Archives de Catégorie: Securite

Microsoft annonce une préversion publique d’Azure Confidential Computing

CadenasMicrosoft a annoncé, parmi série d’initiatives concernant la sécurité, la préversion du service Azure Confidential Computing, qui permet le traitement « confidentiel » des données.

La plupart de fournisseurs de solutions Cloud proposent la protection des contenus au repos ou en transit. Dans le premier cas, ils chiffrent les données ; dans le second, elles sont transmises par un canal sécurisé. D’après Microsoft, la pièce manquante du puzzle réside dans la capacité à protéger les données pendant leur utilisation, et c’est là qu’intervient Azure Confidential Computing qui introduit une notion d’environnement d’exécution sécurisé.

Azure confidenyial computing

On parle ici d’une portion isolée de processeur et de mémoire qui empêche que le code et les données en son sein soient visibles ou modifiables de l’extérieur. Dans la pratique, Microsoft implémente la fonctionnalité en s’appuyant sur une solution matérielle d’Intel (Software Guard Extension – SGX) et sur Virtual Secure Mode (VSM) qui est une bulle sécurisée s’appuyant sur Hyper-V disponible avec Windows 10 et Windows Server 2016 pour l’isolation du reste de l’OS de processus sensibles.

Certains sites web mobiles accèdent aux capteurs de nos smartphones, sans demander …

Capture d'écran 2018-09-27 12.01.17C’est en tout cas ce que révèle une étude (intitulée « le 6ème sens du web ») réalisée par une équipe d’universitaires américains, dont les résultats seront présentés lors d’une conférence en octobre prochain à Toronto (ACM CCS 2018), rassemblant  des chercheurs, développeurs, spécialistes et utilisateurs autour du thème de la sécurité.

L’étude a été réalisée en mai 2018, sur la base d’une analyse des 100 000 premiers sites (selon le ranking réalisé par Alexa, filiale d’Amazon (à ne pas confondre avec l’assistant personnel du même nom !), spécialisée sur l’analyse de données.

Tous les utilisateurs de smartphones ont aujourd’hui l’habitude des pop up qui s’affichent lors de l’installation d’une nouvelle application, leur demandant l’autorisation d’accéder à des informations (localisation, contacts, calendrier …). Ce que révèle l’étude réalisée c’est que les sites web mobiles échappent à ces contrôles, et que tous les browsers mobiles étudiés dans l’étude (Chrome, Edge, Safari, Firefox, Brace, Focus, Dolphin, Opera Mini, UC Browser) laissent aux sites web l’accès aux capteurs de mouvement et d’orientation des smartphones des utilisateurs, sans demander la permission de ces derniers. Pour les capteurs de proximité et de lumière, seul Firefox offrait cet accès aux sites web mobiles, jusqu’en mai 2018 (dans la version 60), date à laquelle cette possibilité a été supprimé.

Ainsi sur les 100 000 sites analysées, 3 695 utilisent ces portes ouvertes pour accéder à l’un ou l’autre des capteurs :

  • capteur mouvement : 2653
  • capteur orientation : 2036
  • capteur de proximité : 186
  • capteur de lumière : 181

Si ces chiffres représentent une petite part seulement des 100 000 titres analysés, il faut noter cependant qu’en l’état actuel, tous pourraient utiliser ces ouvertures, et que les utilisateurs sont totalement démunis pour empêcher. Les chercheurs ont ainsi pu vérifier que les bloqueurs de publicité et autres solutions de contrôle sont peu efficaces vis à vis de ces intrusions.

A titre d’illustration de cette absence ce contrôle d’accès aux capteurs, l’équipe a Capture d'écran 2018-09-27 13.06.15développé une petite page web de démo en javascript (disponible ici depuis un smartphone ou une tablette), qui démontre les accès réalisés depuis cette page aux capteurs (orientation, accéléromètre, gyroscope) de l’appareil utilisé.

Enfin si l’étude note que pour une bonne part, les accès ainsi réalisés sur les capteurs sont utilisés pour la qualité du service du site (ex : modifier l’orientation d’affichage ou la dimension d’une page), ce sont environ 1200 sites qui utilisent ces possibilités pour des bénéfices moins orientés vers le confort des utilisateurs …

Le RGPD a mis en avant la nécessaire information et le consentement explicite des utilisateurs quant à l’utilisation de leurs données personnelles, mais il semble bien que certains aspects techniques échappent encore à ce cadre 😦

Microsoft annonce Microsoft Threat Protection

Capture d'écran 2018-09-27 09.06.23Microsoft a annoncé cette semaine, pendant Ignite son évènement qui se tient à Orlando, un nouveau bundle de sécurité : Microsoft Threat Protection. S’il s’agit d’un nouveau bundle, ses composantes sont toutes déjà connues. On trouve ainsi différentes solutions de sécurité de l’offre Microsoft déjà existantes, regroupées selon les 5 grands domaines de protection qui organisent l’offre de Microsoft en matière de sécurité :

  • Protection des identités : Azure Active Directory Information Protection, Azure Advanced Threat Protection, Microsoft Cloud App Security
  • Protection des endpoints : Windows Defender Advanced Threat Protection, Windows 10, Microsoft Intune
  • Protection des données utilisateurs : Exchange Online Protection, Office 365 Advanced Threat Protection, Office 365 Threat Intelligence, Windows Defender Advanced Threat Protection, Microsoft Cloud App Security
  • Protection des applis cloud : Exchange Online Protection, Office 365 Advanced Threat Protection, Microsoft Cloud App Security
  • Protection de l’infrastructure : Azure Security Center, SQL Server, Linux

Microsoft a toujours adoré les bundles :), et le rôle de celui-ci est comme pour les nombreux précédents dans l’offre Microsoft, de proposer une solution complète et optimisée en termes de coûts.  Il unifie également l’offre (très large) de Microsoft autour du nom « Threat Protection », qui se trouve aujourd’hui déjà utilisé dans plusieurs services existants. L’ensemble des services de protection du nouveau bundle est accessible au travers du Microsoft Security Center, un Dashboard de pilotage rassemblant l’ensemble des indicateurs et alertes, de manière graphique.

L’ensemble des composantes restent accessibles individuellement, quand au mode de licensing et à la tarification de Microsoft Threat Protection, ils n’ont pas encore fait l’objet de communication de la part de Microsoft.