Archives de Catégorie: Securite

Transfert des données hors Europe : toujours pas de solution en vue

Depuis l’invalidation par la Cour Européenne de Justice l’été du Privacy Shield (qui définissait le cadre légal de sortie des données de l’Europe vers les USA), considéré comme insuffisant en termes de protection des données personnelles vis à vis de la loi américaine, la sortie des données depuis le territoire européen vers les USA se fait dans un flou total. En effet, en l’absence d’une réglementation remplaçant le Privacy Shield les entreprises qui envoient les données de résidants européens vers d’autres pays s’exposent à des actions en justice puisqu’aucun support légal ne le permet, et donc au cas par cas il faut identifier si le pays destinataire (ou ceux en transit) offrent un cadre légal qui protège aussi bien que celui de l’Europe. Sachant qu’en l’état, ni les USA ni de nombreux autres pays n’offrent ces garanties…

Les avis de l’European Data Protection Board (EDPB) ou Comité Européen de Protection des Données (CEPD) sont donc attendus pour essayer d’y voir plus clair. Le CEPD est l’autorité chargée de la protection des données pour les institutions, organes et organismes de l’Union européenne, et elle a été institué dans le cadre de la mise en place du RGPD. Le 10 novembre dernier, le CEPD vient de publier ses « Recommandations 01/2020 sur les mesures qui complètent les outils de transfert pour assurer le respect du niveau européen de protection des données à caractère personnel« , qui définit le cadre dans lequel des données peuvent être échangées, en garantissant le respect de la loi européenne. Et ces recommandations semblent loin d’apporter les clarifications attendues pour sortir du flou. Les recommandations du CEDP portent à la fois sur les aspects contractuels, organisationnel et surtout des mesures techniques drastiques, en particulier liées au cryptage (obligatoire) et à la pseudonymisation des données. Ainsi pour certains experts (voir ici l’analyse de Theodore Christakis, professeur de droit international et européen à l’Université de Grenobl, sur son blog), les possibilités de transfert sont en l’état quasi impossibles.

En résumé, les orientations de l’EDPB indiquent clairement qu’aucun transfert de données ne doit avoir lieu vers des pays non adéquats/non équivalents, à moins que les données ne soient cryptées ou pseudonymisées de manière si complète qu’elles ne puissent être lues par personne dans le pays destinataire, même pas par le destinataire prévu.

Theodore Christakis

Bref, la sortie du tunnel ne semble pas pour tout de suite ….

Une nouvelle puce de sécurité chez Microsoft

Microsoft vient, hier soir, d’annoncer Pluton, sa nouvelle puce de sécurité pour les PC sous Windows 10. Elle est destinée à assurer l’intégration matérielle et logicielle telle que celle sui existe déjà sous Azure Sphere mais également dans la Xbox One.

L’idée est donc est donc d’intégrer cela sur la carte mère des nouveaux PC. Actuellement cette fonction est assurée par le Trusted Platform Module (TPM), qui est en réalité séparé de l’unité centrale. Le problème avec cette méthode est que, bien que le TPM soit efficace, les attaquants peuvent cibler le canal entre le TPM et l’unité centrale. C’est le maillon faible… Microsoft compte donc proposer ici une solution plus intégrée à la manière de ce que propose déjà par exemple Apple sur ces nouveaux Mac.

Microsoft a déclaré qu’il travaillait avec Intel, AMD et Qualcomm sur ce point. AMD de son coté a affirmé qu’il sera le premier à mettre en oeuvre cette technologie qui risque bien de devenir la norme. a dit qu’elle sera la première à l’utiliser. C’est vrai qu’AMD à déjà travaillé sur des choses similaires sur l’Xbox One.

Logiquement Pluton travaillera conjointement avec BitLocker et System Guard. Garantissant ainsi le fait qu’un logiciel malveillant ne puisse ainsi limiter le fonctionnement de ces deux composantes. On sait qu’il s’agit d’une technique habituelle pour ces derniers.

Microsoft met au point un nouveau modèle de Machine Learning pour détecter les attaques par « vaporisation de passwords »…

Bon commençons par revenir sur ce qu’est la « Vaporisation de passwords » ou « Password spraying » en anglais. C’est une forme relativement grossière et courante de cyberattaque dans laquelle un acteur malveillant attaque des milliers d’IP avec quelques mots de passe couramment utilisés plutôt que d’essayer de nombreux mots de passe contre un seul utilisateur. Si cela indique que le taux de réussite par compte peut être assez faible mais que sur la masse cela marche… Problème : cette attaque est très difficile à détecter car elle est étalée sur plusieurs comptes dans un schéma de connexion qui peut paraitre normal, avec des erreurs courantes de saisie de mot de passe que ferait le véritable propriétaire du compte en question. Cette attaque ne peut être détectée sur plusieurs compte que si vous remarquez qu’une seule et même tentative avec le même « hash » échoue sur plusieurs comptes.

Voilà pour l’explication théorique de cette technique.

Pour contrer les attaques par « vaporisation de mots de passe », Microsoft avait auparavant mis au point un mécanisme heuristique dans lequel la société observait « la défaillance principale du système dans… le trafic mondial ! » et informait les organisations à risque. Aujourd’hui, la société a amélioré ce mécanisme en formant un nouvel algorithme de Machine Learning supervisé qui utilise des caractéristiques telles que la réputation IP, les propriétés de connexion inconnues et d’autres différences sur les comptes pour détecter quand un compte est attaqué.

Microsoft affirme que son nouveau modèle présente une augmentation de 100 % de la mémorisation par rapport à l’algorithme heuristique. Cela signifie qu’il détecte deux fois plus de comptes compromis. En outre, il a également une précision de 98%, ce qui signifie que si le modèle prétend qu’un compte a été victime d’une attaque par pulvérisation de mots de passe, alors cela est presque certainement vrai dans tous les cas… Un usage particulièrement interessant de l’IA donc, alors même que cette dernière est de plus en plus utilisée par les malfaiteurs eux-mêmes ! Une sorte de jeu du chat et de la souris…

Le nouveau modèle sera bientôt disponible pour les clients d’Azure AD Identity Protection, qui pourront l’utiliser via le portail et les API pour la protection de l’identité.

Vous en avez assez d’etre pisté par Google ? DuckDuckGo propose une solution

Le moteur de recherche, DuckDuckGo, qui se veut être une alternative interessante (et surtout axée sur le respect de la vie privée) à Google a annoncé qu’il introduisait dans les résultats de sa recherche cartographique des indications pour de déplacer. Pour obtenir un itinéraire, il vous suffit de rechercher un lieu et d’appuyer sur le nouveau bouton « Itinéraire » : il faut ensuite se rendre dans dans l’onglet « Cartes » et d’appuyer sur « Itinéraire » dans la barre latérale.

Après avoir appuyé sur l’option « Itinéraire », une nouvelle barre latérale s’affiche pour vous permettre de sélectionner votre mode de transport, le début de votre itinéraire et la destination. Une fois que vous lui aurez fourni ces informations, elle vous proposera différents itinéraires avec la durée du trajet et la distance à parcourir. Comme les autres outils de ce type, vous pouvez étendre ces options d’itinéraire en appuyant sur « Afficher les étapes », ce qui fera apparaître des instructions détaillées sur la façon de terminer le voyage.

Le respect de la vie privée est au cœur de DuckDuckGo c’est même son principal différentiateur de l’ensemble de ses offres et son offre de cartographie n’échappe pas à cette règle ! Dans son annonce, DuckDuckGo a déclaré

« Comme pour toutes nos fonctions de recherche, votre vie privée est toujours protégée lorsque vous utilisez ces instructions grâce à notre politique de confidentialité stricte qui consiste à ne pas recueillir ou partager des informations personnelles. Dans le cas des recherches liées à la localisation, votre navigateur envoie des informations de localisation que nous isolons de toute information personnelle envoyée par le navigateur, et que nous rejetons après utilisation, ce qui nous permet de fournir des résultats et des fonctionnalités localisés anonymes. Notre page d’aide contient plus de détails sur la manière dont nous gardons les recherches de localisation privées« .

Les nouvelles directions cartographiques sont assez simples par rapport à Google et ressemble bigrement aux fonctions offertes sur Mac par « Plan ». Mais pour disposer de tels services, DuckDuckGo doit utiliser des fonds de cartes. On aurait pu imaginer qu’il se fournisse chez OpenMapStreet, mais ce n’est pas le cas et c’est bien la cartographie d’Apple qui est utilisée ici !

Microsoft annonce le lancement de son centre de déploiement Zero Trust pour faciliter la transition des entreprises vers ce modèle

Microsoft vient d’annoncer le lancement du centre de déploiement Zero Trust accessible à toutes les entreprises en suivant ce lien. Pour rappel, ce modèle part du principe que les requêtes y compris celles réalisées en interne ne sont pas sûre. Donc en gros tord le cou du modèle qui voudrait que l’extérieur est dangereux, mais que dès lors que nous sommes derrière le pare-feu, tout est sous contrôle !

Le modèle Zero Trust suppose qu’une faille est possible et vérifie chaque requête comme si elle provenait d’un réseau ouvert. Quelle que soit l’origine de la demande ou la ressource à laquelle elle accède, le modèle Zero Trust consiste donc à « ne jamais faire confiance, toujours vérifier ». Chaque demande d’accès est entièrement authentifiée, autorisée et cryptée avant d’être accordée.

Microsoft déclare que, bien que les entreprises aient travaillé pour utiliser ce modèle, elles rencontrent encore des difficultés dans le domaine du déploiement. Pour résoudre ce problème, la société annonce donc la création du Zero Trust Deployment Center. Il s’agit d’un ensemble de documents qui expliquent en détail comment appliquer les principes de la « confiance zéro », en mettant en place l’infrastructure, le réseau, les données et la préparation à l’environnement. Microsoft affirme avoir veillé à ce que ce référentiel d’informations contienne des conseils sur le déploiement sous la forme d’objectifs et d’actions simples pour faciliter la mise en place de l’environnement. Pour les organisations qui mettent déjà en œuvre des modèles de sécurité Zero Trust, ce référentiel sera utile pour déterminer leurs progrès, sachant que le chemin pour y parvenir est souvent assez complexe dans les faits.

Si ce sujet vous intéresse, je vous conseille de suivre la conférence de l’ami Jean-Yves Grasset lors des Indentity Days le 29 octobre. Une conférence vraiment très interessante regroupant les principaux experts français du domaine.

Le chiffrement de bout en bout arrive (enfin) sur Zoom la semaine prochaine

C’était une promesse au mois de mai dernier lorsque Zoom avait été mis en cause sur ses pratiques de protection des utilisateurs. La fonction de chiffrement de bout en bout des communication (y compris gratuites) avait été promise par son PDG Eric Yuan. Zoom a annoncé qu’il allait enfin mettre en place ce chiffrement de bout en bout (E2EE) à partir de la semaine prochaine. Dans un premier temps, il sera lancé sous forme d’une beta technique où Zoom demandera aux utilisateurs de lui faire part de leurs commentaires. Cette période durera environ 30 jours afin de résoudre les éventuels problèmes. Une fois que E2EE sera lancé au public, les utilisateurs des niveaux gratuit et payant pourront accueillir jusqu’à 200 participants à une réunion E2EE sur Zoom.

Selon l’entreprise, E2EE de Zoom utilise le même chiffrement GCM que celui utilisé actuellement dans les réunions Zoom, la différence est qu’avec E2EE, l’hôte de la réunion génère des clés et utilise la cryptographie à clé publique pour distribuer ces clés aux autres participants. Cela signifie que les serveurs de Zoom ne voient jamais les clés nécessaires pour déchiffré le contenu d’une réunion.

Pour Eric Yuan, le PDG de Zoom :

« Le chiffrement de bout en bout est un autre pas en avant pour faire de Zoom la plateforme de communication la plus sûre au monde. Cette phase de notre offre E2EE offre la même sécurité que les plates-formes de messagerie cryptées de bout en bout existantes, mais avec la qualité et l’échelle vidéo qui ont fait de Zoom la solution de communication de choix pour des centaines de millions de personnes et les plus grandes entreprises du monde« .

Pour commencer à utiliser E2EE dès la semaine prochaine, les utilisateurs devront activer les réunions E2EE au niveau du compte et accepter ceci à chaque réunion. Il convient de noter que toutes les fonctionnalités de Zoom ne sont pas disponibles en mode E2EE, notamment l’enregistrement (dans le cloud), la diffusion en continu, la transcription en direct, les salles de réunion, les sondages, le chat privé. Pour en savoir plus sur E2EE sur Zoom, toutes les informations sont ici.

Bonne nouvelle : unification en vue des solutions de sécurité pour Microsoft 365 et Azure…

Microsoft a annoncé, lors de la conférence annuelle Ignite 2020, de nouvelles fonctionnalités de protection contre les menaces mais surtout une unification des solutions de sécurité Microsoft 365 et Azure. C’est plutôt une bonne nouvelle pour éclaircir (un peu) la jungle des produits de l’éditeur, nous avions eu l’occasion de présenter ses derniers et de le positionner fonctionnellement lors du dernier Briefing Calipia de décembre 2019. Nous aurons l’occasion de revenir sur ceci lors du prochain Briefing, dont nous devons fixer les dates et modalité de participation (pas simple compte tenue des évolutions de la crise sanitaire).

Voici donc un petit récapitulatif de ces changements :

Microsoft Defender inclut désormais Microsoft 365 Defender et Azure Defender. Pour rappel il prévient, détecte et répond aux menaces sur les identités, les points d’accès, les applications, la messagerie électronique, l’infrastructure et les plates-formes de cloud, ainsi que les actifs affectés. Microsoft Threat Protection, intégré à Microsoft 365 Defender.

Microsoft Defender Advanced Threat Protection, devient Microsoft Defender for Endpoint et protège maintenant tous les principaux systèmes d’exploitation :

  • Pour Android : il offre une protection contre le phishing, permet une analyse proactive des applications et fichiers malveillants, bloque l’accès aux ressources de l’entreprise pour atténuer l’impact des violations et donne aux équipes de sécurité une visibilité sur les menaces mobiles et les alertes via le centre de sécurité.
  • Pour iOS : il offre une protection contre le phishing et les accès Web.
  • Pour macOS : (en beta actuellement) il offre une gestion des menaces et des vulnérabilités.

On retrouve également les services « Defender » pour Office 365 et Azure séparément sous forme de 3 services :

  • Microsoft Defender pour Office 365 : auparavant appelé Office 365 Advanced Threat Protection, Microsoft Defender pour Office 365 aide à protéger les comptes de messagerie prioritaires et est maintenant disponible en beta pour les équipes de sécurité afin de donner la priorité à la protection des personnes les plus visibles et les plus ciblées de l’organisation.
  • Microsoft Defender for Identity : auparavant appelé Azure Advanced Threat Protection, Microsoft Defender for Identity continuera de fournir une protection hybride contre les menaces d’identité.
  • Azure Defender : pour la protection unifiée des ressources hybrides (y compris les machines virtuelles, les bases de données, les conteneurs et l’IoT), Azure Defender reprend les fonctions de protection de l’Azure Security Center. Cette nouvelle version devrait arrivée cette semaine.

Première preview publique de Microsoft Defender Application Guard for Office

Microsoft vient d’annoncer la première preview publique de Defender Application Guard for Office, une capacité qui va permettre lors de l’ouverture de documents Office provenant de sources non sûres, d’utiliser de manière automatique (sans demander à l’utilisateur qui vient de double-cliquer sur une pièce jointe reçu par mail d’un correspondant extérieur à son entreprise) un « bac à sable » dédié à cette opération. Quand cette capacité est activée, un splash screen spécifique s’affiche à l’ouverture qui mentionne l’utilisation d’Application Guard. De même l’icône Word dans la barre des tâches est équipée d’un pictogramme de bouclier. L’utilisateur peut alors lire, modifier, enregistrer le document.

Application Guard for Office est un mode restreint qui isole les documents non fiables de l’accès aux ressources d’entreprise, à l’intranet, à l’identité de l’utilisateur et aux fichiers arbitraires présents sur l’ordinateur. Par conséquent, si un utilisateur tente d’accéder à une fonctionnalité qui dépend d’un tel accès, par exemple, l’insertion d’une image d’un fichier local sur le disque, il échouera. Pour permettre à un document non fiable d’accéder à des ressources fiables, les utilisateurs doivent supprimer la protection Application Guard du document. (source : https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide)

Si cette fonctionnalité vous semble intéressante, préparez vous à casser votre tirelire. En effet, Defender Application Guard for Office ne sera disponible qu’au travers des abonnements Microsoft 365 E5.

Azure AD : « My Sign-Ins » disponible pour tous les utilisateurs d’Office 365

Azure AD My Sign-Ins 5Bonne nouvelle, la fonction « My Sign-Ins » pour les utilisateurs d’Office 365, qui leur permet de vérifier les tentatives de connexion à leur compte, est maintenant disponible pour tous.

My Sign-Ins est une fonction accessible directement par cette URL permettant d’avoir accès aux informations suivantes :

  • Si quelqu’un essaie de deviner votre mot de passe.
  • Si un attaquant a réussi à se connecter à son compte depuis un endroit inconnu.
  • Le cas échéant, les applications auxquelles l’attaquant a accédé.

Cette fonctionnalité avait été présentée en beta en octobre dernier. Depuis lors, Microsoft a ajouté d’autres fonctionnalités. Par exemple, elle comprend maintenant deux nouveaux boutons qui permettent aux utilisateurs de classer l’activité du compte qui s’affiche – à savoir, des boutons « Ce n’était pas moi » et « C’était moi ».

En cliquant sur le bouton « Ce n’était pas moi », les utilisateurs peuvent modifier leur mot de passe.  L’application « Mes ouvertures de session » indiquera aux utilisateurs l’emplacement approximatif associé à la tentative.

Les tentatives de connexion infructueuses sont affichées. Elles peuvent être dues à des mots de passe mal tapés par l’utilisateur réel ou à un attaquant qui a tenté de deviner le mot de passe. Dans les cas où un attaquant est actif, mais ne parvient pas à deviner le mot de passe, Microsoft conseille d’activer l’authentification multifacteur ou MFA (ajout d’une seconde méthode de vérification de l’identité au-delà du mot de passe et dans ce cas le mot de passe n’a pas besoin d’être modifié).

Microsoft rappelle à ce propos que :

« Sur la base de nos études, les comptes protégés par MFA ont 99,9 % de chances en moins d’être compromis« .

0Pour l’instant les alertes ne sont pas gérées (car potentiellement trop nombreuses) mais Robyn Hicock, la responsable du programme au sein de l’équipe de Microsoft Identity Security and Protection, a indiqué que cela faisait partie des plans de Microsoft :

« Notre plan à long terme est de donner aux administrateurs la possibilité de mettre en place des alertes. Microsoft a également l’intention d’envoyer des alertes aussi aux utilisateurs finaux« .

Pas d’information en revanche sur une date de disponibilité pour cette fonction.

Microsoft Secure Score est maintenant disponible pour tous

secure-score-homepage-newMicrosoft Secure Score est maintenant disponible pour tous les abonnés  dans le portail Microsoft 365 Security Center. Pour rappel, ce service donne un « score de sécurité global » d’une organisation par rapport à des organisations similaires. Les scores sont donnés pour l’identité, les données, les appareils, les applications et l’infrastructure. Ils peuvent être visualisés sous forme de graphique dans le temps, montrant une amélioration ou une dérive par rapport aux objectifs. Enfin, les organisations peuvent voir le nombre de tâches de sécurité qui restent à accomplir pour parfaire leur protection.

Cette version est à l’origine un produit qui a évolué à partir de l’ancien produit Office 365 Secure Score, qui venait de surveiller uniquement les solutions Office 365. Le nouveau Microsoft Secure Score surveille Microsoft 365 et Azure.

En février dernier, lors de l’annonce du nouveau Microsoft Secure Score, Microsoft avait promis de prendre en charge Azure Active Directory, Cloud App Security et Microsoft Defender Advanced Threat Protection. Dans l’annonce faite par Microsoft à l’occasion de sa conférence partenaires, la société a admis que certains des produits et services de ne sont pas encore encore intégrés, comme par exemple, l’Identity Secure Score.

Microsoft a également ajusté certains de ses critères pour générer les fameux conseils et  actions d’amélioration : Une action d’amélioration doit maintenant réduire le risque certes mais surtout doit être mesurable par l’automatisation. Logiquement, les conseils d’amélioration qui ne répondent pas ces critères ont été supprimés.

Microsoft Secure Score serait particulièrement aussi utile en ce moment pour les entreprise ayant des employés à distance avec des appareils qui ne sont pas conformes. Ce qui doit nécessiter logiquement l’usage du service Microsoft 365 Advanced Threat Protection.

Suivez ce lien pour plus d’informations sur le service.

« Entrées précédentes