Archives de Catégorie: Securite

Microsoft introduit en preview des services DNS chiffrés

Les Windows Insiders du Fast Ring de Windows 10 (build 19628) peuvent maintenant tester les fonctions de DNS over HTTPS (DoH), permettant de chiffrer les communications vers les serveurs DNS.  Présentée la semaine dernière dans la note d’accompagnement de la build 19628, DoH est une proposition de norme de l’Internet Engineering Task Force qui ajoute le chiffrage lorsque les clients transmettent des requêtes URL sur Internet à des serveurs DNS.  Ces serveurs résolvent ces URL en adresses IP, utilisées pour atteindre les sites Web.  Actuellement, lorsque les utilisateurs demandent une URL sans DoH, celle-ci est transmise en texte clair et peut être consultée par les fournisseurs d’accès Internet. Les URL en texte clair peuvent également être modifiées en cas d’attaques dites « man-in-the-middle ». DoH chiffrerait donc ces URL, limitant ainsi ces risques.

La fonctionnalité à tester nécessite quelques modifications de registry ainsi que de pointer sur certains serveurs DNS dont Microsoft donne les coordonnées dans son message:

Capture d’écran 2020-05-15 à 08.43.52

Le fait d’être intégrée à une build Fast Ring ne permet en rien de savoir quand (voire même si) cette fonctionnalité sera fournie dans une release générale de Windows 10.

Face à la pression, Zoom annonce un renforcement de sa sécurité

Eric-Yuan-1060x655Nous vous en parlions hier, le CEO de Zoom organisait hier soir une session de Q&A avec les utilisateurs. Sans surprise ont était plus sur une série d’annonces concernant la sécurité pour faire face à la tempête qui s’est abattue sur la société à juste titre pour ses pratiques en matière de confidentialité et de sécurité.

Tout d’abord, si vous avez loupé les évènements précédents, un rappel de ce qui était reproché au fils des semaines à Zoom :

Parmi les problèmes constatés, il y avait principalement :

  • l’envoi de données à Facebook,
  • une fausse déclaration d’utilisation d’un cryptage de bout en bout,
  • des vulnérabilités qui pourraient permettre à un pirate informatique local d’accéder à la racine,
  • des identifiants de réunion devinables
  • un cryptage faible.

L’utilisation de la plateforme a donc été largement interdite, tant par les gouvernements que par certaines entreprises.

Zoom avait annoncé un plan de 90 jours pour résoudre ces problèmes, le patron de l’entreprise est ainsi revenu sur ces éléments. Voici ce qu’il faut retenir en résumé :

  1. Annonce de la mise en place du Cryptage AES 256 bits GCM : Zoom passe à la norme de cryptage AES 256 bits GCM, qui offre une protection accrue des données de réunions en transit et une résistance contre les manipulations. Cela permet de garantir la confidentialité et l’intégrité des données. Zoom 5.0, dont la sortie est prévue dans la semaine, prend en charge le cryptage GCM, et cette norme prendra effet une fois que tous les comptes seront activés avec GCM. L’activation des comptes à l’échelle du système aura lieu le 30 mai.
  2. Lisibilité des fonctions de sécurité : Les fonctions de sécurité de Zoom, qui étaient auparavant accessibles dans tous les menus de la réunion, sont maintenant regroupées et accessibles en cliquant sur l’icône de sécurité dans la barre de menu de la réunion sur l’interface de l’hôte. Les hôtes pourront « signaler un utilisateur » à Zoom via l’icône de sécurité. Ils pourront également désactiver la possibilité pour les participants de se renommer. Pour les clients éducation, le partage d’écran est désormais limité par défaut à l’hôte.
  3. Salle d’attente activée par défaut : La salle d’attente, une fonction existante qui permet à un hôte de garder les participants dans des salles d’attente virtuelles individuelles avant qu’ils ne soient admis à une réunion, est maintenant activée par défaut pour les comptes Education, Basic et licence unique Pro. Tous les hôtes peuvent désormais également activer la salle d’attente y compris pendant que leur réunion est déjà en cours (pour éviter l’arrivée d’une autre personne qui aurait découvert ce numéro de salle)
  4. Complexité du mot de passe pour les réunions et activation par défaut : Les mots de passe pour les réunions, une fonction de zoom existante, est maintenant activée par défaut pour la plupart des clients, y compris tous les clients Basic, les clients à licence unique Pro et les clients éducation. Pour les comptes administrés, les administrateurs de compte ont maintenant la possibilité de définir la complexité des mots de passe (tels que la longueur, les caractères alphanumériques et les caractères spéciaux requis). En outre, les administrateurs de Zoom Phone peuvent désormais ajuster la longueur du code PIN nécessaire pour accéder à la messagerie vocale.
  5. Les mots de passe sont désormais définis par défaut pour tous ceux qui accèdent aux enregistrements dans le cloud, à l’exception de l’hôte de la réunion, et nécessitent un mot de passe complexe. Pour les comptes administrés, les administrateurs de compte ont maintenant la possibilité de définir la complexité du mot de passe.
  6. Partage sécurisé des contacts de compte : Zoom 5.0 prendra en charge une nouvelle structure de données pour les grandes organisations, leur permettant de relier les contacts de plusieurs comptes afin que les personnes puissent facilement et en toute sécurité rechercher et trouver des réunions, des chats et des contacts téléphoniques.
  7. Amélioration du tableau de bord : Les administrateurs peuvent voir comment leurs réunions se connectent aux centres de données Zoom dans leur tableau de bord Zoom. Cela inclut tous les centres de données connectés à des serveurs HTTP en mode Tunnel, ainsi que les connecteurs et les passerelles des salles de conférence Zoom.
  8. Pendant une réunion, l’ID de la réunion et l’option Inviter ont été déplacées de l’interface Zoom principale au menu Participants, rendant plus difficile pour un utilisateur de partager accidentellement son ID de réunion.

A voir avec le temps si ces mesures suffiront à répondre aux inquiétudes des utilisateurs et surtout des administrateurs. En tout cas l’entreprise a semble-t-il pris la mesure du mécontentement et apporté des réponses assez concrètes. Pour ce qui est du chiffrement de bout en bout : Eric Yuan a préciser que la société avait commis plutôt une « erreur marketing » sur ce point car il est impossible de faire du bout en bout si il y a un serveur (et c’est logique qu’il y est ce serveur) pour concentrer et appels dès lors qu’il y a plus de deux personnes. Il a confirmé, et l’on voit mal comment cela pourrait être autrement, que les clés sont bien (comme ses concurrents) chez Zoom.

Confidentialité et sécurité dans Teams

Capture d’écran 2020-04-06 à 16.06.08.pngSurfant sur le buzz négatif autour de Zoom (c’est de bonne guerre), Jared Spataro (Corporate Vice President for Microsoft 365) s’est fendu d’un intéressant billet de blog résumant les différentes approches poursuivies par Microsoft afin de garantir la sécurité et la confidentialité des données de Microsoft Teams. Rien de neuf, mais cela constitue un bonne synthèse des moyens mis en oeuvre, et permet donc de se « rafraichir » les idées en la matière.

Son message est structuré en 5 parties qui recouvrent très largement les usages de Teams en entreprise, mais plus largement la gestion des données utilisateurs, les bonnes pratiques et les standards, avec des pointeurs à partir de chaque élément permettant d’accéder à plus de détails :

  • les contrôles Teams dédiés à la sécurité et la confidentialité pendant les conférences vidéo avec Teams. On retrouve ici les fonctions déjà présentes dans Skype Entreprise, telles que les options de réunions, les salles d’attente virtuelles… et des fonctions purement Teams, telles que par exemple les canaux privés et la modération des canaux.
  • les pratiques du business Microsoft, telles que pas de collecte d’info à but publicitaire, pas de tracking des activités des participants à un meeting Teams (par exemple pour identifier ceux qui font plusieurs autres choses en plus du meeting :)), et rappel des règles de protection des infos utilisateurs, après une finde souscription ou vis à vis d’autorités gouvernementales indélicates …
  • la protection des identités et des accès : J.Spataro rappelle ici les fonctions de MFA (authentification Multi Facteurs), les accès conditionnels, la protection des appareils avec Microsoft EndPoint Protection …
  • la protection des données et la défense contre les cybermenaces : avec le cryptage des données, les fonctions de DLP (Data Loss Prevention), ou Advanced Threat Protection et Cloud App Security.
  • un rappel des principaux standards et règlementations auxquels Microsoft se conforme dans ce domaine : de la notion de Barrières d’information, aux fonctions d’eDiscovery, en passant par les principaux standards tels que RGDP, FedRamp ou Soc.

Microsoft contribue au démantèlement d’un réseau mondial de malware

Capture d’écran 2020-03-11 à 08.37.51.png

Par la voix de Tom Burt,  Corporate Vice President, Customer Security & Trust, Microsoft confirme sa participation aux actions menées pour stopper l’infrastructure utilisée par Necurs, un botnet qui a infect à ce jour plus de 9 millions d’ordinateurs dans le monde. Ce botnet, l’un des plus prolifiques du monde, infecte les ordinateurs pour prendre leur contrôle à distance. Necurs est piloté par un réseau criminel opérant depuis la Russie, et il a été identifié dès 2012, mais il aura fallu 8 ans d’enquêtes et de procédures pour aboutir à une décision de justice rendue par une cour américaine le 5 mars dernier, ordonnant à Microsoft de bloquer l’infrastructure US utilisée par ce botnet, ainsi que toute nouvelle création de domaines associée. Pour atteindre cet objectif, Tom Burt explique que Microsoft a réussi à « craquer » l’algorithme utilisé par Necurs pour générer de nouveaux domaines, et à donc pu ensuite bloquer la création de tous les domaines qu’auraient pu créer le botnet en réaction aux actions de blocages des sites et domaines actuels.

Cette action illustre à la fois les activités que Microsoft consacrent à la cybersécurité, concernant ses propres logiciels et services, et plus largement internet, avec en particulier :

  • le Microsoft Cyber Defense Operations Center : le CDOC est une structure unique basée à Redmond, qui rassemble des experts en matière de sécurité de toute l’entreprise pour aider à protéger, détecter et répondre aux menaces en temps réel. Doté d’équipes dédiées 24 heures sur 24 et 7 jours sur 7, le centre a un accès direct à des milliers de professionnels de la sécurité, de scientifiques et d’ingénieurs produits de Microsoft pour assurer une réponse et une résolution rapides aux menaces de sécurité.
  • le programme Microsoft Cyber Threat Intelligence Program (CTIP) : Grâce au CTIP, Microsoft fournit aux forces de l’ordre, aux équipes gouvernementales d’intervention en cas d’urgence informatique (CERT), aux fournisseurs d’accès Internet et aux agences gouvernementales chargées de l’application des cyberlégislations et de la protection des infrastructures critiques un meilleur aperçu des cyberinfrastructures criminelles situées dans leur juridiction, ainsi qu’une vision des ordinateurs compromis et des victimes touchées par ces infrastructures criminelles.

Si ces questions de cybersécurité vous intéressent, rejoignez-nous lors d’une session du prochain Briefing Calipia 30 en juin prochain :).

Protection de la vie privée : DuckDuckGo a décidé de rendre accessible son outil de gestion des données de traçage

Vous connaissez sans aucun doute le moteur de recherche DuckDuckGo qui préserve votre confidentialité. Il a franchi une nouvelle étape en offrant une expérience web plus privée aujourd’hui avec le lancement de son radar de suivi. Ainsi que son extension (qui fonctionne sur Chrome, Safari, Firefox ou Edge) pour limiter les données de traçage des utilisateurs :

Duckduckgo(exemple ici sur le site du monde.fr depuis mon poste avec Edge Chromium)

DuckDuckGo a également rendu la ressource open source et a partagé la manière dont les particuliers, les développeurs et les chercheurs peuvent utiliser l’outil : accessible sur Github.

Les créateur de l’outil expliquent pourquoi ils mettent à disposition ce dernier est les outils associés :

Lorsque nous avons décidé d’ajouter la protection des traqueurs, nous avons constaté que les listes de traqueurs existantes étaient pour la plupart gérées manuellement, ce qui signifie qu’elles étaient souvent périmées et jamais complètes. Et, pire encore, ces listes cassent parfois des sites web, ce qui entrave leur adoption par le grand public. Ainsi, au cours des deux dernières années, nous avons construit notre propre ensemble de données de traqueurs en nous basant sur un processus d’exploration qui ne présente pas ces inconvénients. Nous l’appelons DuckDuckGo Tracker Radar. Il est généré automatiquement, mis à jour en permanence et testé en permanence.

L’éditeur donne également sur son site des informations sur les sociétés à l’origine des multiples traceurs utilisés. Sans surprise Google et Facebook arrivent largement en tête 🙂

most-common-trackers-on-websites3

Microsoft va lancer son application antivirus sur iOS et Android cette année

defender iosIl y a presque qu’un an, Microsoft avait lancé en beta son logiciel antivirus Defender pour Mac, la société se prépare maintenant à proposer l’application sur iOS et Android. Sur iOS, les fonctionnalités offertes devraient se concentrer sur de la protection contre le phishing principalement.

Microsoft a annoncé qu’il partagera plus de détails sur Defender Advanced Threat Protection pour iOS et Android cette semaine lors de la conférence RSA.

Alors que la version Mac offre une protection antivirus et des analyses complètes de la machine, Les versions mobiles – en particulier sur iOS – qui arriveront dans le courant de l’année ne devraient pas offrir la même chose en raison des limitations d’Apple pour avec les applications qui descendent trop bas dans les couches Système..

Les clients mobiles Defender de Microsoft seront probablement très différents des versions de bureau, d’autant plus que la plateforme iOS d’Apple ne permet pas aux applications de rechercher des logiciels malveillants sur un iPhone ou un iPad. Il existe cependant une variété d’applications antivirus pour Android. Microsoft se joindra à ce marché en pleine croissance pour empêcher la présence de logiciels malveillants dans les applications Android qui sont chargées sur les appareils.

Microsoft n’a pas communiqué la date de sortie des versions iOS et Android, mais nous pourrions en entendre davantage cette semaine lors de l’annonce de la conférence RSA.

Dell vend RSA pour 2 milliards de $

rsa-1Pour rappel Dell avait acquis le consortium de gestion de sécurité RSA lorsqu’il a racheté EMC en 2016 pour 67 milliards de dollars (ce qui incluait l’achat du géant de la virtualisation VMware).  C’est donc les activités de Dell dans le domaine des solutions de sécurité RSA, y compris la conférence RSA, qui ont été rachetées par un consortium d’entreprises pour environ 2 milliards de dollars.

L’achat de RSA a été mené par Symphony Technology Group (STG), le Conseil du Régime de retraite des enseignants de l’Ontario et AlpInvest Partners, dans le cadre d’un accord entièrement en espèces. Le consortium d’acheteurs acquerra « RSA Archer, RSA NetWitness Platform, RSA SecurID, RSA Fraud and Risk Intelligence et RSA Conference » après avoir obtenu les autorisations réglementaires.

Dell, dans une annonce, a décrit la vente de ses actifs RSA comme lui donnant :

« une plus grande flexibilité pour se concentrer sur l’innovation intégrée à travers les technologies Dell »

Ce qu’il faut sans doute traduire en supprimant la langue de bois de ce type de communiqué par « de quoi diminuer un peu la dette de Dell« … Pour rappel également Dell avait également acquis la société de solutions informatiques Quest Software en 2010 et le fabricant d’appliances de pare-feu SonicWall en 2012, qui a rejoint le groupe Dell Software. Le groupe Dell Software avait  ensuite été vendu en 2016. Mais la séparation des activités de RSA ne sont peut-être pas uniquement basées sur des considération financières. L’activité de la RSA dans le domaine de la sécurité matériel n’était peut-être pas la plus florissante, en raison des alternatives logicielles sur le marché comme le développement de FIDO2 par exemple, nous vous en parlons régulièrement. Dell n’a pas donné les chiffres réels sur ce segment de son activité lié à RSA, ce qui amène à toute les interprétations.

FIDO2 disponible en beta pour l’AD en environnement hybride

ThinC-AUTH_smNous avions une session consacré aux environnements sans mot de passe via l’initiative FIDO2 lors du dernier Briefing Calipia. Nous vous parlions à cette occasion de la mise en oeuvre de ces fonctions dans un environnement Microsoft (Azure et Office 365) et donc Azure AD.

Aujourd’hui, Microsoft franchit une nouvelle étape dans l’expansion de l’authentification sans mot de passe en présentant en beta publique la prise en charge des clés de sécurité FIDO2 pour les dispositifs et ressources Azure AD joints dans des environnements hybrides. Sans surprise c’était une demande très forte des clients pour ne pas dépendre d’une seule authentification dans le Cloud.

La mise en oeuvre nécessite :

  • Un patch Windows Server pour les contrôleurs de domaine (Server 2016/Server 2019).
  • Windows Insider Builds 18945 ou plus récent.
  • La Version 1.4.32.0 ou plus récente d’Azure AD Connect.
  • En plus du lancement de l’avant-première publique,

la société a également annoncé la disponibilité de nouvelles clés de sécurité FIDO2 de ses partenaires. Comme par exemple la clé USB Thin-C avec stockage de Ensurity Technologies et la clé USB-C Goldengate de eWBM Inc.

La liste complète des dispositifs compatibles est disponible en suivant ce lien.

Microsoft ajoute dans son « Compliance Score » des évaluations pour les prochaines réglementations sur la protection de la vie privée

Des réglementations en matière de protection de la vie privée conçues pour protéger les utilisateurs d’Internet ont été adoptées dans de nombreuses régions du monde à commencer par la notre qui montre un peu l’exemple avec la GDPR. Le respect de ces réglementations peut être compliqué pour les entreprises. Microsoft fournit depuis quelques temps, avec son outil « Compliance Score » des éléments pour évaluer la conformité aux réglementations en matière de protection de la vie privée  (outil disponible en beta actuellement).

MS Score Compliance

Microsoft a annoncé que son outil de notation supportera un plus grand nombre de réglementations et de normes à venir, afin que les entreprises puissent commencer à s’adapter avant leur entrée en vigueur. Il y a d’abord la loi californienne sur la protection de la vie privée des consommateurs (CCPA), qui est la première du genre aux États-Unis, ainsi que la loi brésilienne Lei Geral de Proteção de Dados (littéralement, loi générale sur la protection des données), qui sont l’équivalent donc du GDPR de l’Union européenne.

Enfin, cet outil est logiquement réservé aux clients sous Office 365.

Le smartphone de Jeff Bezos aurait été piraté en 2018 par le prince héritier saoudien

Jeff Bezos et le princeOn apprend dans un article du Guardian, confirmé par le très sérieux Washington Post que Jeff Bezos, le patron d’Amazon aurait vu son téléphone piraté (via WhatsApp) par le Prince héritier saoudien lui même lors d’une rencontre entre les deux hommes…

Le piratage aurait eu lieu lorsqu’un compte personnel du prince héritier a envoyé un message à Bezos qui comprenait un fichier vidéo malveillant lors d’un « échange apparemment amical via WhatsApp ».

Pourquoi s’en prendre à Jeff Bezos ? Le Daily Beast avait précédemment rapporté que les Saoudiens visaient Bezos, car il est également propriétaire du Washington Post. Or rappelez-vous, en octobre 2018,  le journaliste du Washington Post Jamal Khashoggi avait été assassiné dans un consulat saoudien à Istanbul…

Ce même Washington Post a indiqué que les Nations Unies publieront ce soir leur propre enquête confirmant que le téléphone de Bezos a été piraté. Le Post a noté un nouveau film documentaire intitulé « The Dissident« , qui débute vendredi, qui confirme également le fichier vidéo malveillant que Mohammed a envoyé à Bezos.

« Entrées précédentes Derniers articles »