Archives de Catégorie: Securite

Microsoft achète Miburo pour muscler ses capacités de lutte contre les cyberattaques venant de puissances étrangères

source : miburo.com

Après le rachat annoncé de Mandiant par Google, Microsoft investit également sur une entreprise spécialisée du secteur : Miburo. L’entreprise basée à New-York est specialisée dans  » l’analyse et de recherche sur les cybermenaces, spécialisée dans la détection et la réponse aux opérations de puissances étrangères ». En ces périodes de réactivation de conflits, la lutte contre les cyber menaces issues de puissances étrangères est devenue une priorité. Miburo indique sur son site web être capable d’identifier et d’attribuer des menaces en 16 langues.

Le communiqué de Microsoft ne présente pas d’infos plus précises (montant du rachat, calendrier de réalisation …), mais précise que Miburo va rejoindre le groupe Microsoft Customer Security & Trust, et complètera son offre actuelle de surveillance et d’analyse des menaces (Threat Analysis).

Identification via des tiers : France Identité bientôt disponible pour tous et pourquoi c’est très interessant à mon avis…

Nous connaissons tous les identifications via des tiers de confiance, le fameuses propositions « se connecter avec Facebook », mais aussi Google largement disponibles sur les sites web et applications mobiles évitant ainsi à l’utilisateur de créer un n ème compte, identifiant et mot de passe. Bénéfice également pour les concepteurs des applications en question : ne pas avoir à gérer ces identifiants et les problématiques de pertes associés. Donc en gros cela profite à tout le monde… Oui mais, un des gros (très gros en fait) problème est que ces « tiers de confiance » sont Facebook (pardon Meta) et Google qui en profitent (c’est le business model de ces services) pour enregistrer le fait qu’à telle heure vous vous êtes connectés sur telle application, avec tel appareil et depuis tel lieu… Autant d’informations personnelles qui iront enrichir leur connaissances, déjà bien (trop) riche.

Alors oui dès lors que l’on aborde le terrain du traitement des données personnelles avec Google et Facebook, on se confronte toujours à des personnes qui pensent que :

« Ce n’est pas grave, je n’ai rien à cacher », « De toutes façons ils savent déjà tout sur moi », « Je suis qu’une goutte d’eau dans l’océan de leur utilisateurs », « Pas grave si ils me proposent ensuite de la pub pour acheter une nouvelle machine à laver, et au contraire, c’est bien vu si je suis en train d’en chercher une »…

Je vous fait un petit florilège ici, mais la liste pourrait-être bien plus longue 🙂

Le problème c’est que cela ne se limite pas à de la publicité, les données peuvent être utilisées pour vous influencer sur d’autres choses, disons plus politique. Pas convaincu ? Allez voir ce qui s’est passé aux USA avec l’élection de Trump, ou moins loin, en Grande Bretagne avec le vote sur le Brexit, manipulations étrangères (Russes) sans doute, mais on sait surtout de qui elles avaient obtenu les listes de personnes ciblées…

Comment ? Imaginez simplement vous connecter sur un site de pétitions en ligne avec une authentification tiers via Facebook par exemple. En fonction de la pétition en cours et son sujet, si il est politique, pas très difficile alors pour la firme de Menlo Park d’avoir une bonne idée sur vos opinions. Et non nous ne sommes pas plus protégé là dessus en France et en Europe avec le RGPD dont le domaine d’application n’a pas grand chose à voir. Accepter d’utiliser cette authentification tiers c’est en accepter le business model.

Alors oui il existe d’autres services d’authentification tiers plus respectueux de la vie privée, comme ceux de Microsoft (mais beaucoup moins populaire) ou celui l’Apple (de plus en plus populaire, mais destiné aux seuls processeurs de matériels Apple). Avec « France Connect » nous disposons d’un service géré par l’état (dont au passage cela fait parti des missions régalienne) qui gère notre identité numérique, bonne nouvelle donc… mais pour un nombre ultra réduit de sites :les impôts, la sécu, etc.

Sans se faire trop d’illusions tout de même, cela pourrait changer demain avec l’application France identité et la carte d’identité numérique (disponible depuis aout 2021) notre identifiant unique (celui de notre carte) pourrait être utilisé à la fois dans le monde virtuel (via France Connect donc) mais aussi dans le monde réel en présentant simplement notre téléphone. cela permettrait ainsi que faire de la divulgation sélective des informations comme fournir la preuve que nous sommes majeur sans donner notre date de naissance par exemple. Et tout ceci sans mot de passe. Fonctions mise en avant par les identités numériques distribuées, nous vous en parlions ici même. Attention ici France Identité ne s’appuie pas (encore ?) sur le mécanisme faisant appel à la Blockchain, mais se serait à l’étude.

Alors que l’application était disponible en beta depuis fin mai pour Android, on apprend hier soir qu’Apple à fait le nécessaire dans iOS 16 pour permettre aux équipes de France Identité de proposer prochainement la beta pour iOS également.

Alors, si vous avez une nouvelle carte d’identité (celle au format carte de crédit avec la puce), vous pourrez bientôt (la première liste de beta testeurs est complète) demander de faire parti du beta test (pour Android et très prochainement pour iOS donc).

Pour des considérations plus « entreprise » nous avons une session dédiée à la gestion des identités lors du Briefing Calipia en cours (il reste des places pour la session de Paris et la session en ligne des 21 et 23 juin prochain)

Les CAPTCHAs seront bientôt inutiles

Nous connaissons tous les Captchas, cette petite fenêtre qui vous pose des questions afin de valider que vous êtes bien un humain (ou un robot particulièrement doué :)). Le moins que l’on puisse dire c’est que ces derniers nuisent à la navigation et à l’interactivité sur les différents sites.

Cloudflare a annoncé il y a quelques temps déjà, une nouvelle technologie appelée « jetons d’accès privés » (PAT ou Private Access Token) qui vous permet de valider l’authenticité de visiteurs humain d’un site web, de manière privée. Les systèmes d’exploitation ajouteront la prise en charge de cette nouvelle technologie. C’est Apple qui proposera ceci en premier comme annoncé par le constructeur cette semaine se sera pour les prochaines versions de macOS et d’iOS.

Cloudflare a souligné plusieurs avantages des PAT, pour les utilisateurs, cela rend l’accès aux sites plus simple à mettre en oeuvre que le mécanismes des CAPTCHAs, pour les développeurs de sites web et d’applications. Cela permet de savoir que l’utilisateur est sur un appareil authentique et une application signée, et pour les clients de Cloudflare, il est simple de commencer à utiliser les PAT car il n’y a pas de configuration nécessaire. Autre avantage non précisé par Cloudflare : cela préserve un peu plus l’anonymat que les CAPTCHAs dont le principal fournisseur n’est autre que Google (il avait racheté la société) qui lui permet actuellement de tracer les usages de ces derniers et donc des sites visités par les utilisateurs… tous les moyens sont bons 🙂

Apple est l’un des premiers grands fournisseurs à annoncer la prise en charge des jetons d’accès privés dans iOS 16, iPadOS 16 et macOS 13. Heureusement, d’autres fournisseurs devraient également annoncer la prise en charge dans un avenir proche, et bien sur en premier lieu Microsoft, reste Google bien sur qui risque de trainer un peu les pieds compte tenu des éléments cités plus haut.

La prochaine version de macOS et d’iOS a été publiée en version bêta pour les développeurs lundi et une version bêta publique est prévue en juillet. La mise à niveau commencera à être proposée (gratuitement) à tout le monde à l’automne comme tous les ans.

Microsoft Entra : une nouvelle suite de gestion des identités et des accès

Dans le cadre d’un vaste mouvement de repackaging de ses solutions (voir les épisodes précédents : Microsoft Defender, Microsoft Purview, Microsoft Priva), Microsoft vient de présenter une nouvelle suite qui regroupe différents services déjà disponibles : Microsoft Entra.

La nouvelle offre est destinée à contrôler et gérer les identités et les accès, on premise et dans le cloud (les clouds en fait puisque la solution fonctionnera avec des environnements multi-clouds : Azure, AWS, GCP) et sur tous les appareils utilisés, Microsoft et non Microsoft.

Microsoft Entra rassemble des services comme Azure AD, une composante CIEM (Cloud Infrastructure Entitlements Management) de gestion et d’automatisation des droits utilisateurs en environnement multi cloud. Cette composante CIEM est issue directement du rachat de l’entreprise CloudKnox Security en juillet 2021.

Microsoft Entra est disponible maintenant, avec un modèle de licence qui reste calé sur les souscriptions des services composant le package (par ex : Azure AD en souscription par utilisateur par mois).

Nouveaux services : Microsoft propose son expertise en sécurité

Microsoft a annoncé hier un nouveau service appelé Microsoft Security Experts destiné à aider les entreprises à sécuriser leurs réseaux en combinant des technologies et des services humains. Nous reviendrons en détail sur ces services lors du prochain Briefing, mais voici un résumé de l’annonce d’hier.

Microsoft Security Experts se compose de trois nouveaux services gérés destinés à renforcer les équipes de sécurité existantes au sein des entreprises :

  • Microsoft Defender Experts for Hunting qui aidera les entreprises disposant d’équipes de sécurité existantes à  » chasser  » de manière proactive les menaces potentielles. Les experts et partenaires Microsoft utiliseront les données Microsoft Defender, les terminaux, Office 365, les applications cloud et l’identité pour détecter les menaces potentielles. Les entreprises auront la possibilité de contacter un expert en sécurité d’un simple clic et d’obtenir des recommandations spécifiques pour améliorer la sécurité. Microsoft Defender Experts for Hunting sera disponible cet été, il est possible de s’inscrire pour participer à l’avant-première.
  • Microsoft Defender Experts for XDR (extended detection and response) est un service destiné à ceux qui souhaitent étendre et renforcer leurs centres d’opérations de sécurité. Les experts Defender pour XDR fournissent une expertise humaine pour répondre aux incidents aux côtés des équipes de sécurité existantes.
  • Microsoft Security Services for Enterprise est un service dirigé par des experts pour protéger tous les environnements et plateformes en nuage. Les clients disposeront d’experts en sécurité Microsoft dédiés pour gérer l’intégration, les interactions quotidiennes, la modernisation des pratiques et les réponses aux incidents.

Microsoft n’entend pas marché directement sur les plates bandes des sociétés spécialisées en sécurité il propose donc des services qui se veulent « complémentaires à ceux proposés par ses partenaires » On imagine bien que dans un premier temps c’est plutôt les ETI qui seront visées par ce type de services, mais à notre avis seulement dans un premier temps. Microsoft mettant en avant sa légitimité dans ce domaine avec rien qu’en 2021, plus de 9,6 milliards de menaces de logiciels malveillants et plus de 35,7 millions de courriels de phishing/malveillants interceptés, plus de 900 tentatives de vol de mot de passe par force brute toutes les secondes. Difficile de nier que Microsoft dispose de vastes connaissances et d’une grande expertise en matière de cybersécurité…

Microsoft Purview détectera si une personne veut quitter l’entreprise ou le harcèlement sexuel dans Teams et les mails…

Vous connaissez sans doute l’offre Microsoft Purview (anciennement Azure Purview) : la solution de gouvernance des données que l’on peut utiliser pour s’assurer que toute communication interne ou externe respecte leurs normes de conformité et les réglementations. Elle est étroitement intégrée aux services Microsoft 365, tels que Teams, Yammer, Outlook, etc. Essentiellement, les entreprises peuvent définir des politiques pour effectuer une analyse automatisée des communications afin de gérer le risque d’initié et de détecter les messages inappropriés. Si un élément de communication correspond à une politique configurée, il est transmis à un réviseur désigné pour une enquête plus approfondie. Sans surprise la solution utilise les services d’IA d’Azure.

Microsoft bien d’ajouter un certain nombre de fonctions actuellement en cours de développement :

  • Intention de quitter l’entreprise : Détecte les messages qui expriment explicitement l’intention de quitter l’entreprise, ce qui peut-être un signal précoce de danger de vol de données lors du départ.
  • Harcèlement sexuel : Détecte les cas explicites de harcèlement sexuel tels qu’ils peuvent être décrits dans les politiques et le code de conduite de l’entreprise, comme les avances sexuelles, les commentaires sexuels et (je cite) les demandes de faveurs sexuelles. Reste à définir la sensibilité de l’outil. Une transposition directe des pratiques américaines risque d’être délicate de ce coté de l’atlantique…
  • Sabotage : Détecte les messages qui mentionnent explicitement des actes visant à détruire, endommager délibérément les actifs ou les biens de l’entreprise.
  • Corruption : Détecte les messages qui contiennent des termes relatifs à l’échange de cadeaux en échange de services, ce qui peut constituer une violation de la politique de l’entreprise.
  • Blanchiment d’argent : Détecte les signes de blanchiment d’argent ou d’engagement dans des actes visant à dissimuler ou à déguiser l’origine ou la destination des produits.
  • Manipulation d’Actions : Détecte les signes de manipulation d’Actions, tels que les recommandations d’achat, de vente ou de détention d’actions dans le but de manipuler le prix des actions.
  • Divulgation d’informations non autorisée : Détecte le partage d’informations dont le contenu est explicitement désigné comme confidentiel ou interne à certains rôles ou individus dans une organisation.

Toutes ces fonctions seront disponibles pour toutes les entreprises qui utilisent Microsoft Purview. Ils passeront au stade de beta en juin et devraient devenir disponibles en septembre.

Microsoft a souligné dans la description que Purview est conçu dans le respect de la vie privée, de sorte que les noms d’utilisateur sont anonymisés par défaut, que le contrôle d’accès basé sur les rôles (RBAC) est intégré au logiciel et que les « réviseurs » qui examineront plus en détail les correspondances de politiques doivent être explicitement autorisés et désignés comme tels par les administrateurs. Reste à voir néanmoins l’accueil réservé dans les entreprises de ce côté de l’atlantique…

Nous reviendrons sur ces fonctions lors du prochain Briefing où une session est réservée aux nouveautés de Teams. N’hésitez pas à vous inscrire dès maintenant.

Microsoft Defender pour Office 365 ajoute une protection pour les comptes plus sensibles

Microsoft a annoncé mercredi dernier la disponibilité de la version commerciale de la « protection différenciée des comptes prioritaires » dans Microsoft Defender pour les utilisateurs d’Office 365. Fonction qui permet aux administration de marquer les comptes de messagerie sensibles dans l’entreprise. Comme par exemple pour des cadres, des dirigeants, ou d’autres utilisateurs ayant accès à des informations sensibles.

Ces comptes marqués bénéficieraient d’une meilleure protection contre les menaces grâce aux processus d’apprentissage automatique de Microsoft associés au service Microsoft Defender for Office 365. Microsoft précise : qu’ en se concentrant sur ces ensembles d’utilisateurs spécifiques et sur les attaques qui les ciblent, ils ont pu améliorer les modèles d’apprentissage automatique pour offrir un niveau de protection plus élevé. Ils ont aussi été en mesure d’ajuster d’autres aspects des fonctions de protection, comme la façon dont les messages sont traités dans les « bacs à sables ». Microsoft active par défaut la fonction de compte prioritaire pour les abonnés concernés. Bien que les administrateurs puissent la désactiver.

Il est alors possible de voir les statistiques sur les comptes prioritaires en les filtrant dans la vue Threat Explorer de Microsoft Defender for Office 365. Interessant également : les étiquettes de comptes prioritaires fonctionnent également avec le processus de mise en quarantaine des e-mails, ce qui permet de voir « les e-mails malveillants qui ciblent ces comptes critiques ». Les attaques signalées par le biais d’une « nouvelle expérience unifiée des soumissions » sont « explicitement marquées et filtrées » pour les équipes de sécurité. Il est également possible de simuler des attaques sur des utilisateurs en fonction des étiquettes de comptes prioritaires pour tester l’ensemble ! Enfin, Microsoft a indiqué qu’il est également possible de créer des politiques d’alerte personnalisées dans Microsoft Defender pour Office 365.

Attention néanmoins, cette fonction n’est disponible que pour les abonnés à Microsoft Defender for Office 365 possédant des comptes Plan 2. La disponibilité inclut bien sûr également les comptes « Office 365 E5, Microsoft 365 E5, ou Microsoft 365 E5 Security ».

Nous reviendrons sur ces annonces lors du prochain Briefing Calipia avec une session dédiée sur les fonctions de sécurités offertes par Microsoft.

Microsoft sur le front russe…

Microsoft a révélé qu’elle a pris le contrôle de sept domaines contrôlés par une entité de piratage liée à la Russie et connue sous le nom de Strontium. Selon l’entreprise, les domaines étaient utilisés dans des cyberattaques contre des institutions ukrainiennes telles que des organisations de médias, ainsi que des institutions gouvernementales et des groupes de réflexion aux États-Unis et dans l’Union européenne impliqués dans la politique étrangère.

Les domaines ont été saisis après que Microsoft a obtenu une ordonnance du tribunal le 6 avril. L’entreprise s’attaque depuis longtemps à ce groupe « Strontium » et a déjà mis en place un processus lui permettant d’obtenir rapidement des ordonnances judiciaires pour prendre des mesures contre les activités du groupe. Ayant pris le contrôle des domaines, Microsoft les a redirigés vers un espace web qu’il gère pour informer les victimes des attaques.

« Cette action fait partie d’un investissement continu , commencé en 2016, pour prendre des mesures juridiques et techniques afin de saisir les infrastructures utilisées par Strontium. Nous avons établi un processus juridique qui nous permet d’obtenir des décisions de justice rapides pour ce travail. Avant cette semaine, nous avions pris des mesures par le biais de ce processus à 15 reprises pour saisir le contrôle de plus de 100 domaines contrôlés par Strontium. »

Tom Burt, Corporate Vice President of Customer Security & Trust chez Microsoft

Si l’on peut se réjouir que Microsoft ait pu s’attaquer à la dernière attaque de Strontium, l’entreprise a reconnu qu’il ne s’agit que d’une petite partie de la cyberguerre en Ukraine…

Beaucoup de nouvelles fonctions de sécurité interessantes à venir dans Windows 11

Microsoft a dévoilé une série de fonctionnalités de sécurité interessantes qui seront bientôt disponibles dans Windows 11 (certaines fonctions sont déjà présentes dans les builds Insiders). Voici en résumé ces nouvelles fonctions. Nous reviendrons là dessus lors du prochain Briefing en juin.

1 – Un nombre plus important de PC équipés de la puce Pluton

Nous vous en parlions sur le Blog, Microsoft pousse les constructeurs à mettre en oeuvre sa puce dédiée sécurité (sur le modèle de l’enclave sécurisé T2 d’Apple sur ses Mac). Logiquement de nombreuses machines devraient arriver sur le marché d’ici septembre équipé de la puce. Microsoft a mis en avant le fait que Pluton sera le seul processeur qui sera amélioré et mis à jour directement par le biais de Windows Update. Nous le savons, Pluton est un élément clé pour Microsoft dans le cadre de la migration des entreprises vers Windows 11, ainsi, l’éditeur précise s’il en était besoin que Pluton est optimisé pour Windows 11 et souligne l’investissement de Microsoft dans la stratégie de sécurité « chip to cloud ».

2 – Intégrité du code protégée par un hyperviseur

Microsoft a annoncé également que l’intégrité du code protégée par un hyperviseur (HVCI) sera également activée par défaut pour un plus grand nombre de dispositifs Windows 11. Cela permettra , nous vous en parlions sur le blog également de protéger les machines contre les pilotes infectés et malveillants. La liste de blocage des pilotes vulnérables s’appuiera sur HVCI et Windows Defender Application Control (WDAC) . Il s’agit d’une mesure d’atténuation au niveau du noyau qui sera activée par défaut.

3 – Intégration plus large de Smart App Control

Microsoft fournira également Smart App Control avec les nouveaux appareils Windows 11. Cette solution ira au-delà des protections intégrées à Edge pour couvrir toutes les applications non signées et malveillantes. Smart App Control est controlé par une IA pour s’assurer que seules les applications sûres sont autorisées à s’exécuter. Attention néanmoins seules les nouvelles machines bénéficieront de cette fonction. Pour les machines existante il faudra les réinitialisés et faire l’objet d’une installation propre pour pouvoir en bénéficier.

4 – Meilleure détection des tentatives de phishing

Microsoft annonce également une meilleure détection et prévention du phishing avec Microsoft Defender SmartScreen qui alertera les utilisateurs lorsqu’ils insèrent des informations d’identification dans une application ou un site Web malveillant. De même, Credential Guard, qui utilise des capacités de sécurité basées sur la virtualisation, sera activé par défaut dans Windows 11. La protection supplémentaire de l’autorité de sécurité locale (LSA) pour confirmer l’identité des PC Windows 11 reliés à l’entreprise sera également mise en œuvre par défaut dans le système d’exploitation à l’avenir sans que l’éditeur ne donne de date pour cette dernière fonction.

5 – Protection des données personnelles

La protection des données personnelles fait également son apparition dans Windows 11. Pour accéder aux données privilégiées, les utilisateurs devront d’abord s’authentifier via Windows Hello for Business. Ainsi, si l’appareil est volé ou égaré, il ne sera pas possible au voleur d’accéder aux données sensibles.

6 – Surveillance de la Registry

Enfin, c’est pas nouveau dans Windows 11 mais Microsoft a également rappelé l’existence de Config Lock, qui peut être utilisé pour surveiller les clés de registre et s’assurer qu’elles sont conformes à ce qui a été définie par l’informatique interne.

Windows Defender reconnaitra les drivers vulnérables

Microsoft ajoute une nouvelle fonctionnalité de liste de blocage des drivers vulnérables à Windows Defender sur Windows 10, Windows 11 et Windows Server 2016 ou plus. Ceci permet de protéger logiquement les postes de contre les drivers malveillants et exploitables.

La fonction sera activée par défaut sur Windows 10 en mode S (réservé à l’éducation), ainsi que sur les appareils dotés de la fonction Memory Integrity Core Isolation, qui s’appuie sur une sécurité basée sur la virtualisation. (Cette fonction Memory Integrity Core Isolation est également connue sous le nom de Hypervisor-protected Code Integrity ou HVCI). Plus de détails sont disponibles dans cet article de Microsoft sur les règles de blocage des pilotes recommandées. Logiquement cette fonction devrait être disponible pour toutes les versions de Windows 10 et 11 à une date non connue actuellement.

Cette fonction de blocage s’appuiera sur une liste de pilotes bloqués tenue à jour par Microsoft en collaboration avec ses partenaires constructeurs.La raison pour laquelle ces pilotes peuvent être marqués comme bloqués est qu’ils présentent des vulnérabilités de sécurité connues qui peuvent être exploitées pour élever les privilèges du noyau Windows ; ils agissent comme des logiciels malveillants ou des certificats utilisés pour signer des logiciels malveillants, ou ils présentent des comportements qui contournent le modèle de sécurité Windows et peuvent être utilisés pour élever les privilèges du noyau Windows.

Nous reviendrons sur l’ensemble des fonctions de sécurité et détail des offres Defender lors du prochain Briefing Calipia. N’hésitez pas à vous y inscrire tout de suite.

« Entrées précédentes