Securite | Calipia : le blog

Archives de Catégorie: Securite

Microsoft 365 Defender déjoue automatiquement les attaques « man-in-the-middle »

Publié le 26 mai 2023 par Stephane Sabbague Poster un commentaire

Microsoft 365 Defender peut désormais détecter et interrompre automatiquement les attaques de type « man-in-the-middle » (AiTM). Pour rappel, ces attaques peuvent consister en une tentative d’hameçonnage qui détourne la victime vers un site contrôlé par l’attaquant pour intercepter les informations d’identification et les cookies de session et contourner l’authentification multifactorielle. La tentative d’hameçonnage peut être le prélude à d’autres attaques, telles que la fraude par compromission du courrier électronique d’entreprise.

Dans de tels cas, Microsoft affirme que la protection dans Microsoft 365 Defender, qui fait partie de sa capacité d’interruption automatique des attaques, est capable de détecter l’attaque avec un niveau de confiance élevé. Elle prendra automatiquement certaines mesures, telles que la désactivation d’un compte compromis et la révocation des cookies de session qui on été volés. L’idée, vous l’avez compris est de bloquer l’attaquant à un stade précoce. Pendant ce temps, l’équipe sécurité pourra enquêter, prendre des mesures correctives et le cas échéant, remettre en ligne des actifs. C’est ce qu’explique Microsoft dans ce document sur la fonction d’interruption automatique des attaques.

Alors attention, question licences, cette fonctionnalité de Microsoft 365 Defender est plutôt assez exigeante 😉 elle nécessite spécifiquement une licence pour Microsoft Defender for Endpoint, Microsoft Defender for Identity, Microsoft Defender for Cloud Apps et Defender for Office 365 Plan 2, ainsi qu’une licence Microsoft 365 de type E5 (ouf !) c’est ce que précise Microsoft dans ce document.

Nouvelles fonctions très interessantes pour l’ambitieux Microsoft Syntex

Publié le 25 mai 2023 par Stephane Sabbague Poster un commentaire

Microsoft lançait l’automne dernier, Microsoft Syntex : un ensemble de services de gestion de contenu dans le Cloud alimentés par de l’IA. Nous vous en parlions encore dernièrement sur le blog et ceci fera l’objet d’une session au prochain Briefing.

Lors de la deuxième journée de sa conférence développeurs Build, Microsoft a annoncé de nouveaux plugins Syntex pour Microsoft 365 et des services de dépôts de documents. Mais aussi deux nouvelles fonctionnalités Syntex eSignature et Projet Archimedes. Regardons ce qu’apportent ces nouveautés :

1. Les plugins Syntex pour Microsoft 365 Copilot

Ces derniers permettent d’intègrer les actions et les fonctions Syntex dans les futures options Copilot en mettant à disposition des fonctions de gestion de contenu pour sécuriser, ancrer et traiter les informations clés de l’entreprise. Objectif aussi : faciliter le traitement des documents alimenté par l’IA, comme la classification, l’assemblage de contenu et la signature électronique dans Copilot. Microsoft précise que ceci sera valable pour Teams, Word, Outlook, SharePoint, OneNote, etc. Dans word par exemple Copilot sera en mesure d’invoquer le traitement des documents Syntex pour classer automatiquement les documents à l’aide des métadonnées extraites et des politiques de sécurité. Vous pourrez également demander des signatures électroniques par l’intermédiaire de Copilot. Nous donnerons d’autres exemples lors du Briefing Calipia.

2. Plugins de services de dépôts de documents

Contrairement au stockage de fichiers de base, les services de dépôt Syntex offrent aux développeurs des API d’accès aux fonctions du backend de gestion de contenu de Microsoft 365 : versionnage, partage, recherche, sécurité, conformité, etc. Et ceci donc sans avoir besoin de passer systématiquement par les interfaces de SharePoint et Teams. Ces fonctions intéresserons particulièrement les éditeurs logiciels désirant tirer parti des fonctions de Syntex dans leur application.

Pour illustrer ceci, Microsoft a mis une avant son partenaire de longue date AvePoint qui a construit une nouvelle version de son application AvePoint Confide entièrement architecturée autour des services de dépôt Microsoft Syntex permettant de mettre en oeuvre des services de partages documentaires à la volée. Autre exemple pris, la société BDO, fournisseur mondial de services fiscaux, d’audit et de conseil, est en train de réarchitecturer une application de portail orientée client avec les services de référentiel Syntex pour une couche de document universelle évolutive qui tire parti des solutions intégrées de sécurité et de gouvernance de Microsoft 365.

3. Syntex eSignature

Objectif ici : envoyer des demandes de signature électronique à l’aide de Syntex eSignature tandis que le contenu reste dans Microsoft 365 pendant qu’il est révisé, signé et post-signé en tant qu’enregistrement. Nous reviendrons sur ces fonctions avec des démos lors du Briefing.

4. Projet Archimede

Composante à destination des analystes. Il fournit des analyses de big data sur contenu OneDrive et SharePoint à l’échelle de l’entreprise, afin également de synthétiser les éléments liés à la sécurité des documents partagés. Il permet la création de rapports, tableaux de bord, etc.

Deux petits guides (pointeurs) interessants sur Defender chez Microsoft

Publié le 11 mai 2023 par Stephane Sabbague Poster un commentaire

Microsoft a publié la semaine dernière deux guides de sécurité spécifiques à Microsoft Defender for Office 365 et Defender for Endpoint. Pour rappel, Defender for Office 365 a été lancé il y a pile deux ans pour s’intégrer dans les plans d’abonnement Office 365 et se protéger contre les menaces provenant des mails, des pièces jointes et des liens. Il protège également les outils de collaboration tels que Teams, Outlook et SharePoint. Nous vous en parlions dans le détail lors du briefing Calipia du mois de juin 2021.

Defender for EndPoint se veut une solution complète pour la sécurité des postes de travail (produit qui permet d’intercepter les attaques et de renforcer les défenses sur l’ensemble des appareils réseau et systèmes d’exploitation – disponible sur Android, Windows, iOS et macOS). Il offre une protection contre les ransomwares sophistiqués et les principales attaques.

Ces guides deux guides fournissent de façon assez synthétique et plutot bien fait un bref aperçu des principales fonctionnalités des produits et leur mise en oeuvre via des documents détaillés. Avec pour ce qui concerne Defender for Office 365 :

La gestion des incidents et des alertes
Les simulations d’attaques et campagnes de formation
Les déclenchements automatisés d’enquêtes et de réponses
L’analyse avec Safe Link et la vérification des pièces jointes avec Safe Attachments

En ce qui concerne Defender for Endpoint :

Comment définir des actions de réponse à une menace
Comment explorer les investigations automatisées
Activation de la création de rapports sur les points finaux
Comment s’engager dans la chasse aux menaces avancées
Comment choisir le mode actif ou passif pour l’antivirus

Plus d’informations en suivant ce lien.

Nous reviendrons sur ces produits et leurs évolutions dans la partie « Actualité » du prochain Briefing en juin.

Microsoft Defender for APIs : surveillance et protection quelque soit l’hébergeur

Publié le 27 avril 2023 par Stephane Sabbague Poster un commentaire

Microsoft a présenté cette semaine une preview d’une nouvelle solution de sécurité « Microsoft Defender for APIs », intégrée au service Microsoft Defender for Cloud qui pour rappel est utilisé pour ajouter des protections de sécurité et de conformité pour les applications dites « cloud-natives », que cela soit chez « Amazon Web Services, Google Cloud Platform et bien sur Azure »… A ne pas confondre avec Microsoft Defender for Cloud Apps, qui est utilisé pour détecter les risques de sécurité liés aux applications cloud utilisée dans les entreprises : pour surveiller voire interdire les usages de Dropbox, Facebook, etc…

Cette nouvelle solution « Microsoft Defender for APIs » permet d’avoir une visibilité sur les API critiques utilisées en offrant une protection du cycle de vie complet de la détection des usages à une couverture en matière de sécurité. Microsoft cite en exemple la société Optus (Société de télécommunications autrichienne ), où les informations des clients ont été exposées en raison d’une API non protégée et exposée publiquement qui ne nécessitait pas d’authentification de l’utilisateur pour les connexions.

Microsoft explique le mode de fonctionnement :

« Les entreprises peuvent inventorier leurs API gérées dans un tableau de bord et vérifier les API externes, inutilisées ou non authentifiées. Les API sont comparées au Top 10 des risques de sécurité par le biais d’un processus d’apprentissage automatique. Microsoft Defender for APIs indique également les API qui exploitent des données sensibles. Il permet aux organisations de renforcer les configurations utilisées avec les API« .

Les informations de Microsoft Defender for APIs sont affichées dans le portail Microsoft Defender for Cloud et directement dans le portail Azure. Les alertes et les recommandations de sécurité sont également affichées, et Microsoft Defender for APIs fonctionnera avec divers systèmes de gestion des informations et des événements de sécurité (SIEM).

Les API largement utilisées pour permettre les communications entre apps, services cloud et données, peuvent être un vecteur pour propager des menaces de sécurité comme le souligne Microsoft :

« Les acteurs de la menace utilisent de plus en plus les API comme principal vecteur d’attaque pour violer les données des applications dans le cloud, ce qui signifie que la sécurité des API est désormais une priorité essentielle pour les RSSI. Les contrôles de sécurité typiques basés sur le périmètre manquent de connaissances comportementales sur les API, ce qui laisse un grand vide dans la sécurité des API« .

Un Authenticator Lite intégré dans les apps iOS et Android Outlook d’ici fin mai

Publié le 20 avril 2023 par Stephane Sabbague Poster un commentaire

Microsoft a annoncé mardi une beta publique d’une nouvelle solution « Authenticator Lite » pour les applications Outlook Mobile. Elle sera disponible avec tout abonnement Azure AD, les administrateurs du tenant pourront l’activer ou le désactiver en utilisant le portail Entra via la page de configuration Authenticator ou via le Microsoft Graph.

L’objectif de généraliser l’usage de cet outil est qu’il offre une alternative aux méthodes d’authentification secondaires basées sur les SMS (ou un appel vocal). Il utilise des notifications push pour inviter les utilisateurs finaux à s’authentifier réputé bien plus fiable. Les utilisateurs auront également accès à un mot de passe à usage unique basé sur le temps via l’application.

Plus fiable car il existe, on le sait des méthodes « sociales » pour tromper l’utilisateur avec un SMS. On voit actuellement fleurir des attaques dites « MFA fatigue attacks », également connue sous le nom de MFA Bombing ou MFA Spamming – qui est une stratégie d’attaque d’ingénierie sociale où les attaquants envoient à plusieurs reprises des demandes d’authentification à deux facteurs à l’e-mail, au téléphone ou aux appareils enregistrés de la victime cible un attaquant peut envoyer ainsi une multitude de tentatives de connexion dans l’espoir qu’un utilisateur cliquera sur accepter au moins une fois… Un authenticator supprime ainsi ce problème, tout au moins actuellement (il faut être prudent dans ce domaine…).

La fiabilité limité des méthode de MFA traditionnelles n’est pas une surprise, Microsoft avait déjà affirmé dans cette annonce de 2020 que les invites textuelles et vocales utilisées pour le MFA étaient d’anciennes approches de réseau téléphonique public commuté qui étaient ;

« les moins sûres des méthodes de MFA disponibles aujourd’hui . Ces méthodes utilisent des protocoles qui ne permettent pas le cryptage, et donc les signaux peuvent être interceptés par toute personne ayant accès au réseau de commutation ou se trouvant dans la portée radio d’un appareil« .

Microsoft a l’intention d’activer Authenticator Lite pour tous les utilisateurs ayant des tenants utilisant ce paramètre le 26 mai 2023. L’entreprise indique dans sa communication que « s vous souhaitez modifier l’état de cette fonctionnalité, veuillez le faire avant le 26 mai 2023 ».

L’identité décentralisée de Microsoft utilisée dans Linkedin

Publié le 14 avril 2023 par Stephane Sabbague Poster un commentaire

La véracité des profils Linkedin est toujours questionnable. c’est une question importante pour les recruteurs, mais aussi simplement pour bâtir des relation de confiance. Aujourd’hui, Microsoft étend sa technologie d’identité numérique à LinkedIn avec un nouvel outil qui permet aux entreprises de donner à leurs employés un moyen de prouver au monde extérieur qu’ils ne mentent pas (au moins) sur leur employeur.

LinkedIn proposera un nouveau système de vérification de l’employeur qui utilise Microsoft Entra Verified ID pour délivrer des identifiants. L’éditeur trouve donc un débouché interessant pour sa technologie d’identité décentralisée. Nous avions deja eu l’occasion y il a deux ans d’en expliquer les principes lors d’un Briefing Calipia. Au passage, avez-vous pensé à vous inscrire au prochain Briefing de juin ? (tous les détails ici).

Pour rappel : Verified ID s’appuie sur des normes ouvertes pour l’identité décentralisée, qui fonctionne selon un modèle dit du « triangle de confiance » impliquant trois parties : un émetteur, un détenteur et un vérificateur. Par exemple, une organisation peut agir en tant qu’émetteur en signant cryptographiquement un titre numérique et en le délivrant à un employé sous la forme d’une carte d’identité numérique. En tant que détenteur de la carte, l’employé peut décider de la partager avec des applications et des sites web, tels que LinkedIn. Le vérificateur peut alors authentifier par cryptographie que l’identifiant numérique de l’employé est authentique et qu’il a été délivré par le lieu de travail déclaré par l’employé. Cette approche représente un moyen plus sûr, plus pratique et plus fiable de vérifier les informations numériques à grande échelle.

Pour en revenir à l’intégration avec Linkedin, les employés des entreprises participantes verront sur LinkedIn une invitation à confirmer leur lieu de travail à l’aide de ces identifiants. Une fois l’opération terminée, la vérification de l’emploi apparaîtra sur leur profil LinkedIn. Précision également : les entreprises auront la possibilité de créer ces informations d’identification sans licence ou abonnement payant 🙂

Ankur Patel, le chef de produit Entra Verified ID a précisé les objectifs de cette intégration :

« Notre objectif est de permettre aux utilisateurs et aux organisations d’établir la confiance et l’authenticité en ligne de manière pratique et sécurisée », »Les organisations peuvent émettre des identifiants professionnels pour LinkedIn avec n’importe quel abonnement Azure AD, y compris Azure AD Free, qui s’intégrera également à leurs systèmes existants de gestion de l’accès à l’identité ou de ressources humaines. »

Microsoft indique qu’elle teste Verified ID pour LinkedIn avec plus de 70 organisations, dont les sociétés de conseil Accenture et Avanade, et Microsoft elle-même. La société devrait commencer à déployer la technologie à plus grande échelle sur LinkedIn dans le courant du mois d’avril.

IA et Sécurité : Microsoft annonce Security Copilot

Publié le 30 mars 2023 par Stephane Sabbague Un commentaire

Décidément il y a des « Copilot » pour tout chez Microsoft… L’entreprise vient d’annoncer en début de semaine Security Copilot qui utilisera sans trop de surprise GPT4 d’OpenAI comme les autres produits Copilot.

Sur le modèle de ce qui a été présenté sur Office (nous vous en donnions le résumé ici sur le blog) cela fonctionne comme un chatbot. Il est destiné aux admins sécurité qui ont besoin d’informations rapides pour les aider à isoler et à chasser les menaces. Ce qui différencie Security Copilot des autres chatbots, c’est qu’il utilise les centaines milliards de signaux que Microsoft recueille dans le cadre de son propre travail de renseignement de sécurité, ainsi que des informations provenant d’agences de sécurité externes telles que la National Security Agency. Microsoft précise également que les clients pourront former Security Copilot à partir de leurs propres données.

Microsoft a publié un site de démonstration proposant des scénarios pour Security Copilot comme :

Identifier une attaque en cours, évaluer son ampleur et obtenir des instructions pour commencer à remédier à la situation en se basant sur des tactiques éprouvées lors d’incidents de sécurité réels.
Découvrir si votre organisation est sensible aux vulnérabilités et aux exploits connus. Examinez votre environnement, un actif à la fois, à la recherche de preuves d’une violation.
Résumez tout événement, incident ou menace en quelques minutes et préparez les informations dans un rapport prêt à partager et personnalisable pour le public que vous souhaitez.

Security Copilot s’intègre à Microsoft Sentinel, Defender et Intune. Les utilisateurs peuvent utiliser Security Copilot pour demander des résumés d’informations sur les vulnérabilités, pour aider à l’analyse des incidents et des codes, et pour suivre les alertes provenant d’autres outils.

Security Copilot est actuellement disponible en preview privée. Microsoft n’indique pas de date pour la mise à disposition de Security Copilot à plus grande échelle, ni les modalités d’acquisition…

Azure Firewall Basic est dispo

Publié le 22 mars 2023 par Stephane Sabbague Poster un commentaire

Microsoft vient d’annoncer qu’Azure Firewall Basic était maintenant disponible en version commerciale. C’est un nouveau produit destiné principalement aux petites et moyennes entreprises (PME). Il offre un filtrage du trafic réseau et applicatif, des renseignements sur les menaces provenant des flux de Microsoft (le centre cybersécurité de l’éditeur) et une haute disponibilité, avec une réplication sur deux zones de disponibilité pour l’instant : USA et Canada, pas de dates encore pour les datacenters européens.

Microsoft a ajouté des options de déploiement interessantes : une nouvelle option de déploiement de concentrateur virtuel est destinée aux organisations qui doivent protéger de grands réseaux ou des réseaux mondiaux. Il existe également une option de déploiement de réseau virtuel, qui est censée être utilisée sur une topologie de réseau traditionnelle en étoile avec un pare-feu sur le concentrateur. Logiquement Azure Firewall Basic est automatiquement mis à jour avec les indications sur les menaces et les mises à jour de sécurité de Microsoft.

L’éditeur indique d’il est possible de configurer Azure Firewall Basic en quelques minutes à l’aide des modèles Azure Resource Manager (ARM). Il prend même en charge les « modèles ARM déclaratifs » qui spécifient l’infrastructure requise, conformément à l’approche « infrastructure as code ».

Les autres plans Azure Firewall

Microsoft vend également des plans Azure Firewall Standard et Azure Firewall Premium. L’édition Basic ne dispose pas des fonctionnalités avancées de protection contre les menaces qui sont disponibles avec l’édition Premium, à savoir le filtrage des renseignements sur les menaces, la terminaison TLS entrante et sortante, un système de détection et de prévention des intrusions (IDPS) entièrement géré et le filtrage des URL.

Microsoft distingue également les trois plans Azure Firewall en fonction des besoins en termes de débit. Azure Basic Firewall est destiné aux PME qui ont besoin d’un débit inférieur à 250 Mbps. Le plan standard s’adresse aux entreprises qui ont besoin d’un « pare-feu de couche 3 à couche 7 » et d’un débit allant jusqu’à 30 Gbit/s. Le plan Premium s’adresse aux entreprises qui ont besoin d’un « pare-feu de couche 3 à couche 7 ». Le plan Premium est destiné aux entreprises qui ont besoin de « sécuriser des applications très sensibles ».

Les coûts associés

Sans surprise la facturation comptabilisera des coûts pour les heures de déploiement, ainsi que des coûts de traitement des données facturés par gigaoctet. Les coûts US d’Azure Firewall Basic peuvent être consultés sur cette page de tarification de Microsoft.

#CES2023 : Snowpack, une solution très originale d’anonymisation et de sécurisation

Publié le 7 janvier 2023 par Stephane Sabbague Poster un commentaire

Spinoff du CEA, où les concepteurs ont réalisé des POC, confirmant la faisabilité et la performance de la solution.

Le principe est le suivant : aujourd’hui sur Internet, les informations transitent sous forme de « paquets de données » qui regroupent les informations utiles et les métadonnées nécessaires à leur acheminement. S’il est possible de protéger les informations utiles en les chiffrant, les métadonnées restent visibles et constituent une vulnérabilité. La solution Snowpack fragmente l’information en flocons, c’est-à-dire en données aléatoires mais complémentaires. Ces « flocons » sont anonymisés et empruntent sur la toile des chemins distincts construits de manière anonyme. Il est dès lors impossible d’accéder à ces données et de les détourner à des fins malveillantes.

la technologie présenterai de nombreux avantages : résistance aux outils de surveillance de masse des réseaux, diminution drastique de la surface d’attaque visible ou encore non recours à un tiers de confiance. Selon eux, la technologies serait également capable d’offrir une solution actuellement « Quantum Resistant »…

Petite interview de son responsable technique :

Securite

Lorsque l’anti-malware est utilisé comme malware…

Publié le 12 décembre 2022 par Stephane Sabbague Poster un commentaire

La société SafeBreach, a récemment publié un POC montrant comment les solutions anti-malware peuvent être détournées pour effacer ou supprimer définitivement des fichiers inoffensifs sur votre PC. Le POC s’appelle « Aikido » et s’inspire de l’art martial japonais qui est utilisé pour retourner les mouvements des adversaires contre eux.

Yair, le chercher en sécurité de SafeBreach explique queAikido est basé sur ce que l’on appelle la vulnérabilité TOCTOU (time-of-check to time-of-use). Une solution antivirus détecte et détermine d’abord un fichier comme étant malveillant, puis le supprime. Aïkido utilisant TOCTOU insére un chemin alternatif après la détection du malware pour ensuite conduire à la suppression d’un fichier légitime au lieu de ce fichier malveillant par l’antivirus lui-même. Même les fichiers système peuvent être supprimés à l’aide de cette méthode…

Microsoft a déjà reconnu l’exploit dans Defender et bon élève, a corrigé immédiatement la vulnérabilité. D’autres grands éditeurs de logiciels anti-malware comme Avast, AVG et TrendMicro ont également été confrontés à cette faille. En revanche d’autre éditeurs populaires comme McAfee et BitDefender se serait pas touchées. Fait intéressant, dans le cas de Defender et Defender for Endpoint, Yair a remarqué que Defender ne supprimait pas les fichiers, mais les dossiers à la place.

Vous trouverez plus de détails sur Akido Wiper et l’exploit sur le site officiel de SafeBreach. Le POC Akido a été présenté lors de la récente conférence sur la sécurité Black Hat Europe 2022.

« Entrées précédentes