Archives de Catégorie: Securite

Microsoft rachète RiskIQ pour renforcer son offre de sécurité

Microsoft a annoncé hier l’acquisition de RiskIQ, un fournisseur de solutions de sécurité en mode SaaS. L’entreprise est basée à San Francisco.

Fondé en 2009, l’entreprise emploie plus de 160 personnes et compte plus de 80 000 analystes de sécurité et plus de 300 entreprises clientes (En France l’entreprise cite BNP Paribas comme client). Son approche de la sécurité consiste à suivre les informations sur les menaces en dehors des organisations. À cette fin, elle analyse plus de 730 milliards de pages Web par an et collecte plus de 300 millions d’enregistrements de domaines. RiskIQ propose des produits permettant d’évaluer la surface d’attaque globale d’une organisation, y compris les risques d’être soumis à des attaques malveillantes par injection de JavaScript. Elle offre des outils d’investigation pour découvrir les attaques et les menaces, ainsi que des solutions de surveillance et de remédiation automatisées. Objectif pour Microsoft (selon l’éditeur lui-même) : renforcer les capacités de protection contre les cybermenaces. Microsoft entend également bénéficier du personnel, de l’expertise et du soutien de la communauté de sécurité de RiskIQ.

« La communauté de sécurité de RiskIQ comprend plus de 100 000 professionnels de la sécurité », RiskIQ a conclu des partenariats avec « des centaines de sociétés du Global 2 000« .

Lou Manousos, PDG de RiskIQ

La manière dont l’acquisition affecterait les organisations utilisant actuellement les produits RiskIQ n’a pas été mentionnée. Les conditions et les détails de clôture de l’opération n’ont pas non plus été mentionnés, bien qu’un article de Bloomberg ait parlé d’une transaction de « 500 millions de dollars en espèces ». En tout cas cette solution complète le portefeuille sécurité de Microsoft après le rachat le mois dernier de ReFirm Las (nous vous en parlions ici).

Cybersécurité et espace : Microsoft rejoint le SPACE ISAC

https://s-isac.org

A l’heure où les cyber menaces deviennent de plus en plus présentes et pressantes, l’ouverture vers l’espace (SpaceX, Blue Origin) et les alliances avec les grands acteurs du cloud computing (AWS et Microsoft en particulier) suscitent l’inquiétude quant aux possibles (et très probables) cybermenances spécifiques qui pourraient apparaitre.

Dans ce contexte, Microsoft vient d’annoncer son entrée dans le Space ISAC (Information Sharing and Analysis Center), dont la mission est « de faciliter la collaboration au sein de l’industrie spatiale mondiale afin d’améliorer notre capacité à nous préparer et à réagir aux vulnérabilités, aux incidents et aux menaces ; de diffuser des informations opportunes et exploitables parmi les entités membres ; et de servir de principal canal de communication pour le secteur en ce qui concerne ces informations« .

Microsoft investit dans le domaine de la cybersécurité depuis de nombreuses années et de manière très large, avec plus d’un milliard de dollars par an et plus de 3 500 experts en sécurité dans ses équipes, pour des résultats aussi bien dans ses produits et services que via le Microsoft Cyber Defense Operations Center, regroupant des experts qui exercent une veille 24/7 dans ce domaine et interviennent aussi en support des autorités légales.

Avec le retour de l’espace comme nouvelle frontière, la question de la sécurité des infrastructures et données associées, quelles soient embarquées dans des appareils ou des stations terrestres, va se poser de manière très pressante.

Microsoft Defender for Endpoint peut maintenant détecter les appareils non gérés

La fonction d’inventaire des périphériques non gérés, qui était en beta depuis fin avril, est maintenant en version finale. Cette fonctionnalité sera visible d’ici le 19 juillet dans la console de gestion Microsoft 365 Defender, où elle apparaîtra sous l’option de menu « Endpoints ».

L’objectif de cette fonction est logiquement découvrir les périphériques non gérés d’un réseau, puis de les intégrer à Defender afin qu’ils soient gérés. Cette fonction peut détecter les stations de travail, les serveurs et les terminaux mobiles (Windows, Linux, macOS, iOS et Android) qui n’ont pas été intégrés et sécurisés. Il peut même détecter les périphériques réseau, tels que les pare-feu, les routeurs, les commutateurs, les passerelles de réseau privé virtuel, etc.

La nouvelle fonction d’inventaire des périphériques non gérés est associée à un changement de mode de découverte de « Basic » à « Standard ». Ce passage au mode Standard est effectué automatiquement par Microsoft afin selon l’éditeur de fournir de meilleures capacités de découverte des périphériques. Le passage au mode Standard sera annoncé aux administrateur par le biais d’une fenêtre contextuelle qui apparaîtra en haut de la console Microsoft 365 Defender. Selon Microsoft, le mode de découverte Standard propose un processus de recherche de vulnérabilités plus actif et plus approfondi que le mode de découverte Basic. L’utilisation de ce mode n’aurait pas d’impact important sur le réseau, affirme la société :

« Une fois que vous avez activé ce processus [mode Standard], la quantité de trafic réseau est minimale, jusqu’à 5k de trafic est généré par dispositif découvert et la fréquence de ce processus est seulement une fois toutes les 3 semaines après la découverte initiale ou lorsque certaines caractéristiques du dispositif géré changent ».

SECURITE : Prise en charge de la technologie CET dans Microsoft Edge

La version 94 de Microsoft Edge bénéficiera de la prise en charge de la technologie CET (Control-Flow Enforcement Technology). En gros cela signifie qu’Edge sera protégé contre les pirates qui utilisent son code contre lui en modifiant les processus et les comportements pour des attaques furtives et très difficiles à détecter. CET bloquera les opérations de modification du flux.

Ce changement a été annoncé dans la roadmap Microsoft 365 qui précise :

« Microsoft Edge commencera à prendre en charge un mode de navigation encore plus sûr qui utilise un flux de contrôle dépendant du matériel pour les processus de navigation sur le matériel pris en charge (Intel 11e génération ou AMD Zen 3). Vous pouvez désactiver le CET en manipulant les options d’exécution des fichiers d’image (IFEO) à l’aide de la stratégie de groupe.« 

Comme indiqué cette prise en charge de la technologie CET n’est active que pour certains processeurs. Elle ne s’applique donc qu’à vous si vous possédez déjà ou prévoyez d’acquérir les derniers et meilleurs processeurs d’AMD et d’Intel. Cette fonctionnalité devrait être disponible en septembre prochain.

Chiffrement des conversations vocales : Teams rattrape (enfin et bientôt) son retard

On attendait une date de disponibilité pour la fonction de chiffrement des communications vocales de bout en bout après l’annonce qu’avait faite sur le sujet Microsoft en mars dernier lors de l’évènement Ignite. Cela devrait être déployé dès juillet.

Actuellement, que les choses soient claires, tous les types de communication entre les utilisateurs de Microsoft Teams et les serveurs sont déjà bien sur sécurisés, mais à l’aide de TLS (un chiffrement de base du web moins sécurisé). Selon Microsoft, actuellement le chiffrement des données de Microsoft Teams se produit « en transit et au repos », et il permet aux services autorisés de décrypter et de surveiller le contenu des réunions ou des chats… Demain avec la nouvelle version, les utilisateurs pourront activer le chiffrement pour les appels 1:1 non programmés en activant l’option « E2EE » dans les paramètres. Un peu plus tard, Microsoft prévoit d’étendre cette fonctionnalité pour prendre en charge les appels programmés et les réunions en ligne.

Microsoft précise dans sa communication que le chiffrement de bout en bout nécessitera que l’appelant et le destinataire de l’appel activent tous les deux cette option sur leurs clients Teams. Seront concernés aussi bien sur, les transferts d’appels, les enregistrements et le sous-titrage.

Microsoft rattrape donc enfin son retard là dessus après avoir passé par mal de temps à expliquer que la sécurité TLS était suffisante 🙂 . Son grand concurrent (sur la partie visio conférence) Zoom avait annoncé souvenez-vous cette fonctionnalités dès l’année dernière à la même époque.

Tout savoir sur les nouveautés de Teams : inscrivez-vous au Briefing Calipia les 14 et 15 juin, il reste encore quelques places (complet pour les 9 et 10)

Azure Defender protégera les serveurs Linux

Le mois dernier, Microsoft avait annoncé la prise en charge, via Microsoft Defender for Endpoint security, de la protection de machines Linux et de la possibilité de réaliser des analyses après intrusion. Poursuivant sa stratégie, Microsoft annonce aujourd’hui que Azure Defender disposera à court terme de la capacité de protéger les serveurs Linux. La beta est attendue dans une dizaine de jours (le 14 juin normalement).

Les distributions de serveurs Linux suivantes seront prises en charge par la beta d’Azure Defender :

  • Red Hat Enterprise Linux 7.2 ou version supérieure
  • CentOS 7.2 ou version supérieure
  • Ubuntu 16.04 LTS ou version supérieure
  • Debian 9 ou supérieure
  • SUSE Linux Enterprise Server 12 ou version supérieure
  • Oracle Linux 7.2 ou version supérieure

Attention on parle ici à la fois de protection dans le Cloud (Azure) mais aussi en local Azure Defender fonctionnant pour rappel avec des environnements hybrides. Cette protection est possible par l’utilisation de l’agent Azure Arc. Azure Arc étant défini comme la « plateforme de gestion multi-cloud et sur site ».

Aucune information complémentaire en matière de licensing n’est en revanche annoncée, impossible de savoir par exemple si une licence pour Azure Arc est nécessaire pour utiliser l’agent nécessaire dans ce type d’usage. Pour cela il faudra sans doute attendre la version finale.

De nouveaux correctifs de sécurité pour Exchange Server, suite à un nouveau rapport de la NSA

Microsoft vient une nouvelle fois de publier une série de mises à jour de sécurité pour Exchange Server afin de s’attaquer aux vulnérabilités d’exécution de code à distance (RCE) encore récemment découvertes la l’agence de sécurité américaine (la fameuse NSA).

Souvenez-vous, le mois dernier Exchange Server avait fait la une de l’actualité de la cybersécurité lorsqu’il a été découvert qu’il était attaqué par des groupes parrainés par l’État, disons un état plutôt à l’Est.. Microsoft n’avait pas tardé à publier des mises à jour pour les versions d’Exchange encore supportées et d’autres plus vieilles et non supportées. Un bon point pour l’éditeur qui reste très vigilant sur ces menaces, qui c’est vrai ternissent aussi l’image du produit. Grâce à ses efforts, des centaines de milliers d’instances de serveurs Exchange sur site ont été protégées contre ces vulnérabilités qui ne concernaient pour rappel que les versions sur site (Exchange Online n’a pas été affecté par cet incident).

De nouvelles mises à jour sont donc disponibles depuis cette nuit, mais cette fois-ci, uniquement pour Exchange Server 2013 CU23, Exchange Server 2016 CU19 et CU20, et Exchange Server 2019 CU8 et CU9. Si vous n’êtes pas sur l’une des mises à jour cumulatives (CU), Microsoft vous recommande d’abord de passer à un environnement pris en charge, puis d’appliquer les mises à jour de sécurité. Ces mises à jour de sécurité d’avril 2021 corrigent les vulnérabilités RCE qui ont été signalées en privé à l’entreprise par la National Security Agency (NSA). Bien que l’enquête de Microsoft indique que l’exploit ne serait pas encore utilisé, elle exhorte tout de même les clients à les appliquer le plus rapidement possible.

Il est important de noter que ces dernières étant cumulatifs, les clients qui appliquent les mises à jour d’avril seront également protégés contre les vulnérabilités signalées en mars. Pas de correctifs cette fois pour Exchange Server 2010, car il n’est pas affecté par les dernières vulnérabilités. Vous pouvez en savoir plus sur les mises à jour en vous rendant sur ce lien de Microsoft.

Nous reviendrons sur l’ensemble de l’actualité concernant Exchange lors du prochain Briefing Calipia les 9,10,14 et 15 juin prochain.

Intéressant : première version d’une solution d’identités décentralisées chez Microsoft

Cette première version de ION (en Open Source ) est basée sur le protocole de réseau « Sidetree DID » mis en avant par la DIF (Decentralized Identity Foundation). Si vous n’êtes pas familier avec cette initiative, voilà quelques explications sur le principe de fonctionnement de cette solution de gestion des identités décentralisées :

ION utilise la technologie de la blockchain pour isoler les informations d’identification. L’idée est qu’un utilisateur crée une identité et qu’aucune autre partie n’a le contrôle de cette entrée dans la blockchain. Il reste donc être de ses données personnelles sans altération possible. Alors on imagine sans peine qu’un tel système pourrait améliorer la protection de la vie privée. Il pourrait également éviter les déboires en cas de failles de sécurité chez un fournisseur ayant exploité votre identité numérique. Le principe détaillé de cette technologie très prometteuse est accessible sur le site de la DIF. Aujourd’hui le support par Microsoft (en plus des autres partenaires du projet) apporte de la crédibilité à cette solution très interessante. Nous aurons sans doute l’occasion d’y revenir lors du prochain Briefing Calipia en juin.

ION est un réseau ouvert , sans autorisation, basé sur le protocole Sidetree, qui ne nécessite pas de jetons spéciaux, de validateurs de confiance ou de mécanismes de consensus supplémentaires : seul un mécanismes de constitution de la Blockchain utilisée (similaire à celle du Bitcoin) est nécessaire à son fonctionnement. Il s’agit de l’un des composants visant à redonner le contrôle des justificatifs d’identité aux personnes ou aux organisations qui ont établi ces identités.

Microsoft encourage le déploiement de nœuds ION par les parties, car « plus il y a de nœuds en fonctionnement, plus le réseau est solide ». Pour sa part, Microsoft a « déployé un nœud ION dans son infrastructure de production Azure et collabore avec d’autres entreprises et organisations pour faire de même ». Il est également possible d’exécuter une version de ION pour les conteneurs Docker ou de l’installer nativement sur les machines. Microsoft travaille également à l’élaboration d’un tableau de bord pour aider les opérateurs à surveiller les nœuds ION, mais on ignore quand cette fonction de surveillance apparaîtra.

La solution ION était encore au stade de la bêta en juin dernier et avait été présenté en avant-première encore un an plus tôt.

Des pirates auraient eu accès à du code source Microsoft

Cette affaire fait suite à l’attaque massive dite « SolarWinds » qui à fait la une des actualités en décembre. Pour rappel, le gouvernement américain relayé par Mike Pompeo, le secrétaire d’état a clairement désigné la Russie de Poutine comme architecte de l’attaque. Microsoft se contentant de désigner, compte tenue de la sophistication de cette dernière un « Etat »… L’actuel locataire de la Maison Blanche (oui celui qui est contrait de préparer ses cartons, ouf) réfutant ces informations qui incriminent assez clairement la Russie…

Alors que Microsoft continue d’enquêter sur cette affaire, la société affirme avoir découvert que ses systèmes ont été infiltrés « au-delà de la simple présence de code SolarWinds malveillant« . Selon le Security Response Center, Microsoft affirme que les pirates ont pu « visualiser le code source dans un certain nombre de dépôts de code source« , mais que le compte piraté utilisé ne disposait pas des privilèges suffisant pour modifier le code ou les systèmes.

Heureusement, Microsoft affirme que si les pirates sont allés plus loin qu’on ne le pensait, ils n’ont trouvé « aucune preuve d’accès aux services de production ou aux données des clients » et « aucune indication que nos systèmes ont été utilisés pour attaquer d’autres personnes« . En outre, l’entreprise affirme qu’elle part du principe qu’il est possible de de voir son code source, et qu’elle ne compte pas sur le secret du code source pour assurer la sécurité de ses produits. Et heureusement ! Il n’y a pas si longtemps, on trouvait encore des personnes pour affirmer que visualiser le code source permettait de valider qu’il ne comportement pas de porte dérobée, de code malveillant, etc. Encore faut-il le comprendre mais aussi suivre les interactions avec les services externes utilisés, ce qui n’est pas aisé, voir impossible.

Transfert des données hors Europe : toujours pas de solution en vue

Depuis l’invalidation par la Cour Européenne de Justice l’été du Privacy Shield (qui définissait le cadre légal de sortie des données de l’Europe vers les USA), considéré comme insuffisant en termes de protection des données personnelles vis à vis de la loi américaine, la sortie des données depuis le territoire européen vers les USA se fait dans un flou total. En effet, en l’absence d’une réglementation remplaçant le Privacy Shield les entreprises qui envoient les données de résidants européens vers d’autres pays s’exposent à des actions en justice puisqu’aucun support légal ne le permet, et donc au cas par cas il faut identifier si le pays destinataire (ou ceux en transit) offrent un cadre légal qui protège aussi bien que celui de l’Europe. Sachant qu’en l’état, ni les USA ni de nombreux autres pays n’offrent ces garanties…

Les avis de l’European Data Protection Board (EDPB) ou Comité Européen de Protection des Données (CEPD) sont donc attendus pour essayer d’y voir plus clair. Le CEPD est l’autorité chargée de la protection des données pour les institutions, organes et organismes de l’Union européenne, et elle a été institué dans le cadre de la mise en place du RGPD. Le 10 novembre dernier, le CEPD vient de publier ses « Recommandations 01/2020 sur les mesures qui complètent les outils de transfert pour assurer le respect du niveau européen de protection des données à caractère personnel« , qui définit le cadre dans lequel des données peuvent être échangées, en garantissant le respect de la loi européenne. Et ces recommandations semblent loin d’apporter les clarifications attendues pour sortir du flou. Les recommandations du CEDP portent à la fois sur les aspects contractuels, organisationnel et surtout des mesures techniques drastiques, en particulier liées au cryptage (obligatoire) et à la pseudonymisation des données. Ainsi pour certains experts (voir ici l’analyse de Theodore Christakis, professeur de droit international et européen à l’Université de Grenobl, sur son blog), les possibilités de transfert sont en l’état quasi impossibles.

En résumé, les orientations de l’EDPB indiquent clairement qu’aucun transfert de données ne doit avoir lieu vers des pays non adéquats/non équivalents, à moins que les données ne soient cryptées ou pseudonymisées de manière si complète qu’elles ne puissent être lues par personne dans le pays destinataire, même pas par le destinataire prévu.

Theodore Christakis

Bref, la sortie du tunnel ne semble pas pour tout de suite ….

« Entrées précédentes