Archives de Catégorie: Securite

#CES2023 : Snowpack, une solution très originale d’anonymisation et de sécurisation

Spinoff du CEA, où les concepteurs ont réalisé des POC, confirmant la faisabilité et la performance de la solution.

Le principe est le suivant : aujourd’hui sur Internet, les informations transitent sous forme de « paquets de données » qui regroupent les informations utiles et les métadonnées nécessaires à leur acheminement. S’il est possible de protéger les informations utiles en les chiffrant, les métadonnées restent visibles et constituent une vulnérabilité. La solution Snowpack fragmente l’information en flocons, c’est-à-dire en données aléatoires mais complémentaires. Ces « flocons » sont anonymisés et empruntent sur la toile des chemins distincts construits de manière anonyme. Il est dès lors impossible d’accéder à ces données et de les détourner à des fins malveillantes.

la technologie présenterai de nombreux avantages : résistance aux outils de surveillance de masse des réseaux, diminution drastique de la surface d’attaque visible ou encore non recours à un tiers de confiance. Selon eux, la technologies serait également capable d’offrir une solution actuellement « Quantum Resistant »…

Petite interview de son responsable technique :

Lorsque l’anti-malware est utilisé comme malware…

La société SafeBreach, a récemment publié un POC montrant comment les solutions anti-malware peuvent être détournées pour effacer ou supprimer définitivement des fichiers inoffensifs sur votre PC. Le POC s’appelle « Aikido » et s’inspire de l’art martial japonais qui est utilisé pour retourner les mouvements des adversaires contre eux.

Yair, le chercher en sécurité de SafeBreach explique queAikido est basé sur ce que l’on appelle la vulnérabilité TOCTOU (time-of-check to time-of-use). Une solution antivirus détecte et détermine d’abord un fichier comme étant malveillant, puis le supprime. Aïkido utilisant TOCTOU insére un chemin alternatif après la détection du malware pour ensuite conduire à la suppression d’un fichier légitime au lieu de ce fichier malveillant par l’antivirus lui-même. Même les fichiers système peuvent être supprimés à l’aide de cette méthode…

Microsoft a déjà reconnu l’exploit dans Defender et bon élève, a corrigé immédiatement la vulnérabilité. D’autres grands éditeurs de logiciels anti-malware comme Avast, AVG et TrendMicro ont également été confrontés à cette faille. En revanche d’autre éditeurs populaires comme McAfee et BitDefender se serait pas touchées. Fait intéressant, dans le cas de Defender et Defender for Endpoint, Yair a remarqué que Defender ne supprimait pas les fichiers, mais les dossiers à la place.

Vous trouverez plus de détails sur Akido Wiper et l’exploit sur le site officiel de SafeBreach. Le POC Akido a été présenté lors de la récente conférence sur la sécurité Black Hat Europe 2022.

Signature Electronique Qualifiée : Enfin une solution plus simple

Lorsque vous avez à prouver votre identité via une signature électronique, vous le savez, le plus haut niveau demandé est la Signature Qualifié. Vous en avez besoin si per exemple vous répondez à un Appel d’Offre Européen par exemple, mais pas que, c’est le standard nécessaire partout en Europe et les domaines d’applications sont très nombreux : des contrats divers, aux achats en passant pas les RH.

Il existe de très nombreux services agrées disponibles, et nous avions l’habitude chez Calipia d’utiliser ceux de Certinomis, cette filiale de La Poste offrant une souplesse interessante pour s’assurer que le demandeur est le bon : utiliser le réseau de bureaux de postes et responsables de ces bureaux. Oui mais, les délais demandés (plus de 20 jours en « service express »…) et une mauvaise expérience durant le confinement avec 40 jours de délais, pour finalement ne pas aboutir avec qui plus est un service client aux abonnés absent nous a emmené à nous pencher une fois les certificats arrivés à échéance à regarder d’autres alternatives. Et autant le dire tout de suite : ce n’est pas très évident, c’est le moins que l’on puisse dire…

Et puis je suis tombé un peu par hasard sur la Startup Suédoise, Zealid, qui propose d’offrir cette prestation avec une mise à disposition de la précieuse « Signature Qualifiée » en quelques minutes ! Alors comment fait-elle ? Intéressé, par l’expérience utilisateur proposé et la sécurité associée, j’ai tenté l’expérience. Et voici mon retour utilisateur : c’est pas mal du tout. Enfin un peu de neuf dans ce monde où paradoxalement le numérique avait du mal à ce faire une place (il suffit de voir les procédures papiers des Certinomis et autres compères pour s’en convaincre… ainsi que les délais de réponses, d’un autre âge).

Parlons expérience utilisateur

Si vous êtes papier « à l’ancienne » avec photocopies à faire en deux exemplaires de tous vos documents, impressions de dossiers de 30 pages, à envoyer par la Poste et attendre sagement 15 jours pour la prise en compte sans information (pour s’apercevoir que la photocopie de votre Carte d’identité n’est pas suffisamment lisible… retour à la case départ et compteur remis à zéro), passez votre chemin, Zealid est pas fait pour vous 🙂

Zealid sur le modèle de l’authentification faite par les Neobanques type Revolut ou N26, utilise Face ou Touch ID, pour valider les comptes et cela change tout pour la validation du dossier qui se fait non pas en quelques minutes mais en moins de 24 h lorsque la validation est manuelle ce qui est déjà un énorme progrès.

Pour ce qui est ensuite de la signature des documents, la solution utilise là aussi l’authentification forte du Smartphone + secret local pour signer les docs avec de simple QR code à flasher pour passer du PC au Smartphone : pas bête du tout même si les traduction en français sont parfois trompeuse. Un sacré progrès là encore par rapport aux autres solutions nécessitant en général une applet Java (si si cela existe encore !) avec les bon niveaux de soft coté Oracle, d’une part et une clé USB avec le certificat en local en croisant des doigts pour que le pilote de cette dernière soit bien reconnu…

Associé à cela un support très réactif. Chapeau. Donc voilà, je pense qu’une solution ingénieuse comme celle-ci, d’une société qui a su obtenir toutes les certifications européenne dans le maquis des normes en la matière mérite bien un petit coup de projecteur sur notre blog 🙂 Et je précise si besoin était que ce n’est pas un post sponsorisé (jamais le style de la maison).

ZealiD est un prestataire de services de confiance qualifié par l’UE et notifié à la liste de confiance de l’UE. ZealiD respecte une politique de sécurité de l’information basée sur les services de confiance qualifiés eIDAS, les normes ETSI désignées eIDAS et la réglementation européenne de pointe sur l’identification à distance. ZealiD est autorisé par et sous la supervision de l’autorité suédoise des postes et télécommunications et de l’autorité suédoise de protection de l’intégrité. Les services de confiance sont hébergés dans l’UE. La conformité avec la réglementation, les normes et la politique est évaluée chaque année par les principaux organismes d’évaluation de la conformité eIDAS accrédités SRC Security GmbH.

Le siège social de la société est en Suède, elle dispose de bureaux en Lituanie et en Allemagne et les contacts se font en français 🙂

Et enfin, cerise sur le gâteau, ils disposent d’APÏ pour l’intégration de la solution dans les processus existants : https://developer.zealid.com/docs/hermes-interface

Microsoft achète Miburo pour muscler ses capacités de lutte contre les cyberattaques venant de puissances étrangères

source : miburo.com

Après le rachat annoncé de Mandiant par Google, Microsoft investit également sur une entreprise spécialisée du secteur : Miburo. L’entreprise basée à New-York est specialisée dans  » l’analyse et de recherche sur les cybermenaces, spécialisée dans la détection et la réponse aux opérations de puissances étrangères ». En ces périodes de réactivation de conflits, la lutte contre les cyber menaces issues de puissances étrangères est devenue une priorité. Miburo indique sur son site web être capable d’identifier et d’attribuer des menaces en 16 langues.

Le communiqué de Microsoft ne présente pas d’infos plus précises (montant du rachat, calendrier de réalisation …), mais précise que Miburo va rejoindre le groupe Microsoft Customer Security & Trust, et complètera son offre actuelle de surveillance et d’analyse des menaces (Threat Analysis).

Identification via des tiers : France Identité bientôt disponible pour tous et pourquoi c’est très interessant à mon avis…

Nous connaissons tous les identifications via des tiers de confiance, le fameuses propositions « se connecter avec Facebook », mais aussi Google largement disponibles sur les sites web et applications mobiles évitant ainsi à l’utilisateur de créer un n ème compte, identifiant et mot de passe. Bénéfice également pour les concepteurs des applications en question : ne pas avoir à gérer ces identifiants et les problématiques de pertes associés. Donc en gros cela profite à tout le monde… Oui mais, un des gros (très gros en fait) problème est que ces « tiers de confiance » sont Facebook (pardon Meta) et Google qui en profitent (c’est le business model de ces services) pour enregistrer le fait qu’à telle heure vous vous êtes connectés sur telle application, avec tel appareil et depuis tel lieu… Autant d’informations personnelles qui iront enrichir leur connaissances, déjà bien (trop) riche.

Alors oui dès lors que l’on aborde le terrain du traitement des données personnelles avec Google et Facebook, on se confronte toujours à des personnes qui pensent que :

« Ce n’est pas grave, je n’ai rien à cacher », « De toutes façons ils savent déjà tout sur moi », « Je suis qu’une goutte d’eau dans l’océan de leur utilisateurs », « Pas grave si ils me proposent ensuite de la pub pour acheter une nouvelle machine à laver, et au contraire, c’est bien vu si je suis en train d’en chercher une »…

Je vous fait un petit florilège ici, mais la liste pourrait-être bien plus longue 🙂

Le problème c’est que cela ne se limite pas à de la publicité, les données peuvent être utilisées pour vous influencer sur d’autres choses, disons plus politique. Pas convaincu ? Allez voir ce qui s’est passé aux USA avec l’élection de Trump, ou moins loin, en Grande Bretagne avec le vote sur le Brexit, manipulations étrangères (Russes) sans doute, mais on sait surtout de qui elles avaient obtenu les listes de personnes ciblées…

Comment ? Imaginez simplement vous connecter sur un site de pétitions en ligne avec une authentification tiers via Facebook par exemple. En fonction de la pétition en cours et son sujet, si il est politique, pas très difficile alors pour la firme de Menlo Park d’avoir une bonne idée sur vos opinions. Et non nous ne sommes pas plus protégé là dessus en France et en Europe avec le RGPD dont le domaine d’application n’a pas grand chose à voir. Accepter d’utiliser cette authentification tiers c’est en accepter le business model.

Alors oui il existe d’autres services d’authentification tiers plus respectueux de la vie privée, comme ceux de Microsoft (mais beaucoup moins populaire) ou celui l’Apple (de plus en plus populaire, mais destiné aux seuls processeurs de matériels Apple). Avec « France Connect » nous disposons d’un service géré par l’état (dont au passage cela fait parti des missions régalienne) qui gère notre identité numérique, bonne nouvelle donc… mais pour un nombre ultra réduit de sites :les impôts, la sécu, etc.

Sans se faire trop d’illusions tout de même, cela pourrait changer demain avec l’application France identité et la carte d’identité numérique (disponible depuis aout 2021) notre identifiant unique (celui de notre carte) pourrait être utilisé à la fois dans le monde virtuel (via France Connect donc) mais aussi dans le monde réel en présentant simplement notre téléphone. cela permettrait ainsi que faire de la divulgation sélective des informations comme fournir la preuve que nous sommes majeur sans donner notre date de naissance par exemple. Et tout ceci sans mot de passe. Fonctions mise en avant par les identités numériques distribuées, nous vous en parlions ici même. Attention ici France Identité ne s’appuie pas (encore ?) sur le mécanisme faisant appel à la Blockchain, mais se serait à l’étude.

Alors que l’application était disponible en beta depuis fin mai pour Android, on apprend hier soir qu’Apple à fait le nécessaire dans iOS 16 pour permettre aux équipes de France Identité de proposer prochainement la beta pour iOS également.

Alors, si vous avez une nouvelle carte d’identité (celle au format carte de crédit avec la puce), vous pourrez bientôt (la première liste de beta testeurs est complète) demander de faire parti du beta test (pour Android et très prochainement pour iOS donc).

Pour des considérations plus « entreprise » nous avons une session dédiée à la gestion des identités lors du Briefing Calipia en cours (il reste des places pour la session de Paris et la session en ligne des 21 et 23 juin prochain)

Les CAPTCHAs seront bientôt inutiles

Nous connaissons tous les Captchas, cette petite fenêtre qui vous pose des questions afin de valider que vous êtes bien un humain (ou un robot particulièrement doué :)). Le moins que l’on puisse dire c’est que ces derniers nuisent à la navigation et à l’interactivité sur les différents sites.

Cloudflare a annoncé il y a quelques temps déjà, une nouvelle technologie appelée « jetons d’accès privés » (PAT ou Private Access Token) qui vous permet de valider l’authenticité de visiteurs humain d’un site web, de manière privée. Les systèmes d’exploitation ajouteront la prise en charge de cette nouvelle technologie. C’est Apple qui proposera ceci en premier comme annoncé par le constructeur cette semaine se sera pour les prochaines versions de macOS et d’iOS.

Cloudflare a souligné plusieurs avantages des PAT, pour les utilisateurs, cela rend l’accès aux sites plus simple à mettre en oeuvre que le mécanismes des CAPTCHAs, pour les développeurs de sites web et d’applications. Cela permet de savoir que l’utilisateur est sur un appareil authentique et une application signée, et pour les clients de Cloudflare, il est simple de commencer à utiliser les PAT car il n’y a pas de configuration nécessaire. Autre avantage non précisé par Cloudflare : cela préserve un peu plus l’anonymat que les CAPTCHAs dont le principal fournisseur n’est autre que Google (il avait racheté la société) qui lui permet actuellement de tracer les usages de ces derniers et donc des sites visités par les utilisateurs… tous les moyens sont bons 🙂

Apple est l’un des premiers grands fournisseurs à annoncer la prise en charge des jetons d’accès privés dans iOS 16, iPadOS 16 et macOS 13. Heureusement, d’autres fournisseurs devraient également annoncer la prise en charge dans un avenir proche, et bien sur en premier lieu Microsoft, reste Google bien sur qui risque de trainer un peu les pieds compte tenu des éléments cités plus haut.

La prochaine version de macOS et d’iOS a été publiée en version bêta pour les développeurs lundi et une version bêta publique est prévue en juillet. La mise à niveau commencera à être proposée (gratuitement) à tout le monde à l’automne comme tous les ans.

Microsoft Entra : une nouvelle suite de gestion des identités et des accès

Dans le cadre d’un vaste mouvement de repackaging de ses solutions (voir les épisodes précédents : Microsoft Defender, Microsoft Purview, Microsoft Priva), Microsoft vient de présenter une nouvelle suite qui regroupe différents services déjà disponibles : Microsoft Entra.

La nouvelle offre est destinée à contrôler et gérer les identités et les accès, on premise et dans le cloud (les clouds en fait puisque la solution fonctionnera avec des environnements multi-clouds : Azure, AWS, GCP) et sur tous les appareils utilisés, Microsoft et non Microsoft.

Microsoft Entra rassemble des services comme Azure AD, une composante CIEM (Cloud Infrastructure Entitlements Management) de gestion et d’automatisation des droits utilisateurs en environnement multi cloud. Cette composante CIEM est issue directement du rachat de l’entreprise CloudKnox Security en juillet 2021.

Microsoft Entra est disponible maintenant, avec un modèle de licence qui reste calé sur les souscriptions des services composant le package (par ex : Azure AD en souscription par utilisateur par mois).

Nouveaux services : Microsoft propose son expertise en sécurité

Microsoft a annoncé hier un nouveau service appelé Microsoft Security Experts destiné à aider les entreprises à sécuriser leurs réseaux en combinant des technologies et des services humains. Nous reviendrons en détail sur ces services lors du prochain Briefing, mais voici un résumé de l’annonce d’hier.

Microsoft Security Experts se compose de trois nouveaux services gérés destinés à renforcer les équipes de sécurité existantes au sein des entreprises :

  • Microsoft Defender Experts for Hunting qui aidera les entreprises disposant d’équipes de sécurité existantes à  » chasser  » de manière proactive les menaces potentielles. Les experts et partenaires Microsoft utiliseront les données Microsoft Defender, les terminaux, Office 365, les applications cloud et l’identité pour détecter les menaces potentielles. Les entreprises auront la possibilité de contacter un expert en sécurité d’un simple clic et d’obtenir des recommandations spécifiques pour améliorer la sécurité. Microsoft Defender Experts for Hunting sera disponible cet été, il est possible de s’inscrire pour participer à l’avant-première.
  • Microsoft Defender Experts for XDR (extended detection and response) est un service destiné à ceux qui souhaitent étendre et renforcer leurs centres d’opérations de sécurité. Les experts Defender pour XDR fournissent une expertise humaine pour répondre aux incidents aux côtés des équipes de sécurité existantes.
  • Microsoft Security Services for Enterprise est un service dirigé par des experts pour protéger tous les environnements et plateformes en nuage. Les clients disposeront d’experts en sécurité Microsoft dédiés pour gérer l’intégration, les interactions quotidiennes, la modernisation des pratiques et les réponses aux incidents.

Microsoft n’entend pas marché directement sur les plates bandes des sociétés spécialisées en sécurité il propose donc des services qui se veulent « complémentaires à ceux proposés par ses partenaires » On imagine bien que dans un premier temps c’est plutôt les ETI qui seront visées par ce type de services, mais à notre avis seulement dans un premier temps. Microsoft mettant en avant sa légitimité dans ce domaine avec rien qu’en 2021, plus de 9,6 milliards de menaces de logiciels malveillants et plus de 35,7 millions de courriels de phishing/malveillants interceptés, plus de 900 tentatives de vol de mot de passe par force brute toutes les secondes. Difficile de nier que Microsoft dispose de vastes connaissances et d’une grande expertise en matière de cybersécurité…

Microsoft Purview détectera si une personne veut quitter l’entreprise ou le harcèlement sexuel dans Teams et les mails…

Vous connaissez sans doute l’offre Microsoft Purview (anciennement Azure Purview) : la solution de gouvernance des données que l’on peut utiliser pour s’assurer que toute communication interne ou externe respecte leurs normes de conformité et les réglementations. Elle est étroitement intégrée aux services Microsoft 365, tels que Teams, Yammer, Outlook, etc. Essentiellement, les entreprises peuvent définir des politiques pour effectuer une analyse automatisée des communications afin de gérer le risque d’initié et de détecter les messages inappropriés. Si un élément de communication correspond à une politique configurée, il est transmis à un réviseur désigné pour une enquête plus approfondie. Sans surprise la solution utilise les services d’IA d’Azure.

Microsoft bien d’ajouter un certain nombre de fonctions actuellement en cours de développement :

  • Intention de quitter l’entreprise : Détecte les messages qui expriment explicitement l’intention de quitter l’entreprise, ce qui peut-être un signal précoce de danger de vol de données lors du départ.
  • Harcèlement sexuel : Détecte les cas explicites de harcèlement sexuel tels qu’ils peuvent être décrits dans les politiques et le code de conduite de l’entreprise, comme les avances sexuelles, les commentaires sexuels et (je cite) les demandes de faveurs sexuelles. Reste à définir la sensibilité de l’outil. Une transposition directe des pratiques américaines risque d’être délicate de ce coté de l’atlantique…
  • Sabotage : Détecte les messages qui mentionnent explicitement des actes visant à détruire, endommager délibérément les actifs ou les biens de l’entreprise.
  • Corruption : Détecte les messages qui contiennent des termes relatifs à l’échange de cadeaux en échange de services, ce qui peut constituer une violation de la politique de l’entreprise.
  • Blanchiment d’argent : Détecte les signes de blanchiment d’argent ou d’engagement dans des actes visant à dissimuler ou à déguiser l’origine ou la destination des produits.
  • Manipulation d’Actions : Détecte les signes de manipulation d’Actions, tels que les recommandations d’achat, de vente ou de détention d’actions dans le but de manipuler le prix des actions.
  • Divulgation d’informations non autorisée : Détecte le partage d’informations dont le contenu est explicitement désigné comme confidentiel ou interne à certains rôles ou individus dans une organisation.

Toutes ces fonctions seront disponibles pour toutes les entreprises qui utilisent Microsoft Purview. Ils passeront au stade de beta en juin et devraient devenir disponibles en septembre.

Microsoft a souligné dans la description que Purview est conçu dans le respect de la vie privée, de sorte que les noms d’utilisateur sont anonymisés par défaut, que le contrôle d’accès basé sur les rôles (RBAC) est intégré au logiciel et que les « réviseurs » qui examineront plus en détail les correspondances de politiques doivent être explicitement autorisés et désignés comme tels par les administrateurs. Reste à voir néanmoins l’accueil réservé dans les entreprises de ce côté de l’atlantique…

Nous reviendrons sur ces fonctions lors du prochain Briefing où une session est réservée aux nouveautés de Teams. N’hésitez pas à vous inscrire dès maintenant.

Microsoft Defender pour Office 365 ajoute une protection pour les comptes plus sensibles

Microsoft a annoncé mercredi dernier la disponibilité de la version commerciale de la « protection différenciée des comptes prioritaires » dans Microsoft Defender pour les utilisateurs d’Office 365. Fonction qui permet aux administration de marquer les comptes de messagerie sensibles dans l’entreprise. Comme par exemple pour des cadres, des dirigeants, ou d’autres utilisateurs ayant accès à des informations sensibles.

Ces comptes marqués bénéficieraient d’une meilleure protection contre les menaces grâce aux processus d’apprentissage automatique de Microsoft associés au service Microsoft Defender for Office 365. Microsoft précise : qu’ en se concentrant sur ces ensembles d’utilisateurs spécifiques et sur les attaques qui les ciblent, ils ont pu améliorer les modèles d’apprentissage automatique pour offrir un niveau de protection plus élevé. Ils ont aussi été en mesure d’ajuster d’autres aspects des fonctions de protection, comme la façon dont les messages sont traités dans les « bacs à sables ». Microsoft active par défaut la fonction de compte prioritaire pour les abonnés concernés. Bien que les administrateurs puissent la désactiver.

Il est alors possible de voir les statistiques sur les comptes prioritaires en les filtrant dans la vue Threat Explorer de Microsoft Defender for Office 365. Interessant également : les étiquettes de comptes prioritaires fonctionnent également avec le processus de mise en quarantaine des e-mails, ce qui permet de voir « les e-mails malveillants qui ciblent ces comptes critiques ». Les attaques signalées par le biais d’une « nouvelle expérience unifiée des soumissions » sont « explicitement marquées et filtrées » pour les équipes de sécurité. Il est également possible de simuler des attaques sur des utilisateurs en fonction des étiquettes de comptes prioritaires pour tester l’ensemble ! Enfin, Microsoft a indiqué qu’il est également possible de créer des politiques d’alerte personnalisées dans Microsoft Defender pour Office 365.

Attention néanmoins, cette fonction n’est disponible que pour les abonnés à Microsoft Defender for Office 365 possédant des comptes Plan 2. La disponibilité inclut bien sûr également les comptes « Office 365 E5, Microsoft 365 E5, ou Microsoft 365 E5 Security ».

Nous reviendrons sur ces annonces lors du prochain Briefing Calipia avec une session dédiée sur les fonctions de sécurités offertes par Microsoft.

« Entrées précédentes