Articles

Le contrôle en continu : élément clé d’une cybersécurité assurée

La cybersécurité est devenue un élément incontournable et essentielle à prendre en compte dans la vie d’une entreprise. Aujourd’hui, il existe de nombreuses solutions de sécurité afin de protéger les infrastructures d’éventuelles attaques. Cependant, ces solutions n’empêcheront jamais qu’un incident, mineur ou majeur, intervienne au sein des sociétés. Actuellement, une intrusion par un virus, un malware, … est détectée environ deux à trois mois après sa première intrusion. Pendant ce laps de temps, un certain nombre de données peuvent être récupérées ou compromises (mot de passe, données confidentielles, etc), ce qui est nuisible au bon fonctionnement et à la réputation des entreprises. Afin de répondre à ce problème, il est devenu nécessaire de pouvoir contrôler en continu l’ensemble des flux réalisés au sein des systèmes d’informations.

Un rôle réactif mais également préventif

Prenons l’exemple de l’hameçonnage (ou phishing). Lorsqu’une personne renseigne ses coordonnées bancaires sur un site non légitime ayant pris l’apparence d’un site officiel, le temps de détection de la fraude est bien trop long pour empêcher toutes actions du pirate informatique. De manière générale, et malgré l’augmentation des sensibilisations, il est devenu compliqué de corriger techniquement la faille humaine sans impacter le travail du personnel. Avec le contrôle des flux en continu, le temps de détection est considérablement réduit et les actions permettant de contrer les menaces peuvent rapidement être effectuées. De plus, le contrôle en continu peut également avoir un rôle préventif. Dans ce cas, il permet de détecter les failles présentes sur le réseau et de remonter l’ensemble des informations pour effectuer les corrections nécessaires avant qu’une attaque soit réalisée.

Retour d’expérience du CERT Cyberprotect

Pour continuer dans l’exemple précédent, le CERT Cyberprotect est intervenu sur une tentative d’hameçonnage ayant abouti chez un de ses clients. Le 12 juillet 2016 à 11h58, une personne, qui pensait visiter le site de sa banque, a saisie l’ensemble de ses informations de connexion (identifiant + mot de passe) et l’ensemble de ses informations bancaires (numéro de carte bancaire, cryptogramme visuel, numéro de compte, …). L’alerte est rapidement remontée par l’équipement présent chez le client, puis analysée par le CERT Cyberprotect. L’information de l’hameçonnage réussi est alors transmise au client à 12h27 pour que ce dernier puisse prendre les dispositions nécessaires auprès de son établissement bancaire. Dans ce cas de figure, le faux site internet avait repris, à l’identique, les mêmes pages internet que le site web d’origine. Seul l’url aurait pu permettre à la personne concernée de suspecter une tentative d’hameçonnage bien que l’url contenait le nom de la banque. Le contrôle en continu a permis une détection et une intervention rapide pour bloquer les prélèvements sur le compte bancaire concerné. De plus, le faux site bancaire a été signalé à « Phishing initiative » par le CERT Cyberprotect pour éviter que d’autres personnes ne renseignent leurs données sur ce site.

Schéma Cyberprotect

Le contrôle en continu par Cyberprotect

La gestion du risque par Cyberprotect

Pour répondre à ce besoin de contrôle, Cyberprotect a mis en place un service de gestion du risque pour les entreprises, à travers la surveillance et l’optimisation en continue de leur cybersécurité. A la différence des SIEM (voir l’article https://www.cyberprotect.fr/siem-vs-cyberprotect/),  Cyberprotect contrôle en continu, et de manière indépendante, la cybersécurité de ses clients afin de  détecter si le système d’information est victime d’une cyberattaque. En cas de connexion suspecte, les équipes du CERT Cyberprotect procèdent alors à une levée de doute, et en cas de forte suspicion ou d’infection, fournissent les mesures nécessaires à l’éradication de la menace. A travers des solutions telles que Cyberprotect, qui utilise et exploite le contrôle des flux en continu, les entreprises bénéficient d’un niveau de service leur permettant d’assurer leur cybersécurité, et par conséquent, le bon fonctionnement de leur entreprise.

Yoann JOUVENT – Coordinateur au CERT Cyberprotect

 

Vulnérabilité « Poodle » sur protocole SSLv3, attention à vos connexions HTTPS !

Google a annoncé avoir découvert une vulnérabilité (CVE 2014-3566) dans le protocole SSLv3. Cette vulnérabilité peut permettre à un attaquant de décrypter les données contenues dans une connexion chiffrée.

SSL (Secure Sockets Layers) est un protocole de sécurisation utilisé dans les échanges sur Internet.

Par exemple, lorsqu’on se connecte à un service bancaire en ligne (https://mabanque.fr) et que l’on saisit son couple identifiant /mot de passe, ce dernier est chiffré et transmis au site Internet de la banque. En cas d’interception, votre couple identifiant / mot de passe n’apparaitra pas en clair mais dans le cas de cette vulnérabilité, on pourra récupérer ces informations.

La version SSLv3, aujourd’hui en cause, est obsolète mais encore utilisée par de nombreux services Internet. Il est toutefois maintenu en production afin d’assurer une certaine compatibilité avec les anciens navigateurs qui ne prennent pas en charge les protocoles actuelles (TLSv1.1 et TLSv1.2).

L’exploitation de la vulnérabilité est difficile à mettre en place mais reste néanmoins possible.

Il faut réunir trois éléments pour exploiter la vulnérabilité :

1) Le serveur contacté doit supporter le protocole SSLv3
2) Le client (navigateur de l’utilisateur) doit supporter le protocole SSLv3
3) L’attaquant doit pouvoir intercepter le trafic entre l’utilisateur et le serveur

Par défaut, le navigateur utilisera la version du protocole la plus récente, mais s’il n’est pas à jour, il peut utiliser le protocole SSLv3 si le serveur qu’il contacte l’utilise.

Que dois-je faire ?

Coté administrateur : Désactiver l’utilisation du protocole SSLv3 sur vos serveurs (cela peut avoir un impact si des utilisateurs utilisent un navigateur obsolète ou des versions anciennes de Java)

Coté utilisateur : S’assurer d’utiliser un navigateur à jour et désactiver l’utilisation du protocole SSLv3 si cela est possible. Vous pouvez vérifier la vulnérabilité de votre navigateur en faisant un test sur ce site https://www.poodletest.com/

 

Source [ici]

OpenSSL, ce que l’on peut dire sur la faille Heartbleed

Ces dernières 48h ont mis en émoi la communauté de la cybersécurité suite à la découverte d’une faille dans OpenSSL.

Nous souhaitons faire un point, à froid, sur ce qu’il en est de cette faille baptisée “Heartbleed”.

OpenSSL est une bibliothèque logicielle qui permet d’implémenter des fonctions cryptographiques. C’est ce qui se retrouve dans le processus de chiffrement des communications SSL/TLS (avec le fameux HTTPS).

Par exemple, lorsqu’on se connecte à un service bancaire en ligne (https://mabanque.fr) et que l’on saisit ses identifiant et mot de passe, ces derniers sont chiffrés et transmis au site Internet de la banque. En cas d’interception, votre mot de passe n’apparaitra pas en clair.

La faille découverte permet d’aller lire dans la mémoire du serveur utilisant OpenSSL, les informations qu’il est en train de traiter. Ces informations apparaissent en clair !

OpenSSL est utilisé sur une grande partie des services Web.

Ainsi, bien que votre mot de passe ait été chiffré lorsque vous l’avez saisi, il peut potentiellement être lu par un tiers.

Cela signifie que si vous avez saisi votre mot de passe sur un site utilisant le protocole SSL/TLS, il a potentiellement pu être dérobé.

Par mesure de précaution, nous vous recommandons donc de changer tous vos mots de passe.

Aussi, si vous administrez des serveurs utilisant OpenSSL ou si vos équipements l’utilisent, vous êtes concerné par la mise à jour vers la dernière version qui corrige cette faille (version corrigée 1.0.1g disponible sur https://www.openssl.org/).

Les clés de chiffrement ont pu être dérobées, il est donc recommandé de regénérer les clés et renouveler les certificats.

Seules les versions OpenSSL 1.0.1 et la version OpenSSL 1.0.2-beta1 sont vulnérables.

La version OpenSSL 1.0.0l n’est pas concernée.

Le support Cyberprotect se tient à votre disposition pour tout complément d’information.

 

Plus d’information sur https://openssl.org/

Les internautes prennent conscience de la valeur des données numériques

Une enquête mondiale menée par F-Secure auprès d’abonnés à l’internet haut débit démontre leurs préoccupations relatives aux problèmes de sécurité, de confidentialité, au stockage et au partage des contenus numériques.

Les résultats reflètent l’évolution du paysage numérique marquée par l’utilisation de plusieurs appareils pour accéder à l’Internet ainsi que l’explosion dans le contenu généré par l’utilisateur.

« La protection contre les virus, les logiciels malveillants et autres menaces en ligne est plus important que jamais. Ce qui est nouveau, c’est que les consommateurs cherchent également des moyens sûrs pour stocker et synchroniser leurs nombreux appareils. Il est également important de partager le contenu en ligne n’importe où et n’importe quand !» selon Samu Konttinen responsable Customer and Market Operations pour F-Secure.

La plupart des répondants (76%) sont préoccupés par la protection de leur vie privée lorsqu’ils partagent des choses sur les plateformes sociales. Lorsqu’on interroge les utilisateurs sur les réseaux sociaux et les plateformes de stockage dans les nuages, 70% exprime une grande préoccupation quant à l’accès au contenu (mails, documents, photos, vidéos…). Notons que 43% estiment perdre le contrôle de leurs données.

Cette nouvelle façon de stocker les données permet néanmoins faire évoluer les consciences puisque 77% des personnes estiment que le contenu est plus important que l’appareil lui-même. Il est intéressant de souligner qu’il n’y a pas si longtemps, la majorité des personnes voyait le matériel comme l’élément le plus important de l’informatique. Ceci est vrai notamment dans le monde de l’entreprise où l’on pensait souvent que le coût principal lors de la perte d’un ordinateur était celui du matériel en lui-même. Les données contenues dans ce dernier n’étaient que secondaires.

[Source]

Deux nouveaux guides sécurité pour gérer les risques sur la vie privée

Après le guide sécurité destiné aux PME et présenté en 2010, la CNIL publie deux guides sécurité « avancés ». Ils se composent d’une méthode et d’un catalogue de mesures pour aider les organismes à gérer les risques sur la vie privée. Ces outils opérationnels doivent faciliter l’intégration de la protection de la vie privée dans les traitements à l’aide d’une approche pragmatique, rationnelle et systématique.

La loi informatique et libertés prévoit, dans son article 34, de « prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données ».

Chaque responsable doit donc identifier les risques engendrés par son traitement avant de déterminer les moyens adéquats pour les réduire. Pour ce faire, il convient d’adopter une vision globale et d’étudier les conséquences sur les personnes concernées.

Pour aider les PME dans cette étude, la CNIL a publié en 2010 un premier guide sécurité. Celui-ci présente sous forme de fiches thématiques les précautions élémentaires à mettre en place pour améliorer la sécurité d’un traitement de données à caractère personnel. Il atteint cependant ses limites lorsqu’il s’agit d’étudier des traitements complexes ou aux risques élevés.

Les deux nouveaux guides de la CNIL ont pour objectif d’aider à la mise en place d’une démarche d’analyse complète, permettant d’améliorer la maîtrise des traitements complexes. Ils s’adressent ainsi aux responsables de traitements, maîtrises d’ouvrage, maîtrises d’œuvre, correspondants « informatique et libertés » et responsables de la sécurité des systèmes d’information. Ils les aident à avoir une vision objective des risques engendrés par leurs traitements, de manière à choisir les mesures de sécurité nécessaires et suffisantes.

Ils se composent :

  • d’une méthode pour identifier et traiter les risques que les traitements de données à caractère personnel peuvent faire peser sur les personnes ;
  • d’un ensemble détaillé de mesures et de bonnes pratiques destinées à traiter les risques identifiés.

L’enjeu : proposer un outil méthodologique pour appliquer la Loi informatique et libertés et des mesures pour traiter les risques

L’approche méthodologique décrit l’usage particulier de la méthode EBIOS (Expression des Besoins et Identification des Objectifs de Sécurité,) dans le contexte spécifique de la protection de la vie privée.

Pour apprécier les risques, il faut tout d’abord identifier les événements redoutés et les estimer en termes de gravité.

Si leur gravité est élevée, il convient alors d’identifier les menaces qui permettraient qu’ils se réalisent et d’estimer leur vraisemblance. Les risques ainsi appréciés peuvent alors être traités par des mesures adaptées.

Le catalogue de bonnes pratiques aide à déterminer des mesures proportionnées aux risques identifiés, en agissant sur :

  • les « éléments à protéger » : minimiser les données, chiffrer, anonymiser, permettre l’exercice des droits…
  • les « impacts potentiels » : sauvegarder les données, tracer l’activité, gérer les violations de données…
  • les « sources de risques » : contrôler les accès, gérer les tiers, lutter contre les codes malveillants…
  • les « supports » : réduire les vulnérabilités des matériels, logiciels, réseaux, documents papier…

Pour traiter un risque identifié et le réduire à un niveau acceptable, l’utilisateur des guides peut sélectionner une ou plusieurs mesures appropriées. Il est impératif d’adapter les mesures au risque et au contexte particulier du traitement considéré.

Une étude de cas sur la gestion des patients d’un cabinet de médecine du travail, réalisée par le Club EBIOS, illustre une application de ces outils.

 

Retrouvez les deux guides ici :

 

Retrouver l’article d’origine sur le site de la CNIL [ici]

Cloud computing : les conseils de la CNIL

Fin 2011, la CNIL avait lancé une consultation auprès des professionnels afin de recueillir des points de vue, des retours d’expériences et des recommandations relatifs au Cloud Computing. Les contributions auront permis de synthétiser les solutions techniques et juridiques afin qu’un haut niveau de protection des données soit garanti.

La CNIL a établi les recommandations suivantes afin d’aider les entreprises françaises, notamment les PME, à effectuer une prise de décision éclairée lorsqu’elles envisagent d’avoir recours à des prestations de services de Cloud Computing. Ces recommandations indicatives sont principalement basées sur une analyse de risques réalisée au préalable par les clients et des engagements de transparence des prestataires vis-à-vis de leurs clients qui doivent être formalisés dans les contrats de prestation de services.

La CNIL émet les 7 recommandations suivantes :

  1. Identifier clairement les données et les traitements qui passeront dans le Cloud
  2. Définir ses propres exigences de sécurité technique et juridique
  3. Conduire une analyse de risques afin d’identifier les mesures de sécurité essentielles pour l’entreprise
  4. Identifier le type de Cloud pertinent pour le traitement envisagé
  5. Choisir un prestataire présentant des garanties suffisantes
  6. Revoir la politique de sécurité interne
  7. Surveiller les évolutions dans le temps

La CNIL propose des modèles de clauses contractuelles, en annexe du document, en reprenant les éléments essentiels pouvant être insérés dans les contrats de prestations de services de Cloud Computing.

 

Retrouvez les recommandations de la CNIL [ici] et la synthèse des réponses à la consultation publique [ici]

[Source]

Prix discount : 0,03 $ la donnée personnelle

Selon le Daily Mail une enquête secrète en Inde a révélé que certains travailleurs de centres d’appels ont vendu des informations confidentielles appartenant à près de 500 000 Britanniques.

Des journalistes infiltrés du Sunday Times, ont rencontré deux personnes prétendant travailler dans l’informatique et proposant 45 types d’informations recueillies auprès des victimes. Les données comprennent les noms, adresses, numéros de téléphone, numéro de carte de crédit (incluant les codes de sécurité et les dates d’expirations).

Ces informations sont vendues 0.03 USD/pièce.

Les escrocs ont affirmé avoir des informations sur les prêts hypothécaires, des prêts, des polices d’assurance, les contrats de téléphonie mobile et les abonnements de télévision. Les données sont « fraîches », en majorité leurs mises à jour datent de moins de 72h.

[Source]

Symantec perd 50 smartphones dans la nature

Les équipes de Symantec ont intentionnellement « perdu » 50 smartphones et ont constaté que les gens ne pouvaient pas s’empêcher d’être indiscrets. Mais deux mesures simples de sécurité peuvent protéger les données commerciales contenues dedans.

Toute personne qui perd son téléphone portable doit s’attendre à ce que les données soient consultées par celui qui le trouve, et les données d’entreprise ne font pas exceptions selon une étude publiée par Symantec.

Dans son projet « Smartphone Honey Stick Project », la firme de sécurité a « perdu » 10 téléphones dans 5 villes, en les laissant au dessus de boîtes à journaux, dans les restaurants ou encore les toilettes publiques. Dans 98% des cas, les gens qui ont trouvé le téléphone ont accédé aux données qu’il contenait. 83% ont accéder à des applications professionnelles (emails d’entreprise, outils d’administration à distance…). Plus de 4 personnes sur 10 ont même consulté l’application bancaire sur le terminal mobile.

On ne connait pas vraiment le but de cette fouille minutieuse, mais Kevin Haley directeur du groupe estime que si « on consulte l’application bancaire, ce n’est pas pour trouver le propriétaire de l’appareil ».

Deux mesures de sécurité simples peuvent protéger les données sur les téléphones mobiles.

  • Aucun des téléphones n’étaient verrouillés par un code. Bien que les mots de passe complexes soient les meilleurs moyens de se protéger, l’utilisation d’un simple code à quatre chiffres permettrait de prévenir les accès occasionnels.
  • En outre, l’installation d’un outil de gestion à distance peut aider à récupérer rapidement un téléphone perdu. Ces derniers permettent également de supprimer à distance les données du téléphone.

Retrouvez l’étude  » Smartphone Honey Stick Project » [ici]

Arrestation express pour un Hacker Britannique

Un hacker, se disant membre des Anonymous, a admis avoir piraté le site du plus grand organisme pratiquant l’avortement en Grande-Bretagne et  avoir dérobé les dossiers d’environ 10000 personnes.

Un Anglais de 27 ans a volé les données personnelles de quelques 10000 femmes sur le site Web du British Pregnancy Advisory Service (BPAS), puis a annoncé sur Twitter qu’il allait rendre les informations publiques. Le site web a également été défacé par un message anti-avortement.

Le site du BPAS permet aux gens de faire des recherches concernant l’avortement, la contraception, la grossesse, le dépistage des maladies sexuellement transmissibles et la stérilisation. Toutefois, il a été souligné qu’aucune information médicale ou personnelle, en ce qui concerne les personnes ayant reçues un traitement, n’a été dévoilé, uniquement des détails sur les personnes ayant contacté le site.

Ce qui sera à retenir dans cette affaire est la rapidité d’intervention des autorités, puisque le hacker a été arrêté le lendemain de l’attaque. De plus, entre l’arrestation et l’aveu en salle d’audience seulement 48h se sont écoulées.

Des lacunes concernant la gestion des données sensibles par les entreprises

Il n’a aucun doute, les entreprises d’aujourd’hui sont clairement très bonnes dans la collecte des données, cependant elles sont moins efficaces lorsqu’il s’agit de les gérer.

Telle est la conclusion d’une enquête auprès de responsables informatiques menée par Protiviti, qui constate qu’il y a une compréhension limitée ou inexistante, pour un quart des sondés, sur la différence entre les informations sensibles et les autres. Près de 70% des résultats provenaient d’entreprises ayant un chiffre d’affaires supérieur à 1 milliard de dollars.

Le sujet de l’étude est de savoir comment les organisations classent et gèrent les données qu’elles cumulent, et plus particulièrement, comment elles assurent la vie privée des clients quand elles manipulent les données sensibles.

Il est constaté que les entreprises absorbent plus rapidement les données, de ce fait, elles en récupèrent toujours plus. Le problème est que les organisations engrangent des informations de la vie privée qui ne sont pas pertinentes pour leur activité, les données sont toujours de plus en plus détaillées. De même, la conservation des informations se fait sur une période supérieure à la nécessité des traitements. Les risques de sécurité, notamment liés à la confidentialité, augmentent sans cesse.

Retrouvez le rapport complet [ici]