Archives de Catégorie: Securite

Azure Security Center for IoT est disponible

Azure Security Center for IoT est la solution proposée par Microsoft pour prévenir l’exploitation de failles de sécurité dans les déploiements d’objets connectés. Pour rappel, Security Center est, comme son nom l’indique, le système de gestion de la sécurité de l’infrastructure de l’entreprise, qu’il soit sur site, sur Azure ou via un autre fournisseur de cloud. Cette surveillance multiplateforme est également facilitée par des partenariats d’interopérabilité tels que celui annoncé par Microsoft avec Oracle au début de l’été.

Comme nous l’expliquions lors du dernier Briefing Calipia en juin dernier, Security Center for IoT exploite les informations de «plus de 6 000 milliards de signaux que Microsoft collecte chaque jour» et classe les différents risques identifiés en fonction de leur importance. Il peut également identifier d’éventuelles erreurs de configuration, voire des paramètres non sécurisés.

Cette offre complète l’offre déjà bien établie pour l’IoT de l’éditeur, nous vous avions proposé un panorama complet de cette dernière lors du Briefing Calipia de décembre 2018, faisant suite à notre mission d’étude d’octobre dernier sur ce sujet. On retrouve ainsi dans cette offre des technologies telles qu’Azure Sphère, Azure IoT Central ou encore la plateforme IoT Edge. L’éditeur met donc le turbo pour finaliser son offre face à AWS.

Vous pouvez en savoir plus sur Azure Security Center sur le portail Azure.

Première beta publique du support de FIDO2 sur Azure

Capture d’écran 2019-07-12 à 13.01.50.png

Microsoft vient d’annoncer la preview public de la prise en compte de FIDO2 sur l’annuaire AD Azure, permettant ainsi de se connecter à des ressources Azure sans password. FIDO2 (pour FAST Identity Online 2.0) est un standard Web pour authentifier des utilisateurs sans utiliser de mot de passe, qui a été développé par l’Alliance FIDO et le Worldwide Web Consortium.

Microsoft propose déjà dans Windows 10 une authentification sans mot de passe, et a reçu pour Windows 10 la certification FIDO2 en mai 2019.

Pour les ressources Azure, l’authentification FIDO2 passera par une clé USB, un dongle, l’app Authenticator pour les smartphones Android et iOS, ou avec Hello pour les PC sous Windows 10.

Le client Zoom sur MacOS peut accéder à la webcam de votre Mac sans accord !

Capture d’écran 2019-07-09 à 16.31.15.pngL’application Zoom (le service de visioconférence star du moment) pour MacOs souffre d’une vulnérabilité, mise à jour par un spécialiste en sécurité, Jonathan Leitschuh, et qui permet à des sites web malintentionnés d’activer la webcam sans autorisation préalable de l’utilisateur. Qui plus est cette vulnérabilité permet aussi, sur les anciennes versions de l’appli, de provoquer un déni de service de la part du Mac concerné en lui envoyant sans arrêt des invitations à rejoindre un call zoom invalide !

La faille a été découverte par J.Leitschuh en mars dernier, et il en a informé discrètement Zoom, qui n’a semble t’il pas pris la mesure du problème, puisqu’à aujourd’hui (9 juillet) toujours pas de correctif pour l’application [MAJ 10/07/19 – Zoom vient d’annoncer qu’il va proposer très rapidement un correctif]

Pour parer au problème, il faut s’assurer de disposer de la dernière version de l’appli (pour éviter le DoS), et désactiver le démarrage auto de la webcam lorsqu’on rejoint un meeting Zoom.

Attention, il ne suffit pas de désinstaller l’application car en fait celle-ci a mis en place un serveur web sur le Mac, pour contourner certaines limitations imposées par Safari (et qui permettent justement de ne pas tomber dans le piège décrit ici !), et simplifier la vie des utilisateurs en limitant le nombre de clics pour rejoindre une réunion Zoom. Par ailleurs, ce serveur est capable d’initiative puisqu’il peut réinstaller l’application Zoom si d’aventure l’utilisateur clique sur un lien de réunion Zoom et que l’application n’est pas installée… Donc si vous choisissez de désinstaller l’application Zoom il va aussi falloir passer par le Terminal de MacOS pour régler le compte du serveur web installé par l’application Zoom.

La procédure pour cela est décrite par macg.co (merci à eux, j’ai pu la tester pour mon propre cas – mon conseil : copiez/collez les commandes surlignées dans votre Terminal) :

  • Récupérer l’identifiant du serveur. Saisissez la commande lsof -i :19421 pour connaître l’identifiant du serveur local. S’il n’est pas actif, vous ne verrez aucun résultat. Sinon, vous verrez une ligne avec plusieurs informations. Copiez le nombre inscrit sous la mention « PID ».
  • Arrêter le serveur local : saisissez la commande kill -9 dans le terminal, puis un espace et collez l’identifiant récupéré à l’étape précédente.
  • Supprimer le dossier du serveur local : utilisez la commande rm -rf ~/.zoomus pour supprimer le dossier où le serveur local est installé.
  • Empêcher la réinstallation du serveur par Zoom : pour bloquer totalement l’app et l’empêcher de recréer un serveur local, saisissez la commande touch ~/.zoomus qui va créer un fichier vide.

OneDrive Personal Vault : un stockage sécurisé pour OneDrive

Capture d’écran 2019-06-28 à 08.42.10.pngMicrosoft a annoncé la semaine dernière un certain nombre d’évolutions pour OneDrive. Parmi celles-ci l’introduction pour les clients Office 365 d’un espace de stockage (encore plus) sécurisé : OneDrive Personal Vault. Cet espace permet aux utilisateurs de stocker dans OneDrive des fichiers nécessitant une protection plus importante.

OneDrive Personal Vault est sécurisée avec du MFA (biométrique, SMS, application Authenticator), de plus sur Windows 10, le dossier est stocké sur un espace du disque dur encrypté avec BitLocker. Pour les utilisateurs des plans Office 365 d’entreprise, pas de limite de stockage (ni en nombre de fichiers, ni en taille), par contre les utilisateurs de plans gratuits OneDrive auront une limite max en termes de nombre de fichiers.

Cette nouvelle fonctionnalité sera accessible sur Windows 10, Android (au delà de la version 6.0) et iOS (au delà de la 11.3). Pas d’info concernant Mac OS pour le moment.

La NSA demande aux particuliers d’installer les correctifs de sécurité de Microsoft de mai dernier

Capture d’écran 2019-06-14 à 19.04.41.pngMicrosoft a mis à disposition mardi dernier son lots de correctifs de sécurité de juin, plutôt bien garni avec 88 correctifs.

Mais c’est celui de mai dernier qui a attiré l’attention de la célèbre NSA (National Security Agency), qui demande en effet à tous les utilisateurs des services RDS sur diverses versions de Windows (7, XP,) ou Windows Server (2003, 2008) d’appliquer ces correctifs. En effet parmi ceux ci figure la vulnérabilité numéro CVE-2019-0708, autrement nommée “BlueKeep« , qui concerne donc les services RDS, et qui possèderait la capacité de se propager sans aucune action des utilisateurs. Selon la news publiée par la NSA, cette vulnérabilité pourrait être exploitée pour effectuer des attaques en déni de services. La NSA recommande donc d’appliquer sans attendre les correctifs Microsoft, mais également de bloquer le port TCP 3389 des firewalls, port utilisé par le protocole RDP, voire même de mettre hors service les services Remote Desktop si ils ne sont pas nécessaires.

 

La protection de la vie privée : la menace réglementaire pour les géants du numérique

Apple était s’il on peut dire, précurseur dans ce domaine et pour cause, leur Business Model ne dépend pas de la collecte d’informations personnelles, même s’ils se montrent parfois assez laxistes dans le contrôle des applications réalisant cette tache sur leur store…

Depuis quelques semaines, c’est au tour de Facebook, Google et maintenant Amazon de se faire les champions de la protection de la vie privée. Autant le dire tout de suite, il y a pas mal de travail encore pour que cela soit crédible ! Car en dehors de ces déclarations , ils n’ont toujours pas réalisé même le plus petit des changements dans leur Business Model dépendant en très grande partie de la collecte d’informations…

Mais alors pourquoi de telles déclarations et pourquoi maintenant ? Pas plus tard que la semaine dernière c’est Amazon qui assurait que maintenant Alexa, son assistant vocal, ne conserverai plus les phrases énoncées par les utilisateurs sur simple demande… vocale. Ce qui est globalement plus pratique que d’aller sur l’application pour modifier ceci en se perdant dans les menus… Et globalement c’est une bonne nouvelle pour les personnes qui craignent qu’Alexa puisse partager par inadvertance leurs enregistrements vocaux avec d’autres personnes – comme cela s’est passé par le passé à plusieurs reprises.

La réponse à cette question se trouve, ce n’est pas une surprise, aux États Unis, ou pour être plus précis en Californie, la patrie de la technologie. En effet, l’état est en train de se doter d’une loi reprenant les grandes lignes du RGPD. Les géants de la technologie font donc face à des menaces de réglementation sur de nombreux fronts. Pour en revenir aux assistant vocaux, l’Assemblée de l’État de Californie a adopté la loi dite « anti-écoute ». Le projet de loi va maintenant être examiné par le Sénat de l’État de Californie. Les fabricants d’appareils d’écoute ambiante, tels que les enceintes intelligentes, devront systématiquement obtenir l’accord de leurs utilisateurs avant d’enregistrer leur voix et pourront demander l’effacement aussi simplement.

Lire la suite

Facebook à toujours autant de difficultés avec les « fake news »…

Une étude intitulée « Fakewatch » publiée par le mouvement Avaaz, qui surveille la liberté électorale et la désinformation, a révélé qu’ils avaient identifié 500 pages de groupes liées à des organisations d’extrême droite et anti-UE propageant une désinformation massive. Ils ont immédiatement partagés ces résultats avec Facebook et ceci a entraîné une fermeture des pages juste avant que les électeurs ne se rendent aux urnes.

Capture d’écran 2019-05-28 à 11.16.37Le problème c’est le temps pendant lequel ces pages sont restées visibles : ces 500 pages et groupes ont été suivis par 32 millions de personnes et ont eu plus de 67 millions d’«interactions» (commentaires, likes, partages) durant le trois derniers mois. Facebook dit qu’il s’attaque à de tels contenus, mais c’est souvent Avaaz qui rapporte les faits et les  incitent à l’action. En France, Avaaz a découvert dans un autre rapport que Facebook avait généré plus de 105 millions de vues sur de fausses informations sur le mouvement des Gillets jaunes.

A la décharge de Facebook, ces groupes ne sont pas si facile à identifier car souvent ils ont été conçus il y a plusieurs années sous de faux sujets et sont ensuite réactivés soudainement pour aider les contenus extrémistes à se diffuser. Mais Avaaz pense que la Facebook pourrait et devrait faire plus. Ils pointent du doigt que le changement de nom de page (interdit par les règles de Facebook) devrait être détecté automatiquement et que plutôt que de simplement forcer ces groupes à supprimer leurs faux contenus, Facebook devrait montrer les informations corrigées ou vérifiées à tous ceux qui ont vu le contenu malveillant d’origine.

Mais, la statistique la plus surprenante vient de Facebook elle-même. Dans son dernier rapport sur les normes communautaires, la société a révélé avoir supprimé 2,19 milliards de faux comptes au cours des trois premiers mois de 2019. Cela représente une le double par rapport au trois derniers mois de 2018 ! Au total c’est près de 3,4 milliards de faux comptes sur six mois à comparer aux 2,37 milliards d’utilisateurs actifs par mois…

« Entrées précédentes