Archives de Catégorie: Securite

le chiffrement de bout en bout dans les appels Microsoft Teams est désormais disponible en beta publique.

En juin dernier, nous avons appris que Microsoft avait commencé à tester la prise en charge du chiffrement de bout en bout (E2EE) dans Teams nous vous en parlions sur le Blog. Bien que les données de chat soient chiffrée au repos et en transit, les réunions n’étaient pas chiffrée de bout en bout. Aujourd’hui, Microsoft a annoncé qu’une beta publique de l’E2EE dans les appels Teams est maintenant disponible pour les entreprises.

Attention néanmoins dans cette version la fonction de chiffrement n’est pris en charge que dans les appels Teams individuels non les réunions programmées, elle n’est pas disponible pour les appels de groupe. Les deux participants à l’appel devront activer E2EE sur leurs appareils respectifs pour que ce processus ait lieu.

Si E2EE est activé, de nombreuses fonctions seront alors logiquement dévalidées comme :

  • l’enregistrement,
  • les sous-titres
  • transcription en direct,
  • le transfert d’appel,
  • la fusion d’appels,
  • la possibilité d’ajouter des participants à l’appel…

Si un appel est chiffré de bout en bout, une icône de verrouillage apparaîtra dans la fenêtre Teams. Un code de sécurité à 20 chiffres sera également affiché et les deux parties pourront vérifier que le même code leur est proposé. Une fois l’E2EE activé pour un appel, aucune autre partie, y compris Microsoft, n’aura accès au contenu . En outre, les préférences pour E2EE seront reportées sur tous les appareils, à condition que vous ayez installé la dernière version du client de bureau sur Windows et Mac, ou que vous utilisiez la dernière version de l’application Android ou iOS.

En fonction des réactions, Microsoft indique qu’il étudiera la possibilité de déployer E2EE pour les appels de groupe à une date ultérieure (aucune information aujourd’hui).

Si vous souhaitez mettre en oeuvre cette fonction, vous pouvez consulter l’article en lien pour obtenir des détails sur la méthodologie E2EE et savoir comment l’activer (pour toute l’entreprise).

Nous reviendrons sur ces nouveautés et bien d’autres à propos de Teams lors du prochain Briefing Calipia, tous les détails ici.

Google Workplace : le plein de nouvelles fonctions de sécurité

Cloud Next 21

Se déroule en ce moment la conférence annuelle « Cloud Next » de Google à destination des entreprises et des développeurs. L’éditeur avait annoncé la couleur : l’évènement sera axé sur la sécurité. Et c’est le cas.

Après l’introduction en version bêta du chiffrement pour Drive, Docs, Sheets et Slides en juin dernier, ce dernier arrive donc maintenant dans Google Meet. Les entreprises pourront ainsi contrôler les clés de chiffrement afin que les données soient indéchiffrables par Google et surtout répondre aux exigences de souveraineté des données et de conformité sur certains secteurs. Une excellente nouvelle donc. Il est donc possible aujourd’hui de gérer directement les clés de chiffrement en interne grâce à la version bêta des API publiques du service d’accès aux clés. Plus besoin de partenaire pour cela à terme donc. Pour rappel Google avait annoncé des partenariats pour réaliser ces tâches avec Flowcrypt, Futurex, Thales ou encore Virtru, cela ne sera bientôt plus nécessaire. De quoi rendre ces fonctions plus accessibles à la fois pratiquement mais aussi on l’imagine économiquement.

Parmi les autres (bonnes) nouvelles concernant la sécurité on retrouve :

  • Google Docs qui avertira désormais les utilisateurs de l’ouverture de fichiers suspects/dangereux. À l’instar des protections de Gmail contre les logiciels malveillants, le phishing et les ransomwares, Sheets et Slides devraient également bénéficier de cette fonctionnalité à l’avenir.
  • La disponibilité d’une version bêta de la prévention des pertes de données (DLP) pour l’ensemble des conversation pour « permettre une conversation spontanée entre les individus et les équipes, tout en empêchant que les informations sensibles et confidentielles sortent de l’entreprise ». De même, les étiquettes Google Drive sont désormais disponibles de manière générale pour classer les fichiers en fonction de leur niveau de sensibilité.

En dehors de la sécurité, l’équipe de développement de Workspace a annoncé une nouvelle intégration avec Jira pour Google Chat et Spaces.

Google à profité de cette session pour revendiquer que 4,8 milliards d’applications ont été installées « dans » Workspace, et d’annoncer plus de 3 milliards d’utilisateurs de sa suite « en général ». On regrette néanmoins que ce dernier ne donne pas plus de précision sur les usages associés et le nombre moyens d’utilisateurs mensuel de Google Meet par exemple, histoire de comparer avec les chiffres de Microsoft Teams ou Salesforce Slack. Histoire aussi de mesurer les usages réels en entreprise au delà des milliards d’utilisateurs grand public de gMail 🙂

Nous reviendrons sur ces fonctions et la comparaison avec l’offre Microsoft Office 365 et Teams en particulier lors d’une session dédiée au prochain Briefing Calipia : rejoignez-nous !

Identités décentralisées : Microsoft persiste et avance

Depuis 2018, Microsoft travaille sur le concept de création d’identités numériques décentralisées souvent appelées auto souveraines dont les utilisateurs restent maîtres. Cette technologie utilisant la blockchain comme mécanisme. L’idée est d’offrir à chacun une « identité propre » numérique qui stocke toutes les informations les concernant de manière privée et sécurisée, et de donner également aux propriétaires un contrôle total sur l’utilisation de leurs données. Nous avions eu l’occasion d’expliquer dans le détail ce mécanisme et ses premières application lors du dernier Briefing Calipia en juin. Nous y reviendrons lors de la sessions sur la sécurité en décembre prochain.

Les cinq principes de ce système sont :

  • Sûr, fiable et digne de confiance
  • Protection de la vie privée et contrôle par l’utilisateur
  • Inclusif, équitable et facile à utiliser
  • Administrable
  • Respect de l’environnement

Microsoft avait annoncé en avril 2021 une première beta de Microsoft Azure Active Directory Verifiable Credentials, qui établissait certaines normes sur la manière dont un système d’identité décentralisé devrait se présenter. Nous vous en parlions sur le blog. Aujourd’hui, l’entreprise va plus loin et a annoncé qu’elle donnait le coup d’envoi de la prochaine phase pour mettre en oeuvre cette fois un système d’identité numérique décentralisé à part entière. Pour ce faire, Microsoft qu’elle établira des partenariats avec la communauté des identités décentralisées afin de convenir d’un ensemble de normes soutenues par toutes les parties. Elle développera ensuite et publiera un première version d’un service d’identité numérique décentralisé qui s’appuie sur les normes convenues avec la communauté.

A la manière de ce qui se passe avec les cryptomonnaies le système de sécurité autonome ne doit pas être une porte ouvertes aux activités illégales, Microsoft compte bien mettre un en oeuvre un mécanisme pour éviter cela. Comment ? Mystère, l’éditeur s’est engagé simplement à ce que le système n’encourage pas les activités illégales et respecte toutes les lois applicables. De plus il sera construit sur des normes et des technologies non propriétaires en Open Source afin qu’il soit accessible à tous. Microsoft prévoit de partager plus de détails sur ses travaux dans ce domaine dans les semaines et les mois à venir.

Mauvaise passe pour Facebook

Image du film La Scoumoune (source Imdb)

Depuis quelques mois / semaines Facebook est dans la tempête. La firme est empêtrée avec la FTC sur le début d’une enquête pour abus de position dominante, en prise avec les révélations d’une lanceuse d’alerte sur les pratique de la société sur la régulation des fakes news, victime d’une panne sans précédente des ses services hier (6h tout de même) et cerise sur le gâteau, on apprend ce matin que plus de 1,5 milliard d’enregistrements Facebook seraient en vente sur le dark web

Pour ce qui est du possible abus de position dominante, Facebook conteste depuis des semaines en disant qu’il doit lutter contre tous les autres réseaux sociaux, TikTok en tête, minimisant l’impact de ses propres services sur la vies des personnes. Amusant de voir comment la panne d’hier met à mal ces arguments. Avec près de 2 milliards de personnes touchées et parfois désemparées de ne plus avoir accès à « leur internet », la position de Facebook est donc très loin d’être minime…

Pour ce qui est de la lanceuse d’alerte, elle a finalement révélée sont identité, et le moins que l’on puisse dire c’est que les documents internes qu’elle a diffusé sont accablant pour la firme. Pour résumé on y apprend pas grand chose que l’on ne savait déjà : attiser la haine, fait vendre de l’audience, règle vieille comme le monde dans les médias, dont on mesure au passage les effets aussi chez nous sur d’autres sujets avec d’autres personnes… Mais écrit noir sur blanc dans des documents internes cela donne une portée toute différente.

Cerise sur le gâteau ce matin donc où l’on apprend, selon un rapport de Privacy Affairs, qu’un pirate vendrait les informations privées de plus de 1,5 milliard d’utilisateurs de Facebook. Les données auraient été volées lors d’un piratage plus tôt dans l’année (elles n’ont rien à voir avec la panne dont Facebook a souffert hier). La personne qui prétend détenir les données a déclaré que les enregistrements ont été extraits de Facebook cette année et que 100 % des enregistrements contiennent une adresse électronique et un numéro de téléphone. L’utilisateur en question a reçu plusieurs demandes d’échantillons de la part d’autres personnes sur le site web et donne 100 enregistrements à ceux qui demandent à voir les données. Certaines des personnes qui ont commenté le fil de discussion ont exprimé des doutes quant à cette offre, mais l’auteur du message initial a déclaré qu’il soumettrait une évaluation une fois que quelqu’un aurait acheté les données. A voir, si cela se confirme. Mais ce n’est pas la première fois (et sans doute pas la dernière) que Facebook « perd » des données des utilisateurs. Raison de plus d’être prudent avec ce que nous y diffusons…

Teams aura bientôt la « Customer Lockbox »

Pour rappel la « Customer Lockbox » est une fonctionnalité que Microsoft offre à travers divers services dans Exchange Online, SharePoint Online, OneDrive et Azure. Elle garantit que, lors des opérations de support, Microsoft ne peut pas accéder à vos informations sans votre accord explicite.

Si les ingénieurs de Microsoft s’appuient généralement sur des techniques de télémétrie et de débogage pour résoudre les problèmes, dans certains cas, ils ont besoin d’un accès direct aux données. Customer Lockbox ajoute le client dans le processus et lui demande approbation finale afin qu’il puisse décider s’il veut donner à Microsoft l’accès à ses informations pour effectuer une analyse approfondie des causes possibles au problème rencontré (ou « root cause analysis » – RCA). La fonction Customer Lockbox peut être activée et toutes les demandes et bien entendu le tout est audité. Les ingénieurs de support Microsoft devant étayer leur demande et donner une une fenêtre temporelle dans laquelle ils effectueront leurs activités.

Microsoft a récemmentmlis à jour la » Feature ID 86190″ dans la Roadmap Microsoft 365, pour indiquer la prise en charge de la Customer Lockbox dans Teams. Cette fonctionnalité est en cours de développement et sa date de sortie est prévue pour mars 2022. Microsoft n’a pas encore précisé quelles seront les données de Teams qui seront protégées par la Customer Lockbox.

La fin des mots de passe ? Une réalité maintenant pour les comptes Microsoft

Cela fait des années que Google, Microsoft annoncent que les mots de passe sont en voie de disparition et que les méthodes d’authentification alternatives comme les méthodes biométriques, les codes de vérification, les clés de sécurité type FIDO 2 et les applications Authenticator sont la voie à suivre. Nous vous avions déjà proposé il y a deux ans maintenant une session du Briefing Calipia sur ce thème et sur les alternatives FIDO2 en particulier. Nous avions vu en particulier comment intégrer des clés Yubikey (Fido2) dans l’Azure AD.

Depuis hier Microsoft a annoncé que vous n’avez plus besoin d’un mot de passe pour vous connecter à votre compte Microsoft. Vous pouvez supprimer complètement le mot de passe de votre compte Microsoft et vous connecter aux services de l’entreprise en utilisant des méthodes d’authentification alternatives telles que Windows Hello, les clés de sécurité FIDO2, les codes de vérification ou encore l’application Microsoft Authenticator (disponible sous Android et iPhone). Auparavant ces méthodes étaient possibles mais pour une seconde authentification ou encore en simple authentification mais en plus du mot de passe qui restait toujours présent (et donc source de piratage..) plus maintenant et voici comment faire pour tenter l’expérience :

Vous devez d’abord installer l’application Microsoft Authenticator puis la lier à votre compte.

  1. Rendez-vous ensuite sur le portail de gestion des comptes MS,
  2. Sélectionnez Options de sécurité > puis Sécurité avancée
  3. Sécurité supplémentaire > Compte sans mot de passe > Activer.
  4. Après avoir suivi les instructions à l’écran, vous recevrez une notification indiquant que « vous avez renforcé la sécurité de votre compte et amélioré votre expérience de connexion en supprimant votre mot de passe. »

Pas de panique, vous pouvez reconfigurer plus tard votre compte pour utiliser des mots de passe si vous le souhaitez.

Microsoft a indiqué que cette fonctionnalité n’est disponible pour l’instant que pour les comptes grand public, mais que c’est en cours pour offrir la même chose aux comptes d’entreprise utilisant Azure Active Directory (AAD). Sans surprise, des configurations d’administration permettant d’activer ce comportement seront également disponibles pour un changement à grande échelle.

Microsoft rachète RiskIQ pour renforcer son offre de sécurité

Microsoft a annoncé hier l’acquisition de RiskIQ, un fournisseur de solutions de sécurité en mode SaaS. L’entreprise est basée à San Francisco.

Fondé en 2009, l’entreprise emploie plus de 160 personnes et compte plus de 80 000 analystes de sécurité et plus de 300 entreprises clientes (En France l’entreprise cite BNP Paribas comme client). Son approche de la sécurité consiste à suivre les informations sur les menaces en dehors des organisations. À cette fin, elle analyse plus de 730 milliards de pages Web par an et collecte plus de 300 millions d’enregistrements de domaines. RiskIQ propose des produits permettant d’évaluer la surface d’attaque globale d’une organisation, y compris les risques d’être soumis à des attaques malveillantes par injection de JavaScript. Elle offre des outils d’investigation pour découvrir les attaques et les menaces, ainsi que des solutions de surveillance et de remédiation automatisées. Objectif pour Microsoft (selon l’éditeur lui-même) : renforcer les capacités de protection contre les cybermenaces. Microsoft entend également bénéficier du personnel, de l’expertise et du soutien de la communauté de sécurité de RiskIQ.

« La communauté de sécurité de RiskIQ comprend plus de 100 000 professionnels de la sécurité », RiskIQ a conclu des partenariats avec « des centaines de sociétés du Global 2 000« .

Lou Manousos, PDG de RiskIQ

La manière dont l’acquisition affecterait les organisations utilisant actuellement les produits RiskIQ n’a pas été mentionnée. Les conditions et les détails de clôture de l’opération n’ont pas non plus été mentionnés, bien qu’un article de Bloomberg ait parlé d’une transaction de « 500 millions de dollars en espèces ». En tout cas cette solution complète le portefeuille sécurité de Microsoft après le rachat le mois dernier de ReFirm Las (nous vous en parlions ici).

Cybersécurité et espace : Microsoft rejoint le SPACE ISAC

https://s-isac.org

A l’heure où les cyber menaces deviennent de plus en plus présentes et pressantes, l’ouverture vers l’espace (SpaceX, Blue Origin) et les alliances avec les grands acteurs du cloud computing (AWS et Microsoft en particulier) suscitent l’inquiétude quant aux possibles (et très probables) cybermenances spécifiques qui pourraient apparaitre.

Dans ce contexte, Microsoft vient d’annoncer son entrée dans le Space ISAC (Information Sharing and Analysis Center), dont la mission est « de faciliter la collaboration au sein de l’industrie spatiale mondiale afin d’améliorer notre capacité à nous préparer et à réagir aux vulnérabilités, aux incidents et aux menaces ; de diffuser des informations opportunes et exploitables parmi les entités membres ; et de servir de principal canal de communication pour le secteur en ce qui concerne ces informations« .

Microsoft investit dans le domaine de la cybersécurité depuis de nombreuses années et de manière très large, avec plus d’un milliard de dollars par an et plus de 3 500 experts en sécurité dans ses équipes, pour des résultats aussi bien dans ses produits et services que via le Microsoft Cyber Defense Operations Center, regroupant des experts qui exercent une veille 24/7 dans ce domaine et interviennent aussi en support des autorités légales.

Avec le retour de l’espace comme nouvelle frontière, la question de la sécurité des infrastructures et données associées, quelles soient embarquées dans des appareils ou des stations terrestres, va se poser de manière très pressante.

Microsoft Defender for Endpoint peut maintenant détecter les appareils non gérés

La fonction d’inventaire des périphériques non gérés, qui était en beta depuis fin avril, est maintenant en version finale. Cette fonctionnalité sera visible d’ici le 19 juillet dans la console de gestion Microsoft 365 Defender, où elle apparaîtra sous l’option de menu « Endpoints ».

L’objectif de cette fonction est logiquement découvrir les périphériques non gérés d’un réseau, puis de les intégrer à Defender afin qu’ils soient gérés. Cette fonction peut détecter les stations de travail, les serveurs et les terminaux mobiles (Windows, Linux, macOS, iOS et Android) qui n’ont pas été intégrés et sécurisés. Il peut même détecter les périphériques réseau, tels que les pare-feu, les routeurs, les commutateurs, les passerelles de réseau privé virtuel, etc.

La nouvelle fonction d’inventaire des périphériques non gérés est associée à un changement de mode de découverte de « Basic » à « Standard ». Ce passage au mode Standard est effectué automatiquement par Microsoft afin selon l’éditeur de fournir de meilleures capacités de découverte des périphériques. Le passage au mode Standard sera annoncé aux administrateur par le biais d’une fenêtre contextuelle qui apparaîtra en haut de la console Microsoft 365 Defender. Selon Microsoft, le mode de découverte Standard propose un processus de recherche de vulnérabilités plus actif et plus approfondi que le mode de découverte Basic. L’utilisation de ce mode n’aurait pas d’impact important sur le réseau, affirme la société :

« Une fois que vous avez activé ce processus [mode Standard], la quantité de trafic réseau est minimale, jusqu’à 5k de trafic est généré par dispositif découvert et la fréquence de ce processus est seulement une fois toutes les 3 semaines après la découverte initiale ou lorsque certaines caractéristiques du dispositif géré changent ».

SECURITE : Prise en charge de la technologie CET dans Microsoft Edge

La version 94 de Microsoft Edge bénéficiera de la prise en charge de la technologie CET (Control-Flow Enforcement Technology). En gros cela signifie qu’Edge sera protégé contre les pirates qui utilisent son code contre lui en modifiant les processus et les comportements pour des attaques furtives et très difficiles à détecter. CET bloquera les opérations de modification du flux.

Ce changement a été annoncé dans la roadmap Microsoft 365 qui précise :

« Microsoft Edge commencera à prendre en charge un mode de navigation encore plus sûr qui utilise un flux de contrôle dépendant du matériel pour les processus de navigation sur le matériel pris en charge (Intel 11e génération ou AMD Zen 3). Vous pouvez désactiver le CET en manipulant les options d’exécution des fichiers d’image (IFEO) à l’aide de la stratégie de groupe.« 

Comme indiqué cette prise en charge de la technologie CET n’est active que pour certains processeurs. Elle ne s’applique donc qu’à vous si vous possédez déjà ou prévoyez d’acquérir les derniers et meilleurs processeurs d’AMD et d’Intel. Cette fonctionnalité devrait être disponible en septembre prochain.

« Entrées précédentes