Archives par mot-clé : Single Sign On

Communiqué de presse, RGPD

Haut lieu mondial des attaques par force brute

Une étude tente d’expliquer pourquoi les attaques contre les applications ont la plupart du temps lieu au niveau de l’accès, contournant des processus d’authentification et d’autorisation légitimes. Les attaques par force brute sont généralement définies par, soit dix tentatives de connexion successives infructueuses, ou plus, en moins d’une minute, soit 100 tentatives infructueuses en 24 heures.

Accès ou ne pas avoir d’accès ! Les pirates se posent toujours la question.

En 2018, l’équipe de réponse aux incidents de sécurité de F5 (SIRT, Security Incident Response Team) indiquait que les attaques par force brute à l’encontre des clients de F51 représentaient 18 % du nombre total d’attaques et 19 % des incidents traités.

De toutes les attaques enregistrées par le SIRT qui ont eu lieu dans la région EMEA l’année dernière, 43,5 % étaient des attaques par force brute.

Le Canada arrive juste derrière (41,7 % des attaques enregistrées), suivi des États-Unis (33,3 %) et de la région APAC (9,5 %).

Le secteur des services publics a été le plus touché, 50 % de tous les incidents ayant pris la forme d’attaques par force brute, suivi des services financiers (47,8 %) et de l’industrie de de la santé (41,7 %).

L’éducation (27,3 %) et les fournisseurs de services (25 %) étaient aussi dans la ligne de mire.

« Selon la robustesse des capacités de surveillance, les attaques par force brute peuvent sembler inoffensives, comme une connexion légitime avec un nom d’utilisateur et un mot de passe corrects », explique Ray Pompon, principal évangéliste en recherche sur les menaces chez F5 Networks. « Les attaques de cette nature peuvent être difficiles à détecter car, en ce qui concerne le système, le hacker semble être l’utilisateur légitime. »

Attaques massives

Toute application nécessitant une authentification peut potentiellement subir des attaques par force brute, mais le F5 Labs a surtout observé des attaques se concentrant sur l’Authentification via formulaire HTTP (29 % des attaques enregistrées dans le monde). Attaques contre les formulaires d’authentification Web dans le navigateur. Sachant que la plupart des connexions traditionnelles sur le Web prennent cette forme.

Outlook Web Access (17,5 %), Office 365 (12 %), ADFS (17,5 %).

Attaques contre les protocoles d’authentification utilisés pour les serveurs Exchange et Active Directory Federation Services de Microsoft. Ces services n’étant pas accessibles via un navigateur, les utilisateurs s’authentifient auprès d’eux via des applications tierces.

En raison des fonctionnalités d’authentification unique (Single Sign-On) d’Active Directory Federation Services, les attaques d’accès réussies contre ces protocoles ont aussi un impact sur la messagerie électronique, ainsi que sur des Intranets entiers et des volumes importants d’informations sensibles.

SSH/SFTP (18 %). Les attaques d’accès SSH et SFTP sont parmi les plus courantes, ce qui est en partie dû au fait qu’une authentification SSH réussie est souvent un moyen rapide d’obtenir des privilèges administrateur. Les attaques par force brute SSH sont extrêmement prisées des cybercriminels étant donné que de nombreux systèmes continuent d’utiliser des informations d’identification par défaut pour plus de commodité.

S-FTP (6 %). Les attaques S-FTP par force brute sont dangereuses, car elles permettent d’implanter des malwares offrant un large éventail de possibilités, comme l’élévation des privilèges, l’enregistrement des frappes clavier, ainsi que d’autres formes de surveillance et de pénétration du réseau.

Messagerie électronique

La messagerie électronique est globalement le service le plus sujet aux attaques par force brute. Pour les entreprises qui ne dépendent pas fortement du commerce électronique, les ressources les plus précieuses stockées loin du périmètre réseau, derrière plusieurs couches de contrôle. Dans ce cas, la messagerie électronique constitue bien souvent un excellent point de départ pour dérober des données et accéder aux outils nécessaires pour mener une attaque de grande ampleur.

Les attaques relatives aux atteintes à la protection des données identifient également la messagerie électronique comme une cible principale. Elles figurent parmi les deux principales sous-catégories liées au vol d’accès, représentant 39 % des violations d’accès et 34,6 % des causes d’attaques. Le mail est directement en cause dans plus d’un tiers des déclarations de piratage.

Bien se protéger

Selon le rapport Application Protection Report 2019, se protéger contre les attaques au niveau de l’accès représente encore un défi majeur pour de nombreuses entreprises. L’authentification à plusieurs facteurs peut se révéler difficile à mettre en œuvre et n’est pas toujours réalisable dans les délais impartis. Fait inquiétant, bien que les mots de passe n’offrent généralement pas une protection suffisante, le rapport Application Protection Report 2018 de F5 indique que 75 % des entreprises continuent d’utiliser de simples combinaisons nom d’utilisateur/mot de passe pour l’accès à leurs applications Web critiques.

« Même s’il faut s’attendre à ce que les tactiques d’attaque d’accès évoluent en même temps que les technologies de défense, les principes de base d’une bonne protection demeureront essentiels à l’avenir », indique Ray Pompon de chez F5. « Pour commencer, les entreprises doivent s’assurer que leur système peut au moins détecter les attaques par force brute. L’un des principaux problèmes est que la confidentialité et l’intégrité se trouvent parfois en porte-à-faux avec la disponibilité. Il est important de mettre en place des mécanismes de réinitialisation pour l’entreprise et ses utilisateurs. Et ne pas se contenter de définir quelques alarmes de pare-feu pour les tentatives d’attaque par force brute. Il est important de tester les contrôles de surveillance et de réponse, exécuter des tests de scénarios de réponse aux incidents et créer des playbooks de réponse aux incidents pour pouvoir réagir de manière rapide et fiable. »

Chiffrement, cryptage, Cybersécurité, double authentification

Comment allier sécurité et productivité avec l’authentification unique

Un commentaire

Trouver l’équilibre parfait entre sécurité et productivité est une tâche très délicate lorsque l’on travaille dans l’informatique.

Ce principe est très bien illustré dans le besoin pour les utilisateurs Active Directory (AD) d’accéder à plusieurs systèmes grâce à l’utilisation de plates-formes d’authentification unique (SSO).

Du point de vue de l’utilisateur final, l’authentification unique est une excellente idée. Vous vous connectez à une plate-forme, ce qui vous donne accès à plusieurs applications, programmes et sites, sans avoir besoin de vous connecter individuellement à chacun d’entre eux. C’est pratique, rapide et sans tracas. Mais cela peut également s’avérer être un gros risque pour la sécurité comme l’explique la société IS Decisions.

Android, Apple, Chiffrement, cryptage, Cybersécurité, ID, Identité numérique, iOS, ios, Logiciels, Microsoft, Particuliers, RFID, Sécurité, Smartphone, Téléphonie, Windows phone

Coesys mGov : les services gouvernementaux à l’aide d’un téléphone portable

Gemalto lance une solution sécurisée basée sur la carte d’identité électronique et le téléphone NFC pour accélérer l’adoption de l’eGovernment.

Gemalto, spécialiste de la sécurité numérique, annonce le lancement de Coesys mGov, une solution d’authentification mobile pour accéder aux services gouvernementaux en ligne à l’aide d’une carte nationale d’identité sans contact et un téléphone NFC. Cette technologie permet la mise en place de programmes nationaux d’identité sécurisée. Coesys mGov est simple d’utilisation et très pratique pour les citoyens, puisqu’elle permet d’accéder à tous les services grâce à un système d’authentification unique (« Single Sign On »).

Avec Coesys mGov, les citoyens utilisent leur téléphone comme moyen d’authentification et de signature dans un environnement de confiance, pour accéder à un large éventail de services gouvernementaux en ligne. Ces services englobent la santé et le social, la famille, l’emploi et les retraites ou encore l’assurance-maladie. Coesys mGov englobe également les applications associées au permis de conduire, les services municipaux et la citoyenneté, et même le vote en ligne sécurisé et confidentiel.

Coesys mGov aide les gouvernements et les autorités publiques à déployer leurs programmes numériques mobiles en complément de leurs projets d’identité. Les autorités peuvent ainsi répondre aux besoins de sociétés connectées d’aujourd’hui et accroître considérablement l’utilisation des services gouvernementaux en ligne. En outre, le système est suffisamment souple pour renforcer une stratégie d’identification et de sécurité numérique déjà en place. Par exemple, le niveau d’authentification peut être adapté à la nature des services en ligne offerts.

Pour simplifier davantage la vie des utilisateurs, lorsqu’elle est utilisée avec LinqUs Mobile ID de Gemalto, Coesys mGov permet de créer une identité dérivée sécurisée dans la carte SIM ou dans tout autre élément sécurisé du téléphone mobile, ou bien dans le cloud.

« La convergence des appareils mobiles compatibles NFC et l’explosion du nombre de nouveaux programmes nationaux d’identité ouvrent la voie à une nouvelle ère de services innovants axés sur les besoins du citoyen », commente à DataSecurityBreach.fr Frédéric Trojani, vice-président exécutif des Programmes gouvernementaux de Gemalto. « Cette solution extrêmement pratique associe la sécurité et la fiabilité des cartes nationales d’identité électroniques et la simplicité d’utilisation du téléphone portable – une combinaison idéale pour une adoption rapide par tous les citoyens ».

BYOD, Cloud, Entreprise, Fuite de données, Sauvegarde

Le Single Sign On

Un commentaire

Le Single Sign On : Un seul identifiant, un seul mot de passe, une seule connexion pour un accès à des milliers d’applications – comment ça marche ? Luc Caprini – Directeur Europe du Sud de Ping Identity

Qu’est ce que le Single Sign On ?
Le terme « Single Sign On » ou « SSO » peut en effrayer plus d’un et pourtant son principe est relativement simple. Avant d’expliquer en quoi consiste exactement le Single Sign On et quels en sont les bénéfices, il faut tout d’abord détailler le contexte dans lequel le Single Sign On intervient. Cela permet de comprendre toute son utilité.

Aujourd’hui, nous possédons chacun une multitude d’identifiants et de mots de passe dont on ne se rappelle pas toujours. Que ça soit au bureau, ou à domicile, nous ne pouvons échapper au « devoir d’identification » dès que nous allumons un ordinateur, un smartphone ou une tablette.  C’est une contrainte qui ralentit la productivité du collaborateur qui se connecte maintes et maintes fois aux applications de son entreprise ou au cloud et c’est un handicap lorsqu’on ne se souvient plus de ses identifiants pour se connecter sur un site Internet et qu’il est donc impossible d’y accéder.

Principe
C’est là qu’intervient le Single Sign On. En quoi cela consiste exactement ? L’utilisateur dispose simplement d’une interface qui s’ouvre à l’allumage de son terminal et il rentre une seule et unique fois, une seule et unique combinaison « identifiant/mot de passe » qui lui permettra de se connecter automatiquement et de façon sécurisée à toutes les applications de l’entreprise, au cloud et également aux applications Web de type Facebook, Gmail, etc. sans jamais devoir s’identifier une nouvelle fois.

Fonctionnement
Le principe est donc relativement simple. La petite complexité réside dans la gestion de l’identité unique de chaque utilisateur. Cette gestion passe par une solution de fédération des identités. Cela signifie que l’identité et le mot de passe de l’utilisateur sont stockés dans un lieu unique, contrôlé par l’entreprise. Lorsque l’utilisateur accède à l’application, son identité est transmise en toute transparence et en toute sécurité, depuis le Système d’Information (SI) de l’entreprise, au fournisseur de l’application. On appelle cela le SSO fédéré.

Bénéfices
Le SSO fédéré a de multiples avantages pour une entreprise.

Le BYOD
Il permet notamment de favoriser le développement du BYOD. En effet, le SSO fédéré repose sur la base d’un accès sécurisé aux applications de l’entreprise via une identité unique. Cet accès peut donc se faire depuis n’importe quel terminal, qu’il soit  fixe ou mobile. Ainsi, collaborateurs, clients et partenaires ont accès aux applications de l’entreprise depuis leurs propres ordinateurs portables, smartphones ou tablettes sans difficulté. L’entreprise ne craindra donc pas pour ses données.

Réaliser des économies
La réinitialisation des mots de passe entraîne pour l’entreprise un coût de traitement et une baisse de la productivité. En effet, il faut téléphoner à la hotline, patienter puis réinitialiser son mot de passe, ce qui est fastidieux et ennuyeux pour le collaborateur. Dans la pratique, le coût moyen des réinitialisations de mots de passe s’élève à un peu plus de 20€ par employé et par opération. Un seul identifiant, un seul mot de passe, ça ne s’oublie pas. Le SSO fédéré est donc un gain réel de temps et d’argent.

Renforcement de la sécurité
Si l’entreprise n’utilise pas le SSO fédéré, les collaborateurs se connectent donc aux applications de façon classique. Plus les utilisateurs doivent mémoriser d’identifiants et de mots de passe, plus ils optent pour des mots de passe faciles à deviner (phénomène dû à une « lassitude » à l’égard des mots de passe). D’autre part, ces mots de passe peuvent être stockés à des endroits identifiables et être facilement dérobés. Le SSO fédéré permet de résoudre ce problème en centralisant la gestion des accès utilisateurs. De cette manière, lorsqu’un utilisateur ne travaille plus dans l’entreprise, son accès à toutes les applications est désactivé.

Stimulation de la productivité
Prenons l’exemple d’un utilisateur qui se connecte trois fois par jour à une application cloud et supposons que chaque connexion lui prenne environ cinq secondes (en supposant que la connexion s’établisse avec succès). Ce délai semble faible mais il peut avoir des conséquences importantes si l’on considère le calcul suivant :

·         Trois connexions par jour = 15 secondes par jour, par utilisateur et par application
·         Les connexions coûtent à une entreprise de 1 000 utilisateurs 250 minutes par jour et par application (62 500 minutes ou 130 jours ouvrables annuels, en supposant une année de 250 jours de travail par an)

Grâce au SSO fédéré, les utilisateurs peuvent réduire le temps passé à se connecter successivement à plusieurs applications et se consacrer à des activités à plus grande valeur ajoutée.