Archives de Catégorie: Securite

Bonne nouvelle : unification en vue des solutions de sécurité pour Microsoft 365 et Azure…

Microsoft a annoncé, lors de la conférence annuelle Ignite 2020, de nouvelles fonctionnalités de protection contre les menaces mais surtout une unification des solutions de sécurité Microsoft 365 et Azure. C’est plutôt une bonne nouvelle pour éclaircir (un peu) la jungle des produits de l’éditeur, nous avions eu l’occasion de présenter ses derniers et de le positionner fonctionnellement lors du dernier Briefing Calipia de décembre 2019. Nous aurons l’occasion de revenir sur ceci lors du prochain Briefing, dont nous devons fixer les dates et modalité de participation (pas simple compte tenue des évolutions de la crise sanitaire).

Voici donc un petit récapitulatif de ces changements :

Microsoft Defender inclut désormais Microsoft 365 Defender et Azure Defender. Pour rappel il prévient, détecte et répond aux menaces sur les identités, les points d’accès, les applications, la messagerie électronique, l’infrastructure et les plates-formes de cloud, ainsi que les actifs affectés. Microsoft Threat Protection, intégré à Microsoft 365 Defender.

Microsoft Defender Advanced Threat Protection, devient Microsoft Defender for Endpoint et protège maintenant tous les principaux systèmes d’exploitation :

  • Pour Android : il offre une protection contre le phishing, permet une analyse proactive des applications et fichiers malveillants, bloque l’accès aux ressources de l’entreprise pour atténuer l’impact des violations et donne aux équipes de sécurité une visibilité sur les menaces mobiles et les alertes via le centre de sécurité.
  • Pour iOS : il offre une protection contre le phishing et les accès Web.
  • Pour macOS : (en beta actuellement) il offre une gestion des menaces et des vulnérabilités.

On retrouve également les services « Defender » pour Office 365 et Azure séparément sous forme de 3 services :

  • Microsoft Defender pour Office 365 : auparavant appelé Office 365 Advanced Threat Protection, Microsoft Defender pour Office 365 aide à protéger les comptes de messagerie prioritaires et est maintenant disponible en beta pour les équipes de sécurité afin de donner la priorité à la protection des personnes les plus visibles et les plus ciblées de l’organisation.
  • Microsoft Defender for Identity : auparavant appelé Azure Advanced Threat Protection, Microsoft Defender for Identity continuera de fournir une protection hybride contre les menaces d’identité.
  • Azure Defender : pour la protection unifiée des ressources hybrides (y compris les machines virtuelles, les bases de données, les conteneurs et l’IoT), Azure Defender reprend les fonctions de protection de l’Azure Security Center. Cette nouvelle version devrait arrivée cette semaine.

Première preview publique de Microsoft Defender Application Guard for Office

Microsoft vient d’annoncer la première preview publique de Defender Application Guard for Office, une capacité qui va permettre lors de l’ouverture de documents Office provenant de sources non sûres, d’utiliser de manière automatique (sans demander à l’utilisateur qui vient de double-cliquer sur une pièce jointe reçu par mail d’un correspondant extérieur à son entreprise) un « bac à sable » dédié à cette opération. Quand cette capacité est activée, un splash screen spécifique s’affiche à l’ouverture qui mentionne l’utilisation d’Application Guard. De même l’icône Word dans la barre des tâches est équipée d’un pictogramme de bouclier. L’utilisateur peut alors lire, modifier, enregistrer le document.

Application Guard for Office est un mode restreint qui isole les documents non fiables de l’accès aux ressources d’entreprise, à l’intranet, à l’identité de l’utilisateur et aux fichiers arbitraires présents sur l’ordinateur. Par conséquent, si un utilisateur tente d’accéder à une fonctionnalité qui dépend d’un tel accès, par exemple, l’insertion d’une image d’un fichier local sur le disque, il échouera. Pour permettre à un document non fiable d’accéder à des ressources fiables, les utilisateurs doivent supprimer la protection Application Guard du document. (source : https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide)

Si cette fonctionnalité vous semble intéressante, préparez vous à casser votre tirelire. En effet, Defender Application Guard for Office ne sera disponible qu’au travers des abonnements Microsoft 365 E5.

Azure AD : « My Sign-Ins » disponible pour tous les utilisateurs d’Office 365

Azure AD My Sign-Ins 5Bonne nouvelle, la fonction « My Sign-Ins » pour les utilisateurs d’Office 365, qui leur permet de vérifier les tentatives de connexion à leur compte, est maintenant disponible pour tous.

My Sign-Ins est une fonction accessible directement par cette URL permettant d’avoir accès aux informations suivantes :

  • Si quelqu’un essaie de deviner votre mot de passe.
  • Si un attaquant a réussi à se connecter à son compte depuis un endroit inconnu.
  • Le cas échéant, les applications auxquelles l’attaquant a accédé.

Cette fonctionnalité avait été présentée en beta en octobre dernier. Depuis lors, Microsoft a ajouté d’autres fonctionnalités. Par exemple, elle comprend maintenant deux nouveaux boutons qui permettent aux utilisateurs de classer l’activité du compte qui s’affiche – à savoir, des boutons « Ce n’était pas moi » et « C’était moi ».

En cliquant sur le bouton « Ce n’était pas moi », les utilisateurs peuvent modifier leur mot de passe.  L’application « Mes ouvertures de session » indiquera aux utilisateurs l’emplacement approximatif associé à la tentative.

Les tentatives de connexion infructueuses sont affichées. Elles peuvent être dues à des mots de passe mal tapés par l’utilisateur réel ou à un attaquant qui a tenté de deviner le mot de passe. Dans les cas où un attaquant est actif, mais ne parvient pas à deviner le mot de passe, Microsoft conseille d’activer l’authentification multifacteur ou MFA (ajout d’une seconde méthode de vérification de l’identité au-delà du mot de passe et dans ce cas le mot de passe n’a pas besoin d’être modifié).

Microsoft rappelle à ce propos que :

« Sur la base de nos études, les comptes protégés par MFA ont 99,9 % de chances en moins d’être compromis« .

0Pour l’instant les alertes ne sont pas gérées (car potentiellement trop nombreuses) mais Robyn Hicock, la responsable du programme au sein de l’équipe de Microsoft Identity Security and Protection, a indiqué que cela faisait partie des plans de Microsoft :

« Notre plan à long terme est de donner aux administrateurs la possibilité de mettre en place des alertes. Microsoft a également l’intention d’envoyer des alertes aussi aux utilisateurs finaux« .

Pas d’information en revanche sur une date de disponibilité pour cette fonction.

Microsoft Secure Score est maintenant disponible pour tous

secure-score-homepage-newMicrosoft Secure Score est maintenant disponible pour tous les abonnés  dans le portail Microsoft 365 Security Center. Pour rappel, ce service donne un « score de sécurité global » d’une organisation par rapport à des organisations similaires. Les scores sont donnés pour l’identité, les données, les appareils, les applications et l’infrastructure. Ils peuvent être visualisés sous forme de graphique dans le temps, montrant une amélioration ou une dérive par rapport aux objectifs. Enfin, les organisations peuvent voir le nombre de tâches de sécurité qui restent à accomplir pour parfaire leur protection.

Cette version est à l’origine un produit qui a évolué à partir de l’ancien produit Office 365 Secure Score, qui venait de surveiller uniquement les solutions Office 365. Le nouveau Microsoft Secure Score surveille Microsoft 365 et Azure.

En février dernier, lors de l’annonce du nouveau Microsoft Secure Score, Microsoft avait promis de prendre en charge Azure Active Directory, Cloud App Security et Microsoft Defender Advanced Threat Protection. Dans l’annonce faite par Microsoft à l’occasion de sa conférence partenaires, la société a admis que certains des produits et services de ne sont pas encore encore intégrés, comme par exemple, l’Identity Secure Score.

Microsoft a également ajusté certains de ses critères pour générer les fameux conseils et  actions d’amélioration : Une action d’amélioration doit maintenant réduire le risque certes mais surtout doit être mesurable par l’automatisation. Logiquement, les conseils d’amélioration qui ne répondent pas ces critères ont été supprimés.

Microsoft Secure Score serait particulièrement aussi utile en ce moment pour les entreprise ayant des employés à distance avec des appareils qui ne sont pas conformes. Ce qui doit nécessiter logiquement l’usage du service Microsoft 365 Advanced Threat Protection.

Suivez ce lien pour plus d’informations sur le service.

Les promesses de Facebook n’engagent que ceux qui les croient…

Facebook pas au topAprès que le scandale Cambridge Analytica ai mis en lumière les pratiques de Facebook. On ne compte plus les problèmes de sécurité / confidentialité que génère l’entreprise. Il ne se passe quasiment pas une semaine qui ne révèle de nouvelles pratiques, disons limite, pour ne par dire plus. Et ceci malgré les promesses de son dirigeant devant les nombreuses commissions où il s’est produit.

Il y a quelques jours l’entreprise a confirmé que des milliers de développeurs ont pu accéder aux données d’utilisateurs inactifs, ce qui est un comportement normalement impossible bien entendu. Après la crise de Cambridge Analytica en 2018, Facebook avait pourtant répété sur tous les canaux avoir mis en place denouvelles directives qui empêchent les développeurs de recevoir des données d’utilisateurs qui n’ont pas utilisé le réseau social pendant plus de 90 jours.

Comme les utilisateurs pouvait se connecter à des applications tierces avec Facebook, les développeurs peuvent avoir accès aux informations personnelles de ceux qui ont de telles applications liées à un compte Facebook. Comme l’a noté le site Engadget, la société n’a pas dit pendant combien de temps cette faille de sécurité était active ni combien d’utilisateurs étaient concernés.

Facebook n’a pas révélé depuis combien de temps le « problème » existait avant qu’il ne soit corrigé, ni combien d’utilisateurs ont pu être touchés. L’entreprise a déclaré qu’elle avait touché « environ 5 000 développeurs » au cours des « derniers mois ». Facebook n’a pas non plus spécifié exactement quelles données pouvaient avoir été partagées de manière inappropriée, mais a déclaré que les utilisateurs avaient préalablement autorisé les applications à recevoir les données en question…

Ce type de failles à répétition donne clairement l’impression que pas grand chose est réellement controlé, entre, d’un côté la volonté délibérée de cet acteur de piocher par tous les moyens dans l’intimité des utilisateurs, et les failles réelles dans le code, difficile de se faire une idée…

Bon courage en tout cas aux équipes Workplace pour convaincre les DSI d’adopter leur solution (au demeurant très interessante)…

La loi sur la protection de la vie privée s’applique en Californie depuis le 1er juillet

1200px-Flag_of_California.svgLa Californie a commencé le 1er juillet à appliquer sa loi sur la protection des données numériques, six mois après son entrée en vigueur. Elle a été décrite comme la loi sur la protection de la vie privée la plus stricte des États-Unis, ayant été en partie modelée sur la loi de référence européenne, notre fameuse RGPD.

La loi a été adoptée le 1er janvier, mais l’État a donné aux entreprises six mois pour se mettre en conformité. Pour rappel nous avions 2 ans en Europe pour le faire. Donc beaucoup moins de temps ici. Mais il est vrai que les entreprises californiennes avait déjà travailler sur le sujet justement pour leur mise en conformité avec la GDPR…

Malgré les appels de l’industrie et des géants de la tech (Facebook et Google en tête) pour que l’État attende en raison de la pandémie de coronavirus, le procureur général de l’état, Xavier Becerra n’a pas cédé…Elle donne aux consommateurs de l’État – et à beaucoup d’autres en dehors de la Californie – la possibilité de demander aux entreprises de leur indiquer les données personnelles qu’elles détiennent sur chaque personne et de demander aux entreprises de cesser de vendre leurs données personnelles à des tiers annonceurs ou autres. Un casse-tête pour certaines sociétés comme Facebook, pris une nième fois encore, la semaine dernière avec la main dans le pot de confiture…

Que se passera-t-il si les sociétés ne respectent pas la loi ? À partir de cette semaine, le bureau du procureur peut commencer à envoyer des avertissements aux entreprises qui pourraient être en infraction avec la loi et leur donner 30 jours pour régler les problèmes avant de faire face à d’éventuelles amendes ou poursuites. Un petit délais de grâce.

Pas question au passage pour ces sociétés de menacer de quitter l’état pour s’installer au Delaware per exemple (Paradis fiscal interne aux États Unis, sorte de Luxembourg, d’Irlande et de Pays bas réunis pour les Entreprises), là où est installé leurs sièges sociaux (comme c’est le cas de Facebook ou Alphabet la maison mère de Google), le législateur ayant prévu ce cas de figure en protégeant comme avec la GDPR les citoyens avant tout.

Cette loi est limité à la Californie, même si d’autres états, majoritairement Démocrates sont en train de mettre en oeuvre leur loi de protection de la vie privée également, là encore sur le modèle de l’Europe (pour une fois que c’est dans ce sens …). Des entreprises comme Apple en particulier qui a fait de la vie privée son cheval de bataille (face à un Google…) et d’autres géants comme Microsoft (qui ne tire pas non plus de gros revenus de la publicité) continuent de réclamer une loi fédérale unique sur la protection de la vie privée afin de faciliter la mise en conformité. Là encore sur le modèle européen !

Apple se veut champion de la protection de la vie privée

Capture d’écran 2020-06-23 à 13.09.42Avec les annonces du keynote de la WWDC 2020 hier, Apple a renfoncé le clou de la protection de la vie privée, facteur discriminant selon lui vis à vis de ses concurrents (dont Google et Facebook). Ce n’est pas la première fois, voir la la communication faite à  Las Vegas en janvier 2019 par Apple, devant le Centre de Convention de la ville, pour le CES.

Ainsi pour Craig  Federighi (Senior Vice President of Software Engineering), Apple est particulièrement sensible à la question de la protection de la vie privée et à ce titre prend des initiatives que d’autres entreprises du secteur vont alors suivre, « dont certains ont un modèle économique différent du nôtre« … Pour C.Federighi, la protection de la vie privée pour Apple passe par le respect de 4 principes essentiels :

  • minimiser les quantités de données
  • embarquer dans les appareils des capacités d’analyse, pour éviter d’avoir à remonter les infos en central
  • offrir une sécurité maximum
  • garantir  transparence et contrôle aux utilisateurs.

Pour les annonces faites lundi 22 juin (iOS14, iPadOS14, WatchOS7 et MacOS12), ces principes ont guidé le développement des nouvelles capacités suivantes :

  • introduction de la notion de localisation « approximative », qui permet aux apps qui le nécessitent d’avoir accès à une position, mais sans lui offrir la géolocalisation précise de l’utilisateur
  • limitation des capacités de suivi des applications iOS et iPadOS sur le parcours des utilisateurs dans l’ensemble du web. Ceux-ci devront donner leur accord pour autoriser une app à effectuer ce suivi global, et ils pourront également contrôler les autorisations données pour les modifier.
  • dans l’App Store, le descriptif des applications devra présenter de manière simple et claire les détails qu’elles collectent, pour permettre à l’utilisateur de visualiser rapidement le niveau d’exposition qu’il aura avec chaque appli. Cette fonction ne sera pas présente à la sortie d’iOS14, mais arrivera par la suite.
  • protection d’utilisation du contenu du clipboard, qui ne sera plus accessible par défaut, mais soumis à autorisation de l’utilisateur à chaque fois. De même l’usage du micro et de la caméra des appareils par une application sera signalé de manière beaucoup plus explicite aux utilisateurs.
  • le trousseau d’accès Apple (qui permet de stocker les mots de passe de façon sécurisée sur les appareils et synchronisés dans iCloud) alertera les utilisateurs à chaque fois q’un identifiant stocké a été compromis. Une fonctionnalité offerte par les solutions concurrentes, telles que Dashlane ou 1Password.
  • un plus grand contrôle des utilisateurs sur les extensions installées dans Safari (par exemple autorisation temporaire, et pour un site spécifique seulement).
  • toujours dans Safari, un bouton spécifique est ajouté qui permet en un clic de faire afficher tous les trackeurs en cours sur la page visitée.
  • les fenêtres de  MacOS2 auront des bords arrondis ….non, c’est une blague 🙂

 

Zoom : chiffrement pour tous (et finalement aussi pour les comptes gratuits…)

ZoomLe service de vidéoconférence Zoom a connu des hauts et des bas au cours des derniers mois, marqués par de problèmes de sécurités, des affirmations de chiffrement assez trompeuses dans un contexte ou l’entreprise voyait son nombre d’utilisateurs explosé (multiplié par 20 en 1 mois). Après avoir prévu de mettre en place le chiffrement de bout en bout ( E2EE) pour les clients payants et uniquement ces derniers, la société a fait marche arrière et affirme que les utilisateurs gratuits le verront arriver également avec une version bêta en juillet.

Zoom a détaillé ceci pour les appels vidéo dans un article de blog. Zoom a fait part de son travail sur GitHub et a annoncé que E2EE s’adressera à « tous nos utilisateurs dans le monde entier – comptes gratuits ou payants » et qu’il s’agira d’un « module complémentaire » facultatif.

Aujourd’hui, Zoom a publié un nouveau design pour l’E2EE sur GitHub. En précisant :

« Nous sommes également heureux de partager que nous avons identifié une voie à suivre qui équilibre le droit légitime de tous les utilisateurs à la vie privée et la sécurité des utilisateurs sur notre plateforme. Cela nous permettra d’offrir E2EE comme une fonction complémentaire avancée pour tous nos utilisateurs dans le monde entier – gratuite et payante – tout en conservant la possibilité de prévenir et de combattre les abus sur notre plateforme« .

Quelques détails complémentaires données par l’entreprise :

  • Tous les utilisateurs de Zoom continueront à utiliser l’AES 256 GCM comme chiffrement par défaut, l’une des normes les plus strictes actuellement en vigueur.
  • E2EE sera une fonction optionnelle car elle limite certaines fonctionnalités de réunion, comme la possibilité d’inclure les lignes téléphoniques traditionnelles PSTN ou les systèmes de salle de conférence matériels SIP/H.323.
  • Les hôtes basculeront E2EE sur la base d’une réunion par réunion ou non.
  • Les administrateurs de compte peuvent activer et désactiver E2EE au niveau du compte et du groupe.

La vie (pas tranquille) des apps de suivi COVID

Quelque soit le pays concerné (sauf peut être la Chine et la Russie) la mise en place des applications mobiles de suivi COVID (ou Contact Tracing) s’est avérée un chemin semé d’embûches. Les contestations de tous horizons ont été nombreuses : technologiques, médicales, juridiques, éthiques … De nombreux acteurs ont trouvé à redire sur les choix effectués dans chaque pays.

Début juin a marqué le début des déploiements de masse (sauf pour quelques précurseurs comme la Corée du Sud, Singapour ou l’Australie), avec 2 grandes types d’architecture retenues, l’une dite centralisée (celle choisie par la France) et l’autre dite décentralisée (celle optant pour la prise en compte de l’API Exposure Notification d’Apple/Google). Et 2 semaines à peine après ces déploiements, on ne peut pas dire que le débat se calme. Au contraire, ces semaines ont permis de mettre en lumière certains problèmes, aussi bien pour des solutions centralisées que décentralisées.

Ainsi l’état de Singapour, pourtant en pointe sur la mise en place d’une appli de suivi centralisée, dès le 20 mars, a constaté que compte tenu de la faible adoption de l’application (moins d’une personne sur 6), il était nécessaire d’envisager une autre approche. Singapour vient donc de lancer un nouveau projet basé cette fois sur un wearable destiné à assurer les fonctions de suivi de manière beaucoup plus étroite, et avec un caractère obligatoire.

Les autorités de santé norvégienne qui avaient fait un choix original, en mariant Bluetooth et GPS pour leur application centralisée de suivi de contact, ont dû faire marche arrière sous la pression des critiques concernant la confidentialité. Le Data Protection Agency (l’équivalent de la CNIL) a demandé le retrait temporaire de l’app, compte tenu des incertitudes pesant sur le processus de traitement des données collectées. Et ce malgré une adoption plutôt plus importante dans ce pays, avec près de 1 million de téléchargements pour 4,6 millions d’habitants.

En France aussi, l’appli StopCovid est soumise à des nouvelles critiques. Ainsi un chercheur de l’INRIA (entité qui a piloté le développement de l’appli !!!) a récemment indiqué qu’en cas de test positif au COVID19  l’appli StopCovid ne se limite pas à remonter les identifiants chiffrés des personnes rencontrées, au cours des 14 derniers jours, pendant au moins 15 minutes à moins d’un mètre de distance, mais que tous les identifiants des personnes croisées sont remontées (qq soit la durée et la distance). Mal joué quand comme Cédric O on a mis en avant le respect des données personnelles comme différence entre la solution française et celles bâties sur l’API Exposure Notification…

Mais la critique que partage toutes les applications, toutes architectures confondues, est leur faible niveau d’adoption par les citoyens des différents pays. La France, avec seulement 1,7 millions de téléchargements depuis son lancement le 3 juin et seulement 200 000 dans les 5 derniers jours, est elle aussi victime de ce reproche fondé.

 

Clés FIDO2 : les comptes Google peuvent maintenant être sécurisés sous iOS

Cles FIDO2Nous avions abordé lors du dernier Briefing Calipia la sécurisation sans mot de passe FIDO2 et les clés associées. Pour rappel, cette technologie très prometteuse permet de s’affranchir (enfin) des mots de passes et de ne plus stocker ces derniers sur des serveurs souvent compromis.

Google annonce que ses comptes peuvent enfin profiter de la prise en charge intégrée des clés de sécurité physique sur iOS. Elle permet aux utilisateurs d’utiliser leurs clés de sécurité USB-C, NFC ou Lightning pour un niveau de sécurité supplémentaire lorsqu’ils se connectent à un compte Google ou utilisent le programme de protection avancée de Google. Si toutes les clés FIDO2 semblent être supportées, on pense bien entendu aux excellentes clés Yubico qui couplent usb-c et Lightning (en attendant le modèle usb-c-NFC qui serait retardé du fait de la crise sanitaire).

Google offrait auparavant une prise en charge plus limitée des options de clés de sécurité sur iOS, comme sa clé de sécurité Titan (donc le nouveau modèle est fabriqué par Yubico), qui ne fonctionnait que via Bluetooth et devait être utilisée conjointement avec l’application Smart Lock de Google. Mais Apple a ajouté une prise en charge plus large des clés de sécurité physique en décembre avec la sortie d’iOS 13.3, ajoutant une prise en charge native des clés de sécurité USB-C, NFC et Lightning conformes à la norme FIDO2. C’est logiquement sur cette mise à jour que Google s’appuie, le nouveau système ne nécessitera pas l’utilisation de l’application Smart Lock de Google, car le support est directement intégré à iOS.

Cette prise en charge sur les comptes Google et le programme de protection avancée est disponible dès aujourd’hui.

 

« Entrées précédentes