Archives de Catégorie: Securite

OneDrive Personal Vault est maintenant disponible

onedriveMicrosoft avait annoncé cet été l’arrivée prochaine de « OneDrive Personal Vault« , une fonctionnalité destinée aux fichiers sensibles. Aujourd’hui, l’éditeur annonce la fin de déploiement de cette dernière, au nouveau mondial.

Qu’est-ce que OneDrive Personal Vault ?

C’est en fait une sorte de coffre-fort au sein même de OneDrive. Vous ne pouvez y accéder qu’avec une méthode d’authentification forte ou une authentification à deux facteurs. Cela pourrait être un classique code SMS, ou biométrique, tel que par exemple ce que Microsoft propose avec Windows Hello.

Les fichiers de ce coffre-fort personnel sont chiffrés à l’aide de BitLocker et vous ne pourrez pas les partager. Si vous souhaitez le faire, vous devez les déplacer hors de Personal Vault. Vous pourrez cependant numériser des documents et prendre des photos directement dans Personal Vault.

Personal Vault est désormais disponible sur tous les comptes OneDrive Entreprise. Si vous disposez d’Office 365, Vous n’aurez pas de limitation de taille pour ce coffre fort en dehors bien sur de la limite du plan de stockage dans son ensemble. En revanche si vous utilisez des forfaits OneDrive gratuits ou limités à 100 Go, vous ne pouvez y stocker que trois fichiers.

Sécuriser les données dans le monde quantique : IBM y travaille

IBMAu rythme actuel des progrès de l’informatique quantique (même si les choses sont encore très loin d’être réellement fonctionnelles),les données protégées par les méthodes de cryptage asymétrique utilisées aujourd’hui risquent de ne plus être sécurisées d’ici 10 à 30 ans. Au cours des années à venir, les données stockées et sécurisés aujourd’hui, pourrait donc être déchiffrées à l’avenir avec un ordinateur quantique suffisamment puissant et mettre à mal les systèmes actuels…Alors que l’industrie est en train de finaliser les normes de cryptographie post-quantique, IBM proposera ses services de cryptographie sécurisée dans le Cloud IBM en 2020. La société a précisé que les améliorations apportées aux signatures numériques et aux implémentations TLS et SSL exploitant des algorithmes sécuritaires quantiques assureront la sécurité des données lors du transfert.

IBM Research a également présenté le premier disque dur au monde reposant sur l’informatique quantique, utilisant des algorithmes quantiques. Et chose amusante : ce nouveau périphérique est basé sur le lecteur de bande IBM TS1160 et utilise à la fois Kyber (un algorithme d’encapsulation de clé sécurisée) et Dilithium (un algorithme de signature numérique sécurisée) en combinaison avec le cryptage symétrique AES-256. Les algorithmes de sécurité quantique ont été implémentés dans le microprogramme du lecteur de bande. Enfin, la société a également fait don d’une multitude d’algorithmes de cryptographie quantiques à la communauté open source afin de contribuer au progrès et à la sécurité des données de demain.

Les investissements très importants d’IBM pour relever le défi de l’informatique quantique sont potentiellement une formidable opportunité pour retrouver sa grandeur d’antan !

Quand Google veut s’occuper de votre confidentialité…

googleGoogle cherche aujourd’hui à se repositionner comme le champion de la confidentialité des utilisateurs sur le Web. Alors oui, cela peut sans doute faire sourire (à juste titre), un peu comme si les géants de l’énergie voulaient nous aider à consommer moins 🙂

Dans un nouveau billet de blog, Justin Schuh, patron du navigateur Chrome, explique comment le géant de Mountain View « souhaite limiter l’accès des annonceurs à vos données » (notez la subtilité : les annonceurs, pas Google 🙂 ).

L’entreprise prévoit d’y parvenir en introduisant de nouvelles normes Web sur la manière dont les annonceurs utilisent et accèdent aux données des utilisateurs pour cibler leurs annonces avec ce que Google appelle la « Privacy Sandbox« . Les détails de son fonctionnement ne sont pas encore parfaitement définis, mais l’objectif de Google est « que les annonces restent pertinentes pour les utilisateurs, mais que les données des utilisateurs partagées soient réduites au minimum en agrégeant anonymement les informations  et en conservant beaucoup plus d’informations utilisateur uniquement en local ». Le « Comment » reste pour le moment assez flou.

Qu’est-ce qui motive Google ? Bien entendu la pression des utilisateurs et du marché en général pour plus de confidentialité. La pression possible des régulateurs américains qui demain, comme l’a fait l’Europe avec la GDPR pourrait imposer des lois contraignantes. Mais également lutter contre les bloqueurs de publicité qui limite le revenu du géant ! dont il ne se prive jamais de dénoncer les méfaits : ainsi régulièrement Google affirme que « cela réduit non seulement les revenus des éditeurs et limite leur capacité à offrir du contenu gratuit, mais peut surtout aggraver le problème de la confidentialité en ligne« … aussi pertinent qu’un tweet de Trump 🙂

Souriez vous êtes écoutés…

ecoutes téléphoniquesC’est le feuilleton technologique de cet été, un par un, la plupart des acteurs ont révélé cet été qu’il nous écoutait, ou plutôt que des oreilles bien humaines étaient payées pour nous écouter dans leurs services, dans le but bien sur d’amélioré la qualité des produits.

Ce fut le cas d’Amazon avec son assistant vocal Alexa, puis Google avec son assistant qui lui aussi était assez indiscret et Apple avec Siri. C’était en juillet et ces acteurs ont annoncés immédiatement (ou presque) arrêter ces pratiques ou laisser le choix à l’utilisateurs de transmettre ses données. Un peu plus tard (première semaine d’août) ce fut au tour de Facebook, dont les indiscrétions sont une véritable marque de fabrique d’annoncer que oui, ils écoutaient aussi nos conversations Messenger et que promis juré ils allaient arrêter de ce pas…

Nous sommes mi-août et c’est au tour de Microsoft d’annoncer que oui, il arrivait à des oreilles humaines d’écouter aussi les conversations Skype dès lors qu’une traduction est réalisée et les requêtes de son assistant vocal Cortana (bon pour ce dernier c’est sans doute moins grave compte tenu du nombre d’utilisateurs 🙂 ). Mais plutôt que d’arrêter ses pratiques, l’éditeur en précise l’objet et met à jour en conséquence sa politique de confidentialité afin d’informer explicitement les utilisateurs que leurs appels au service de traduction Skype pourraient être examinés par des sous-traitants afin d’améliorer la précision du service.

La politique de confidentialité mise à jour indique que « le traitement des données à caractère personnel par la société à ces fins inclut des méthodes de traitement automatisées et manuelles (humaines)« .

La FAQ sur la confidentialité de Skype Translator a été mise à jour de la même manière comme suit : « Lorsque vous utilisez les fonctionnalités de traduction de Skype, Skype collecte et utilise votre conversation pour améliorer les produits et services Microsoft. Pour aider les technologies de traduction et de reconnaissance vocale à apprendre et à évoluer, les phrases et les transcriptions automatiques sont analysées et les corrections éventuelles introduites dans notre système, afin de créer des services plus performants. Cela peut inclure la transcription d’enregistrements audio par les employés et les fournisseurs Microsoft, sous réserve de procédures conçues pour protéger la vie privée des utilisateurs, notamment en prenant des mesures pour supprimer l’identité des données, en exigeant des accords de non-divulgation avec les fournisseurs et leurs employés et en obligeant les fournisseurs à respecter les critères élevés. normes de confidentialité définies dans le droit européen et ailleurs ».

A bon entendeur… 🙂

 

Azure Security Center for IoT est disponible

Azure Security Center for IoT est la solution proposée par Microsoft pour prévenir l’exploitation de failles de sécurité dans les déploiements d’objets connectés. Pour rappel, Security Center est, comme son nom l’indique, le système de gestion de la sécurité de l’infrastructure de l’entreprise, qu’il soit sur site, sur Azure ou via un autre fournisseur de cloud. Cette surveillance multiplateforme est également facilitée par des partenariats d’interopérabilité tels que celui annoncé par Microsoft avec Oracle au début de l’été.

Comme nous l’expliquions lors du dernier Briefing Calipia en juin dernier, Security Center for IoT exploite les informations de «plus de 6 000 milliards de signaux que Microsoft collecte chaque jour» et classe les différents risques identifiés en fonction de leur importance. Il peut également identifier d’éventuelles erreurs de configuration, voire des paramètres non sécurisés.

Cette offre complète l’offre déjà bien établie pour l’IoT de l’éditeur, nous vous avions proposé un panorama complet de cette dernière lors du Briefing Calipia de décembre 2018, faisant suite à notre mission d’étude d’octobre dernier sur ce sujet. On retrouve ainsi dans cette offre des technologies telles qu’Azure Sphère, Azure IoT Central ou encore la plateforme IoT Edge. L’éditeur met donc le turbo pour finaliser son offre face à AWS.

Vous pouvez en savoir plus sur Azure Security Center sur le portail Azure.

Première beta publique du support de FIDO2 sur Azure

Capture d’écran 2019-07-12 à 13.01.50.png

Microsoft vient d’annoncer la preview public de la prise en compte de FIDO2 sur l’annuaire AD Azure, permettant ainsi de se connecter à des ressources Azure sans password. FIDO2 (pour FAST Identity Online 2.0) est un standard Web pour authentifier des utilisateurs sans utiliser de mot de passe, qui a été développé par l’Alliance FIDO et le Worldwide Web Consortium.

Microsoft propose déjà dans Windows 10 une authentification sans mot de passe, et a reçu pour Windows 10 la certification FIDO2 en mai 2019.

Pour les ressources Azure, l’authentification FIDO2 passera par une clé USB, un dongle, l’app Authenticator pour les smartphones Android et iOS, ou avec Hello pour les PC sous Windows 10.

Le client Zoom sur MacOS peut accéder à la webcam de votre Mac sans accord !

Capture d’écran 2019-07-09 à 16.31.15.pngL’application Zoom (le service de visioconférence star du moment) pour MacOs souffre d’une vulnérabilité, mise à jour par un spécialiste en sécurité, Jonathan Leitschuh, et qui permet à des sites web malintentionnés d’activer la webcam sans autorisation préalable de l’utilisateur. Qui plus est cette vulnérabilité permet aussi, sur les anciennes versions de l’appli, de provoquer un déni de service de la part du Mac concerné en lui envoyant sans arrêt des invitations à rejoindre un call zoom invalide !

La faille a été découverte par J.Leitschuh en mars dernier, et il en a informé discrètement Zoom, qui n’a semble t’il pas pris la mesure du problème, puisqu’à aujourd’hui (9 juillet) toujours pas de correctif pour l’application [MAJ 10/07/19 – Zoom vient d’annoncer qu’il va proposer très rapidement un correctif]

Pour parer au problème, il faut s’assurer de disposer de la dernière version de l’appli (pour éviter le DoS), et désactiver le démarrage auto de la webcam lorsqu’on rejoint un meeting Zoom.

Attention, il ne suffit pas de désinstaller l’application car en fait celle-ci a mis en place un serveur web sur le Mac, pour contourner certaines limitations imposées par Safari (et qui permettent justement de ne pas tomber dans le piège décrit ici !), et simplifier la vie des utilisateurs en limitant le nombre de clics pour rejoindre une réunion Zoom. Par ailleurs, ce serveur est capable d’initiative puisqu’il peut réinstaller l’application Zoom si d’aventure l’utilisateur clique sur un lien de réunion Zoom et que l’application n’est pas installée… Donc si vous choisissez de désinstaller l’application Zoom il va aussi falloir passer par le Terminal de MacOS pour régler le compte du serveur web installé par l’application Zoom.

La procédure pour cela est décrite par macg.co (merci à eux, j’ai pu la tester pour mon propre cas – mon conseil : copiez/collez les commandes surlignées dans votre Terminal) :

  • Récupérer l’identifiant du serveur. Saisissez la commande lsof -i :19421 pour connaître l’identifiant du serveur local. S’il n’est pas actif, vous ne verrez aucun résultat. Sinon, vous verrez une ligne avec plusieurs informations. Copiez le nombre inscrit sous la mention « PID ».
  • Arrêter le serveur local : saisissez la commande kill -9 dans le terminal, puis un espace et collez l’identifiant récupéré à l’étape précédente.
  • Supprimer le dossier du serveur local : utilisez la commande rm -rf ~/.zoomus pour supprimer le dossier où le serveur local est installé.
  • Empêcher la réinstallation du serveur par Zoom : pour bloquer totalement l’app et l’empêcher de recréer un serveur local, saisissez la commande touch ~/.zoomus qui va créer un fichier vide.
« Entrées précédentes