’importe quel ordinateur, la clé USB Secure-K de chez Mon-K que j’ai reçu début août est peut-être la réponse que vous recherchez pour chiffrer et sécuriser les données que vous souhaitez transporter.

Secure-K est intéressante sur plusieurs points. D’abord, c’est une clé USB chiffrée. Il existe de nombreuses solutions, gratuites et payantes, comme « L’intégral » CryptoDual ou encore KryptKey. La Secure-K propose aussi un système d’exploitation chiffré (environnement linux, moteur graphique gnome). Bilan, protection de l’environnement sans sacrifier la facilité d’utilisation de l’outil de sécurité.

 

Pour lancer le petit singe (Mon-k étant le nom de la société, ca donne Monkey), il faut d’abord l’activer en rentrant un code pin d’au moins 8 chiffres. Au bout de 10 essais infructueux, la clé se met en alerte et il n’est plus possible de l’utiliser. Les 8 bons chiffres fournis, vous pouvez configurer cette protection du hardware jusqu’à 15 chiffres, il suffit d’allumer l’ordinateur et lui permettre de lire une clé USB au boot. Le lancement de la clé est très rapide. Une second mot de passe est réclamé. Ici, lettres, chiffres, signes de ponctuation sont à votre convenance. Le précieux sésame va active l’OS et l’ensemble des outils proposés par la clé.

La clé est chiffrée, d’abord en mode hardware. L’environnement USB est chiffré en mode « sécurité militaire » FIPS 140-2. Le hardware est chiffré en AES 256 et en ce qui concerne l’OS et les fichiers, de l’AES 512 bits. Autant dire qu’avec une telle armure, il est déconseillé de paumer ses mots de passe.

Secure-K transporte une suite complète d’applications chiffrées : chat, vidéo, outils VOIP, TOR, et tout ce qui est indispensable pour travailler avec une suite bureautique et image. La société propose aussi, en option, de sauvegarder les données dans un cloud chiffré. Je déconseille, dans tous les cas, de sauvegarder ses informations ailleurs que dans un espace de stockage que vous contrôlez et avez sous les yeux. Le reste du fonctionnement de la Secure-K ne perturbera pas les utilisateurs, comme moi, de Tails.

Quelques points négatifs à noter, mais ils sont loin d’être éliminatoires. D’abord la taille des touches du digicode. Il est conseillé d’avoir les doigt d’un minimoys pour enfoncer les boutons rikikis. Autre point noir et vraiment casse pied. La clé permet de se mettre en mode sécurisé. Comprenez qu’il faut rentrer un mot de passe quand la Secure-K passe en mode « pause ». Sauf que si vous tapez votre mot de passe en « azerty » lors de l’installation de votre password, ce dernier passe en « qwerty » une fois la clé activée. Autant dire que mon mot de passe Qponz157!=#7awq c’est transformé en Aponw157!=#7qza.

Lors des tests, les logs des sites visités étaient incapables de cibler le point de connexion de la machine sous Secure-K. Aucune traces, non plus, dans les machines utilisées pour les tests. Seul bémol, les fichiers téléchargés sur la clé USB Secure-K ont pu être transférés sur une autre clé USB, connectée en même temps, sans que les documents ne soient chiffrés sur le nouveau support. Cela implique donc qu’il ne faut jamais quitter la machine des yeux, même quelques secondes. La clé Dunky m’a permis de copier des fichiers RTF en quelques secondes, automatiquement.

Le supplément de sécurité proposé par Secure-K devrait plaire aux voyageurs et internautes sensibles à la sécurité de leur vie numérique. Au DSI aussi. Ce type de clé répond au nouveau Règlement Général sur la sécurité des Données Personnels, le RGPD. L’article 32 sur la « Sécurité du traitement » indique que l’entreprise doit garantir la sécurité des données grâce à la mise en place d’un chiffrement des données personnelles, d’être dans la capacité d’assurer la confidentialité et l’intégrité permanentes des données, et avoir une disponibilité et une résilience du système, par une restauration rapide afin d’accéder aux données personnelles, rapidement, en cas d’accident physique ou technique.

Dernier point, la clé a été testée en zone humine (Thaïlande), elle a résisté sans problème à la mousson. Cependant, ne l’oubliez pas dans une poche de pantalon, là, elle va s’y noyer.
Plusieurs clés Secure-K sont proposées, la personnelle et l’entreprise, 8 Go, 16 Go, 32 Go et 64 Go sont disponibles d’ici peu au prix de départ de 99€.

Après le test et le mode d’emploi pour utiliser l’outil de chiffrement gratuit et open source Diskcryptor, découverte d’une autre solution de sécurité, VeraCrypt. Elle va permettre de protéger les données dans votre ordinateur, et lors du transport des précieuses informations. En savoir plus. ; La sécurisation de nos données est devenue indispensable aujourd’hui. Piratage, espionnage, malveillance, sont légions et nous sommes tous, potentiellement, des cibles. Je vais vous expliquer comment chiffrer vos supports de sauvegarde afin de les rendre illisibles sans votre accord avec le logiciel Diskcryptor. En savoir plus.

Chiffrement, Cyber-attaque, Cybersécurité, Entreprise, Fuite de données, IOT, Piratage, Securite informatique

IoT et sécurité : un couple encore maudit

Les objets connectés IoT sont de plus en plus utilisés par les cybercriminels pour former des réseaux de botnet. Il n’y a pas de segmentation des cibles : les IoT (Internet of Things – Internet des Objets) des particuliers sont autant ciblés que ceux des professionnels.

Une fois que l’objet connecté est piraté, il agit comme un zombie et dépend des commandes reçues par l’attaquant. Les cyberattaques basées sur des armées d’IoT piratées peuvent ainsi se multiplier et perpétrer des vols de données de santé ou d’informations personnelles.

Cas pratiques : exemples d’attaques ciblées
En septembre 2016, l‘hébergeur OVH est victime d’une attaque DDoS. Près de 145 000 objets connectés sont pilotés à l’insu de leurs utilisateurs par un serveur botnet. Cette attaque massive sature les serveurs de l’hébergeur et perturbe la distribution des services auprès de ses clients. Quelques semaines plus tard, c’est au tour du serveur DNS Dyn, acteur stratégique de l’Internet aux États-Unis, d’être ciblé. Des millions de caméras de sécurité, routeurs et autres objets connectés deviennent le vecteur d’attaque (réseau botnet) d’un serveur central.

Les IoT en chiffres : estimations et constats
En 2014, IDC annonce qu’il existe à travers le monde 200 milliards d’objets capables de se connecter à Internet. 14 milliards d’entre eux (soit 7%) communiquent déjà via Internet et représentent 2% des données numériques mondiales. D’ici à 2020, IDC prévoit entre 30 et 50 milliards d’IoT, représentant à eux seuls 10% du volume total de données générées. Fin juillet 2015, les différentes études menées par HP Fortify portant sur la sécurité des IoT révèlent que les montres connectées sont une nouvelle cible pour les pirates. 100% des appareils testés présentent des vulnérabilités. Celles-ci mettent en évidence la mauvaise protection des données personnelles (authentification et chiffrement insuffisants par exemple).

Deux ans plus tard, où en sommes-nous ?
Les attaques augmentent et les techniques progressent. Le malware Mirai utilisé pour corrompre des IoT se fait doubler par Hajime, un logiciel malveillant aux mêmes fonctions, mais plus puissant. À l’échelle mondiale, 100 000 IoT seraient infectés par Hajime.

Chaque mois, de nouvelles cyberattaques DDoS apparaissent. Sur le blog d’ESET (WeLiveSecurity.com), les chercheurs relèvent qu’un botnet P2P de 2003 a été mis à jour pour s’adapter aux nouveaux agents connectés. Il semblerait que les botnets autrefois sur ordinateurs se dirigent vers les mobiles… Et prochainement sur les objets connectés.

La sécurisation des IoT : négligence des constructeurs ?
Les constructeurs d’IoT concentrent leurs efforts sur la technologie de leur appareil. Les coûts de fabrication de la plupart d’entre eux sont faibles, permettant ainsi de proposer un produit accessible au public. Administrer des systèmes de sécurité dans ces appareils est long, coûteux et compliqué. Or, les constructeurs veulent rentabiliser rapidement la commercialisation de leur IoT. La partie sécurité n’est donc généralement pas prise en compte. Heureusement, tous ne sont pas dans ce cas de figure.

D’ici 2018, IDC prévoit que 34% des dépenses en sécurité se feront sur la protection des données à caractère personnel. À cette date, chaque particulier disposera au total d’une trentaine d’objets connectés : smartphone, voiture connectée, montre, réfrigérateur, box, jouet pour enfants…

Quelles solutions pour se prémunir des attaques ciblant les IoT ?
Bien que certaines normes soient en place, aucune réglementation n’oblige les constructeurs à mettre en place des mesures de sécurité sur les IoT. En attendant, la première étape serait d’acheter des objets connectés de qualité conformes aux normes de sécurité actuelles. Les experts ESET conseillent également de mettre à jour les logiciels et de tester les appareils. Ceci permettra de détecter d’éventuelles vulnérabilités (mots de passe mis par défaut) et d’y remédier. Enfin, la sécurisation du réseau est indispensable.

Dans ce contexte, comment détecter les nombreuses menaces issues de milliards d’appareils ? Est-ce faisable en mode proactif et dès leur création ? Les gestionnaires de risque des grandes entreprises déclarent travailler en moyenne avec une cinquantaine de solutions de sécurité. Combien sont réellement adaptées aux cybermenaces que représente l’emploi de l’IoT ?

Communiqué de presse, Cyber-attaque, Leak, Piratage

Les cyber menaces basculeraient vers Linux et les Serveurs Web

Un rapport WatchGuard sur la Sécurité Internet évalue les principales menaces au cours du premier trimestre 2017. Pour ce vendeur de solution de sécurité informatique, les cyber menaces basculeraient vers Linux et les Serveurs Web.

Un nouveau rapport sur les cyber menaces ! WatchGuard Technologies, société spécialisée dans le domaine des solutions avancées de sécurité réseau, annonce les résultats de son Rapport Trimestriel sur les Menaces Internet, qui dresse le bilan des menaces de sécurité les plus récentes affectant les ordinateurs et les réseaux des petites et moyennes entreprises (PME) et des entreprises distribuées. Parmi ses principales conclusions, le rapport révèle que malgré une baisse en global du nombre de malwares détectés, les malwares sur Linux ont représenté plus de 36% des principales menaces identifiées au cours du premier trimestre 2017. Cette tendance démontre le besoin urgent de mesures de sécurité renforcées pour protéger les serveurs sous Linux et les objets connectés fonctionnant sous Linux.

Ces nouvelles données Firebox Feed nous permettent de prendre le pouls des plus récents malwares et des dernières attaques réseau afin d’identifier des schémas qui influencent un environnement de menaces en constante évolution,” a déclaré Corey Nachreiner, chief technology officer chez WatchGuard Technologies. “Les résultats du rapport du premier trimestre continuent de souligner l’importance et l’efficacité de mesures de sécurité de base, de multiples couches de défenses et d’une prévention avancée contre les malwares. Nous encourageons nos lecteurs à examiner les principales conclusions du rapport, et à les prendre en compte dans les stratégies de sécurité de leurs organisations.

Le Rapport sur les Menaces Internet de WatchGuard est conçu pour offrir des informations, des études et des recommandations en matière de sécurité pour aider ses lecteurs à mieux se protéger, eux et leurs organisations contre les nouveaux vecteurs de menaces. Les principales conclusions du rapport du premier trimestre 2017 comprennent:

  • cyber menaces : Les malwares sous Linux sont en augmentation, et représentent 36% des principaux malwares détectés au premier trimestre. La présence accrue de malwares de type Linux/Exploit, Linux/Downloader et Linux/Flooder illustrent l’intérêt toujours plus grand des attaquants pour les serveurs Linux et les objets connectés. Les utilisateurs doivent protéger leurs objets connectés et leurs serveurs sous Linux des attaques provenant d’Internet avec des défenses sur plusieurs niveaux.
  • cyber menaces : Les antivirus traditionnels continuent de manquer les nouveaux malwares – à un taux plus élevé. En fait, les solutions antivirus ont ignoré 38% de toutes les menaces identifiées par WatchGuard au premier trimestre, comparé à 30% au quatrième trimestre 2016. Le nombre croissant de malwares nouveaux ou zero day passant au travers des antivirus tradtionnels souligne les faiblesses des solutions de détection basées sur des signatures et le besoin pour des services capables de détecter et de bloquer les menaces persistantes avancées (APT).
  • Les cyber menaces basculent vers les serveurs web. Au cours du dernier trimestre, les attaques via des sites web piégés et via des navigateurs web ont prédominé. Durant cette période, 82 pour cent des principales attaques réseau ont ciblé des serveurs web (ou d’autres services web). Les utilisateurs doivent améliorer les défenses de leurs serveurs web en renforçant les contrôles d’accès, en limitant leur exposition sur le web, et en mettant à jour systématiquement leurs logiciels.
  • cyber menaces : Des attaquants exploitent toujours la faille Android StageFright. Cet exploit a commencé à se faire connaître en 2015, et prouve sa longévité en étant la première menace spécifique aux mobiles à entrer dans la liste des 10 principales attaques du WatchGuard Threat Lab cette année. Au minimum, les utilisateurs Android devraient régulièrement mettre à jour leurs systèmes pour prévenir des attaques sur mobile telles que StageFright.
  • Moins d’attaques à connotation saisonnière. Globalement, le volume des menaces détectées au premier trimestre 2017 a diminué de 52% par rapport au quatrième trimestre 2016. Nous pensons que cette baisse peut être attribuée à l’absence de campagnes d’attaques saisonnières liées aux congés du quatrième trimestre, qui ont gonflé le nombre de menaces durant cette période.

Le Rapport sur les Menaces Internet de WatchGuard est basé sur des données Firebox Feed anonymes provenant de plus de 26.500 boîtiers UTM WatchGuard en service à travers le monde, qui représentent une faible portion de la base installée totale de la société. Ces boîtiers ont bloqué plus de 7 millions de variantes de malware au premier trimestre, ce qui correspond à 266 variantes en moyenne par boîtier participant. Les boîtiers WatchGuard ont également bloqué plus de 2,5 millions d’attaques réseau au premier trimestre, ce qui correspond à 156 attaques bloquées par boîtier. Le rapport complet comprend un état détaillé des tendances du trimestre relatives aux malwares et aux attaques, une analyse des révélations Vault 7 de la CIA et des enseignements importants sur les stratégies de défense. Le rapport comprend également un nouveau projet de recherche du WatchGuard Threat Lab, consacré à une nouvelle vulnérabilité sur un appareil photo connecté largement répandu. Pour plus d’informations, le rapport complet est téléchargeable à l’adresse: www.watchguard.com/security-report

APT, Base de données, BYOD, Chiffrement, Cloud, Cybersécurité, Entreprise, Mise à jour, Securite informatique

Les risques, les vulnérabilités, les licences des logiciels open source

Les risques concernant la sécurité et la conformité des composants tiers atteignent des proportions incontrôlables, et menacent l’intégrité même de la chaîne d’approvisionnement de logiciels.  Il suffit de voir l’impact de la faille Heartbleed pour s’en convaincre !

Aujourd’hui, les entreprises incluent davantage de code open source que d’éléments conçus en interne ou propriétaires dans leurs produits.  Malheureusement, en profitant de ces logiciels open source (OSS) pour accélérer le développement de leurs produits, la plupart d’entre elles ne respectent pas les licences open source associées à ces composants.  Bien que les OSS soient gratuits, leurs utilisateurs ne sont pas pour autant libres de toute obligation les concernant.  Celles-ci peuvent aller de la reproduction de déclarations de droits d’auteur ou d’une copie d’un document de licence à la divulgation de l’intégralité du code source de leurs produits.  Des enquêtes récentes ont montré que la plupart des entreprises ne connaissent qu’un faible pourcentage des composants open source sur lesquels elles s’appuient, et ne sont donc pas en mesure de respecter les obligations indiquées dans les licences de ces éléments.  En outre, ces logiciels peuvent comporter des bugs ou des vulnérabilités susceptibles d’affecter votre produit.  Sans un suivi adéquat, ce dernier peut passer à côté de mises à jour ou de patches corrigeant des vulnérabilités connues. Mais malgré cela l’open source offre de précieux avantages.

Découverte, gestion et conformité en cinq étapes

Face aux problématiques de conformité ou de gestion des vulnérabilités des OSS, la première question est généralement : « Comment savoir quels composants open source nous utilisons ? » Il est possible de mieux comprendre ce que l’on fait et de mettre en place un processus pour découvrir, gérer et s’assurer de la conformité avec ces OSS en cinq étapes.

Étape 1 :  comprendre comment les OSS sont introduits dans votre entreprise

Les OSS peuvent s’introduire de différentes façons.  Cas classique : un développeur décide d’utiliser un composant open source, télécharge le code source, et l’intègre au produit.  Ce cas est encore très fréquent, mais il existe bien d’autres scénarios.  Très souvent, les développeurs utilisent ce qu’on appelle des gestionnaires de référentiels (repository manager).  Ces outils leur permettent d’indiquer les composants qu’ils veulent utiliser, puis s’occupent eux-mêmes d’en télécharger le code source ou des fichiers binaires compilés. Ces gestionnaires stockent généralement les composants open source dans un référentiel distinct, hors du système classique de gestion des codes source.  On peut notamment citer parmi eux Maven, Nuget ou npm.

Des éléments open source peuvent également être introduits dans une organisation en tant que sous-composant d’un composant open source plus important ou commercial.  Les composants de premier niveau ont très souvent plusieurs sous-composants ou dépendances open source, qui sont rarement divulgués ou gérés.

En outre, ces éléments serviront de pièces d’une infrastructure runtime, comme des serveurs Web, des systèmes d’exploitation ou des bases de données et peuvent permettre de contrer les risques.

Étape 2 :  chercher les OSS

Une fois que vous savez comment vos composants open source sont sélectionnés et utilisés, vous pouvez évaluer les risques et ceux dont vous avez besoin, et comment ils sont utilisés ou répartis.  On appelle ça dresser une nomenclature (Bill of Materials), ou une liste de divulgation.  Cette liste sert à suivre les obligations, à modifier les politiques vis-à-vis des OSS, et à réagir aux vulnérabilités rendues publiques.  Souvent, des paquets open source comporteront des termes de licence que votre organisation ne pourra pas respecter, ce qui pose automatiquement un problème de conformité.  Dans de tels cas, le composant en question devra être supprimé et la fonctionnalité remplacée, soit par un autre composant OSS, ou en écrivant une fonctionnalité équivalente.

L’examen du code base, les risques, la tenue d’entretiens et l’utilisation d’outils d’analyse de code peuvent être utiles dans le cadre de ce processus.

Étape 3 : questionner l’équipe de développement

Les projets devenant sans cesse plus vastes, complexes et distribués, il est de plus en plus difficile de découvrir l’ensemble des éléments utilisés.  Il est donc important d’avoir des échanges réguliers avec les développeurs, équipes DevOps, ainsi que l’ensemble du personnel informatique impliqué dans la création, le déploiement et la mise en œuvre du projet en question.  Posez-leur des questions ciblées, comme « Quelle base de données utilisons-nous ? », ou « Quelle bibliothèque de chiffrement utilisons-nous ? ».  Cela peut être utile pour découvrir d’autres modules potentiellement passés inaperçus la première fois.

Demander simplement « Quel code open source utilisons-nous » permet rarement de créer une liste complète pour un certain nombre de raisons, notamment à cause d’oublis ou de l’absence de registres adéquats.

Étape 4 : comprendre comment les OSS entrants sont gérés

La gestion des composants tiers et les risques doivent faire l’objet d’un processus cohérent et correctement appliqué.  Votre organisation pourra ainsi respecter ses obligations des licences open source, mais aussi faire face à de nouvelles vulnérabilités.  Il est fréquent de voir ce processus atteindre différentes étapes et niveaux de conformité.  Certaines organisations se contentent encore de suivre les composants « sollicités » par les développeurs.  Celles-ci n’ont souvent connaissance que des éléments les plus importants, ou découvrent que certains développeurs sont plus assidus que d’autres dans le cadre du respect du processus.

D’autres entreprises utilisent des outils d’analyse pour découvrir et suivre leurs OSS.  Leurs résultats varieront en fonction des solutions utilisées ou du niveau d’analyse.  Certains outils ne découvrent que les textes de licence, pas les composants open source. D’autres ne peuvent retrouver que les composants gérés par des gestionnaires de paquets.  Il est donc important de savoir quel niveau d’analyse est adopté et ce que l’on peut espérer repérer…

Étape 5 :  cherchez des preuves de conformité des OSS

Une fois toutes ces étapes franchies, il est important de confirmer la visibilité de cette conformité.  Les déclarations et autres avis légaux (droits d’auteurs) nécessaires sont-ils présents dans les produits ou leur documentation ?  Les textes des licences sont-ils visibles comme il se doit ?  Existe-t-il une offre écrite relative au code source ou ses distributions, et ciblant du contenu rendu libre que vous utilisez ?  Tous ces éléments seront les témoins visibles de l’efficacité de votre processus de gestion des composants open source.

En suivant ces cinq étapes, en sensibilisant votre personnel à l’utilisation adaptée des OSS, et en encourageant les membres de votre écosystème à en faire de même, vous pourrez créer des applications modernes et puissantes, tout en respectant les licences open source.

En outre, plus vous en savez sur les ingrédients, les éléments tiers et les vulnérabilités de votre produit, mieux ce dernier pourra être sécurisé et pris en charge ! (Par Christian Hindre – Directeur Commercial Europe de Flexera Software)

Communiqué de presse, Cybersécurité, IOT

Valeur ou vanité, quelle est vraiment la promesse de l’Internet des Objets ?

« Vanité des vanités, tout est vanité. » dit l’Ecclésiaste. Ces mots prononcés il y a des milliers d’années pourraient bien décrire les appareils connectés en ce moment, ou peut-être pas. Les brosses connectées et autres appareils du genre ont-ils réellement de la valeur ?

Les analystes ont tranché et classent ainsi les objets connectés en deux groupes essentiels : valeur ou vanité. L’appareil apporte-t-il réellement de la valeur à l’utilisateur ou ne sert-il qu’à rendre plus beau ou plus intéressant ? ; la liste ressemble donc à cela :
• Les objets connectés axés sur la valeur : les caméras, les thermostats, les appareils de sport, …
• Les objets connectés axés sur la vanité : les chaussettes intelligentes, les tétines connectées, les bagues intelligentes, …

Effectivement, c’est une liste subjective mais il faut bien commencer quelque part. Après tout, lorsque vous essayez une Lamborghini, on vous demande ce que vous ressentez au volant et non pas combien de secondes vous avez gagné sur votre trajet du matin.

Mais qui sont les acheteurs d’appareils connectés, qu’ils soient tendance ou sur le marché depuis quelques années ? Comment les gens décident-ils de ce qui finit ou non dans leur panier ? Comme pour tous les achats, de nombreux facteurs entrent en ligne de compte, mais si l’on simplifie les choses, il reste deux grands groupes d’utilisateurs :

• Les « early adopters » qui ont de grandes attentes à partir du moment où ils achètent un nouveau gadget. Une fois l’achat effectué, ils utilisent leur appareil très fréquemment mais cela ne dure pas longtemps. Puis, dès qu’un nouvel appareil fait son apparition dans le commerce et attire l’attention de l’utilisateur, l’ancien gadget finit dans le tiroir. Et retrouve les chaussettes à carreaux. Je suis sûr que les neurologues diront que ce genre d’obsession pour un objet a les mêmes effets sur le cerveau qu’une aventure amoureuse.

• Les autres utilisateurs qui réagissent moins sur le coup de l’impulsion. Ils font attention au rapport qualité/prix et se posent souvent des questions sur la sécurité. Lorsqu’ils achètent un objet connecté, ils pensent à la valeur, au long terme, et s’attendent à un retour sur investissement précis, que ça soit en matière d’économies financières ou de confort. Alors qu’un early adopter achète quelque chose parce que cela fait bien et qu’il a l’impression qu’il en a vraiment besoin (même s’il ne sait pas exactement pourquoi), l’utilisateur normal n’achète pas sur le coup de l’impulsion. Du moins pas les appareils connectés. Il évalue, lit des tests et des critiques de produit, demande peut-être même conseil à ses proches pour savoir si l’achat en vaut la peine.

Alors… quels appareils connectés valent la peine d’être achetés ?

C’est une question légitime, mais à laquelle il est difficile de répondre. Vous avez peut-être déjà entendu le proverbe : « La beauté est dans l’œil de celui qui regarde ». Il en va de même pour la valeur. Voici cinq catégories principales d’objets connectés que vous pourriez trouver intéressants ou utiles. Vous en possédez peut-être déjà un dans la liste ci-dessous ou vous ne saviez peut-être pas qu’ils existaient en version connectée !

• Les caméras connectées
Elles vous permettent de garder un œil sur votre nourrisson lorsque vous êtes dans la pièce d’à côté ou de surveiller votre domicile lorsque vous êtes en vacances. Exemples de produits : D-Link, Nestcam.
• Les thermostats
Ces thermostats sont électroniques, programmables, connectés à votre réseau WiFi et apprennent de vos habitudes. Ils permettent d’optimiser le chauffage et la climatisation de domiciles ou d’entreprises et de faire des économies d’énergie. Soyons honnêtes, qui n’en veut pas un ? Exemples de produits : Nest, Ecobee, Netatmo
• Les assistants personnels
Ils font fureur ! Ils sont capables de répondre à votre voix, de lire de la musique, de faire des listes, de programmer des réveils, de diffuser des podcasts, de lire des livres audios et de vous donner des informations en temps réel sur la météo, la circulation et les actualités. Ils peuvent même faire vos courses pour vous, même si vous ne vouliez rien au départ. Exemples de produits : Amazon Echo et Alexa, Google Home
• Les prises et interrupteurs
Allumez ou éteignez les lumières et l’électricité chez vous depuis n’importe où, que ça soit depuis l’autre bout de la maison, le jardin ou le bout du monde. Exemples de produits : WeMo, Philips Hue
• Les appareils de sport
Combien avez-vous marché ou couru ? Combien de calories avez-vous brûlées ? Qu’en est-il de votre fréquence cardiaque ? Un appareil de fitness a la réponse à toutes ces questions, peut-être même plus. Exemples de produits : Fitbit, Withings, Garmin

Tous les appareils énumérés ci-dessus sont considérés comme utiles par les utilisateurs « normaux » mais ils comportent leur lot de risques, comme lorsque Alexa s’est lancée dans une session de shopping ou quand les caméras connectées ont été utilisées pour mener des attaques DDoS d’ampleur. La question primordiale est peut-être celle-ci : la valeur l’emporte-t-elle sur les risques et savez-vous comment vous protéger ? C’est à vous de décider. (Avira)

APT, Communiqué de presse, Cybersécurité, Entreprise, Fuite de données, Mise à jour, Social engineering

Le cyberespionnage via les APT devient le pire cauchemar des entreprises

En France, plus de deux tiers (71 %) des DSI estiment que leur entreprise pourrait « certainement » être la cible de campagnes de cyberespionnage utilisant des menaces persistantes avancées (Advanced Persistent Threats – APT) selon une récente étude.

Les APT, des cyber-outils complexes conçus sur mesure pour attaquer des grandes entreprises ou organismes d’état, et collecter discrètement des données sensibles sur de longues périodes. 27 % des personnes interrogées considèrent que leur infrastructure informatique pourrait « éventuellement » être la cible d’actions de cyberespionnage de haut niveau visant à exfiltrer des informations de manière systématique.

Seule une petite minorité n’est pas préoccupée par les APT

L’année dernière, des entreprises de  grande envergure ont été confrontées à un nombre croissant d’incidents et de violations de sécurité, avec une augmentation significative des APT et des attaques ciblées visant aussi bien les entreprises que les entités gouvernementales (telles que APT-28 et, plus récemment, Netrepser). En fait, moins de 2% des DSI considèrent que les APT ne sont pas une menace réelle pour leur environnement de travail. Les inquiétudes sur la sécurité vont en se multipliant, et la question est de plus en plus souvent traitée par les conseils d’administration des entreprises. Les hauts responsables de services informatiques, tout comme les membres des conseils d’administration s’en préoccupent de plus en plus, non seulement parce qu’une violation de la sécurité peut leur coûter cher, mais aussi parce que le futur des entreprises est en jeu quand des données sensibles sont dérobées par des pirates informatiques.

Les risques ne sont pas toujours visibles, mais ils sont bien présents

Étonnamment, si 42% des DSI ont déclaré qu’il leur faudrait entre quelques semaines et un mois pour repérer une APT, 23% d’entre eux pensent qu’il leur faudrait entre deux mois et plus d’un an pour détecter les menaces modernes les plus sophistiquées. Preuve que de nombreux professionnels interrogés sont au courant et craignent ces menaces, mais qu’ils pensent ne pas être suffisamment bien protégés pour les détecter et les bloquer.

Selon Liviu Arsene, Analyste des e-menaces chez Bitdefender, « les cyberattaques peuvent passer inaperçues pendant des mois et, dans la plupart des cas, les violations proviennent de failles Zero-day ou de malwares s’attaquant au noyau du système. Ce sont précisément ces vulnérabilités que ciblent les APT, car elles leur évitent d’être détectées. Les exploits au niveau du noyau et les rootkits peuvent échapper aux solutions de sécurité traditionnelles pour endpoints et prendre le contrôle total du système d’exploitation. »

Les menaces persistantes les plus avancées ne se limitent pas aux attaques soutenues par des États : les entreprises peuvent également devenir les victimes de cybercriminels qui exploitent des vulnérabilités Zero-day pour diffuser des malwares extrêmement ciblés conçus pour les espionner et voler des éléments de propriété intellectuelle. L’enquête de Bitdefender confirme que les RSSI considèrent leurs concurrents comme les plus susceptibles d’attaquer leurs entreprises, dans le cadre d’un espionnage professionnel (66%), suivis des hackers (57%).Les cybercriminels soutenus par des Etats, les agences gouvernementales et les personnes en interne arrivent respectivement en 3ème, 4ème et 5ème position (51, 41 et 30%).

Les risques sont réels, et les entreprises doivent les limiter

76 % des responsables de services informatiques français estiment que la pire conséquence à craindre d’une attaque par une APT est d’ordre financier. En deuxième position on retrouve l’atteinte à la réputation (66%), suivie de la faillite (51%). Parmi les risques les plus sinistres, citons également la guerre ou les cyber-conflits (24%) ; et même un décès par suicide ou attaque cardiaque (14%).

Les entreprises ont surtout peur de perdre des informations relatives à leurs clients (52%), suivies des informations financières (47%), des recherches sur de nouveaux produits (37%), des informations sur certains employés (35%), des informations et de caractéristiques de produits (34%), leur propriété intellectuelle (34%) et leurs recherches sur la concurrence (20%).

Ainsi, 94 % des conseils d’administration estiment que la cybersécurité est un sujet critique dans la gestion des risques de l’entreprise, avec des conséquences sévères sur leur situation financière et leur réputation si elle est négligée. Seuls 4% ne lui accordent pas encore une telle importance. La plupart des entreprises (58%) ont un plan de réponse aux incidents et un plan de reprise après sinistre dans le cas d’une attaque par APT ou d’une violation de sécurité massive, et 40% reconnaissent qu’elles sont en train d’élaborer une stratégie en la matière. Moins de 2% n’ont adopté aucune procédure de ce type à ce jour, et n’’envisagent pas de le faire dans le futur.

Une sécurité multi-couches est la meilleure solution

64% des responsables informatiques français interrogés perçoivent la défense multi-couches, associant plusieurs politiques de sécurité et outils conçus pour combattre les menaces et intrusions modernes, comme étant la meilleure défense contre les menaces persistantes avancées. Les audits de sécurité, les solutions de nouvelle génération, la sécurité traditionnelle et la surveillance des journaux ont également été mentionnés par plus d’un tiers des sondés. (Bitdefender)

Banque, Chiffrement, cryptage, Cybersécurité, Entreprise, Mise à jour, Paiement en ligne, Patch

Sécuriser son achat sur Internet : nouvelle version de la technologie Verified by Visa

Sécuriser son achat sur Internet ! Visa lance une nouvelle version de la technologie Verified by Visa pour sécuriser et simplifier davantage les paiements en ligne

Sécuriser son achat sur Internet ! Visa annonce l’amélioration prochaine de son service Verified by Visa, une solution globale conçue pour rendre les paiements en ligne plus sûrs en s’assurant que ces paiements soient effectivement réalisés par le titulaire du compte Visa. La nouvelle version apportera aux institutions financières et aux commerçants des données de transaction enrichies permettant une meilleure authentification des consommateurs, réduisant ainsi les cas de fraude pour les achats effectués à partir d’un navigateur Internet fixe ou mobile, d’une application ou d’un objet connecté. Dans le cadre de cette mise à jour, Visa renforce ses systèmes pour soutenir
3-D Secure 2.0, la nouvelle génération de la plateforme de sécurité créée par Visa et servant de socle technologique au service Verified bv Visa.

Grâce à la mise à jour de 3-D Secure 2.0, les émetteurs de moyen de paiement Visa et les commerçants auront plus d’options pour personnaliser le processus d’authentification et rendre l’expérience d’achat toujours plus rapide et ergonome. Bref, Sécuriser son achat sur Internet deviendra plus efficace encore. En construisant un canal de partage d’informations en temps réel et collaboratif, Visa améliore le transfert de données entre commerçants et émetteurs qui accèdent ainsi accès à une masse d’informations inédite relative aux transactions (type d’appareil, adresse de livraison…),  et peuvent vérifier en temps réel l’identité de leurs clients avec davantage d’exactitude. Les études montrent que la durée de règlement des paniers d’achat peut être réduite de 85% avec le nouveau système, et qu’il pourrait y avoir jusqu’à 70%  de diminution du taux d’abandon de panier.

Sécuriser son achat sur Internet

« Les technologies d’authentification ont énormément évolué depuis l’époque des bandes magnétiques et des signatures, tout comme notre manière de payer : d’où le besoin d’innovation pour assurer la sécurité des achats. La grande majorité des Européens utilise aujourd’hui un appareil mobile pour effectuer des paiements, mais la fraude et les problèmes de sécurité restent le frein numéro un à l’adoption, » remarque Mike Lemberger, Senior Vice President, Product Solutions Europe, Visa.

« En soutenant le développement de la plateforme 3DS 2.0, nous sommes en mesure d’offrir un service d’authentification amélioré qui rend ces paiements à la fois plus rapides et mieux sécurisés. Cela permet aux e-commerçants européens de s’attaquer à l’enjeu stratégique des abandons de paniers. Cette mise à jour apporte également tous les outils nécessaires pour se conformer aux dispositions de la Directive Service de Paiement 2 (DSP2) pour les paiements par carte : un avantage majeur qu’il ne faudrait pas sous-estimer. »

Pour donner du temps aux émetteurs de moyens de paiement Visa et aux commerçants de tester, réaliser des pilotes et déployer les solutions, les règles actuelles s’appliquant aux tests commerçants pour les transactions utilisant 3-D Secure s’étendront jusqu’à la version mise à jour début avril 2019. Les commerçants et les émetteurs travaillent déjà à la mise en place de la nouvelle version et Visa prévoit son adoption à partir du deuxième semestre 2017. Visa collaborera avec ses clients et ses partenaires dans le monde entier pour accompagner le déploiement et l’utilisation des nouvelles solutions 3-D Secure 2.0, au service de la sécurité des paiements et d’un meilleur taux d’autorisation des transactions, pour assurer une expérience fluide et intuitive du paiement digital.

Cette nouvelle version ayant la capacité de fonctionner sur de multiples appareils (mobile, app, navigateur Internet), elle aidera à renforcer la protection des consommateurs, quels que soient le lieu et le mode de paiement choisi. L’étude Digital Payments 2016 de Visa, qui a interrogé plus de 36 000 consommateurs européens, révèle que trois fois plus d’entre eux effectuent régulièrement des paiements avec un appareil mobile par rapport à 2015 (54% contre 18%). Les améliorations permettront aussi l’intégration future de technologies de paiement dans l’Internet des Objets, alors que Gartner prévoit plus de 20,8 milliards d’objets connectés d’ici 2020. L’amélioration de l’authentification basée sur le risque atténuera les points de friction en réduisant les étapes supplémentaires de vérification, tels que les mots de passe statiques ou les codes PIN, lors d’un achat quel que soit le terminal utilisé.

Chiffrement, cryptage, Cybersécurité, Entreprise, Espionnae, Fuite de données, ID, Identité numérique, Justice, Particuliers, Sauvegarde, Social engineering

Fuite de données sensibles concernant des juges

Un document papier retraçant les identités, les adresses et les numéros de téléphones de dizaines de juges découvert… par terre !

Le moins que l’on puisse dire est que les fuites de données peuvent prendre toutes les formes possibles et imaginables. 126 juges canadiens viennent de découvrir les joies du document ulta sécurisé, tellement qu’il n’existe qu’en version papier… mais qui se retrouve au sol, sur une place de parking. Un dossier comprenant les identités, les adresses postales privées, les numéros de téléphones de juges. Une tête en l’air l’a oublié ? la fait tomber ?

Comme l’indique nos cousins de « La Presse« , une copie a été retrouvée sur la place de stationnement d’un commerce des Laurentides. Un document qui n’existerait pas en mode numérique [ils l’ont tapé avec une vieille machine à écrire ?, NDR], sur aucun serveur et qu’il « est interdit de transmettre par voie électronique » [donc en numérique !, NDR].

Plus étonnant, cette liste, en plus des données professionnelles, comporte aussi les données privées, dont les identités des conjoints. Vue l’ambiance locale entre les nombreuses affaires de corruptions, de détournement d’argent, une telle liste pourrait être particulièrement préjudiciable pour le pays et ces hommes de loi.

Antivirus, BYOD, Cybersécurité, Entreprise, Linux, Logiciels, Mise à jour, Patch

10 failles corrigées pour VirusScan Linux de McAfee

L’éditeur d’antivirus a mis en ligne des correctifs permettant de corriger une dizaine de faille visant son logiciel d’entreprise ViruScan Linux.

McAfee, filiale d’Intel, a publié des correctifs pour dix failles pour la version de VirusScan Entreprise tournant sous Linux [McAfee VirusScan Enterprise for Linux]. Des failles qui permettent à un attaquant de prendre la main, à distance, sur un système. McAfee avait été notifié de ces trous de sécurité… il y a six mois.

Le chercheur en sécurité Andrew Fasano du MIT Lincoln Laboratory a déclaré qu’au total, se sont 10 failles de sécurité qui ont été patchées. Les problèmes de sécurité permettaient l’exécution de code à distance en tant qu’utilisateur root. « Voilà donc un logiciel peut apprécié, qui fonctionne en tant que root, qui annonce sécuriser les entreprises, qui n’a pas été patché depuis des lustres » s’amuse le chercheur.

Quatre des failles sont considérées comme critiques : CVE-2016-8020, CVE-2016-8021, CVE-2016-8022 et CVE-2016-8023.

Toutes ces vulnérabilités ont déjà été confirmées dans les versions 1.9.2 à 2.0.2 de McAfee VirusScan Enterprise for Linux. Ils est largement recommandé de mettre à jourl’outil… ou d’en changer !

backdoor, BYOD, Cybersécurité, Entreprise, Espionnae, Fuite de données, Mise à jour, Particuliers, Patch

Faille de sécurité : Netgear met à jour ses routeurs

La firme Netgear, spécialiste dans le matériel informatique, vient de mettre à jour plusieurs de ses routeurs après la découverte d’une faille de sécurité.

Une faille de sécurité particulièrement gênante, elle permettait d’accéder à l’administration du matériel avec un simple URL, vient d’être corrigé par la société Netgear. L’entreprise a publié des mises à jour de firmware pour plusieurs de ses routeurs pour résoudre une vulnérabilité d’injection de commande critique qui peut être exploitée pour détourner à distance les périphériques concernés.

Cette fois, plusieurs routeurs Netgear ont été exposés à cette vulnérabilité permettant potentiellement aux pirates de prendre le contrôle de ces dispositifs. La faiblesse permet une injection de code qui permet d’obtenir des privilèges « root » dans les routeurs Netgear.

Initialement, seuls les routeurs Netgear R7000, R6400 et R8000 étaient considérés comme affectés, mais après analyse, les machines R6250, R6700, R7100LG, R7300DST et R7900 sont aussi impactés. Compte tenu de ce fait, Netgear a publié un firmware « bêta » pour chacun des périphériques affectés.

Netgear travaille sur la finalisation du firmware correcteur. Attention, le firmware bêta n’est qu’une solution temporaire et il peut ne pas fonctionner pour tous les périphériques. Il n’a pas été entièrement testé.