Archives de Catégorie: Securite

Microsoft annonce le lancement de son centre de déploiement Zero Trust pour faciliter la transition des entreprises vers ce modèle

Microsoft vient d’annoncer le lancement du centre de déploiement Zero Trust accessible à toutes les entreprises en suivant ce lien. Pour rappel, ce modèle part du principe que les requêtes y compris celles réalisées en interne ne sont pas sûre. Donc en gros tord le cou du modèle qui voudrait que l’extérieur est dangereux, mais que dès lors que nous sommes derrière le pare-feu, tout est sous contrôle !

Le modèle Zero Trust suppose qu’une faille est possible et vérifie chaque requête comme si elle provenait d’un réseau ouvert. Quelle que soit l’origine de la demande ou la ressource à laquelle elle accède, le modèle Zero Trust consiste donc à « ne jamais faire confiance, toujours vérifier ». Chaque demande d’accès est entièrement authentifiée, autorisée et cryptée avant d’être accordée.

Microsoft déclare que, bien que les entreprises aient travaillé pour utiliser ce modèle, elles rencontrent encore des difficultés dans le domaine du déploiement. Pour résoudre ce problème, la société annonce donc la création du Zero Trust Deployment Center. Il s’agit d’un ensemble de documents qui expliquent en détail comment appliquer les principes de la « confiance zéro », en mettant en place l’infrastructure, le réseau, les données et la préparation à l’environnement. Microsoft affirme avoir veillé à ce que ce référentiel d’informations contienne des conseils sur le déploiement sous la forme d’objectifs et d’actions simples pour faciliter la mise en place de l’environnement. Pour les organisations qui mettent déjà en œuvre des modèles de sécurité Zero Trust, ce référentiel sera utile pour déterminer leurs progrès, sachant que le chemin pour y parvenir est souvent assez complexe dans les faits.

Si ce sujet vous intéresse, je vous conseille de suivre la conférence de l’ami Jean-Yves Grasset lors des Indentity Days le 29 octobre. Une conférence vraiment très interessante regroupant les principaux experts français du domaine.

Le chiffrement de bout en bout arrive (enfin) sur Zoom la semaine prochaine

C’était une promesse au mois de mai dernier lorsque Zoom avait été mis en cause sur ses pratiques de protection des utilisateurs. La fonction de chiffrement de bout en bout des communication (y compris gratuites) avait été promise par son PDG Eric Yuan. Zoom a annoncé qu’il allait enfin mettre en place ce chiffrement de bout en bout (E2EE) à partir de la semaine prochaine. Dans un premier temps, il sera lancé sous forme d’une beta technique où Zoom demandera aux utilisateurs de lui faire part de leurs commentaires. Cette période durera environ 30 jours afin de résoudre les éventuels problèmes. Une fois que E2EE sera lancé au public, les utilisateurs des niveaux gratuit et payant pourront accueillir jusqu’à 200 participants à une réunion E2EE sur Zoom.

Selon l’entreprise, E2EE de Zoom utilise le même chiffrement GCM que celui utilisé actuellement dans les réunions Zoom, la différence est qu’avec E2EE, l’hôte de la réunion génère des clés et utilise la cryptographie à clé publique pour distribuer ces clés aux autres participants. Cela signifie que les serveurs de Zoom ne voient jamais les clés nécessaires pour déchiffré le contenu d’une réunion.

Pour Eric Yuan, le PDG de Zoom :

« Le chiffrement de bout en bout est un autre pas en avant pour faire de Zoom la plateforme de communication la plus sûre au monde. Cette phase de notre offre E2EE offre la même sécurité que les plates-formes de messagerie cryptées de bout en bout existantes, mais avec la qualité et l’échelle vidéo qui ont fait de Zoom la solution de communication de choix pour des centaines de millions de personnes et les plus grandes entreprises du monde« .

Pour commencer à utiliser E2EE dès la semaine prochaine, les utilisateurs devront activer les réunions E2EE au niveau du compte et accepter ceci à chaque réunion. Il convient de noter que toutes les fonctionnalités de Zoom ne sont pas disponibles en mode E2EE, notamment l’enregistrement (dans le cloud), la diffusion en continu, la transcription en direct, les salles de réunion, les sondages, le chat privé. Pour en savoir plus sur E2EE sur Zoom, toutes les informations sont ici.

Bonne nouvelle : unification en vue des solutions de sécurité pour Microsoft 365 et Azure…

Microsoft a annoncé, lors de la conférence annuelle Ignite 2020, de nouvelles fonctionnalités de protection contre les menaces mais surtout une unification des solutions de sécurité Microsoft 365 et Azure. C’est plutôt une bonne nouvelle pour éclaircir (un peu) la jungle des produits de l’éditeur, nous avions eu l’occasion de présenter ses derniers et de le positionner fonctionnellement lors du dernier Briefing Calipia de décembre 2019. Nous aurons l’occasion de revenir sur ceci lors du prochain Briefing, dont nous devons fixer les dates et modalité de participation (pas simple compte tenue des évolutions de la crise sanitaire).

Voici donc un petit récapitulatif de ces changements :

Microsoft Defender inclut désormais Microsoft 365 Defender et Azure Defender. Pour rappel il prévient, détecte et répond aux menaces sur les identités, les points d’accès, les applications, la messagerie électronique, l’infrastructure et les plates-formes de cloud, ainsi que les actifs affectés. Microsoft Threat Protection, intégré à Microsoft 365 Defender.

Microsoft Defender Advanced Threat Protection, devient Microsoft Defender for Endpoint et protège maintenant tous les principaux systèmes d’exploitation :

  • Pour Android : il offre une protection contre le phishing, permet une analyse proactive des applications et fichiers malveillants, bloque l’accès aux ressources de l’entreprise pour atténuer l’impact des violations et donne aux équipes de sécurité une visibilité sur les menaces mobiles et les alertes via le centre de sécurité.
  • Pour iOS : il offre une protection contre le phishing et les accès Web.
  • Pour macOS : (en beta actuellement) il offre une gestion des menaces et des vulnérabilités.

On retrouve également les services « Defender » pour Office 365 et Azure séparément sous forme de 3 services :

  • Microsoft Defender pour Office 365 : auparavant appelé Office 365 Advanced Threat Protection, Microsoft Defender pour Office 365 aide à protéger les comptes de messagerie prioritaires et est maintenant disponible en beta pour les équipes de sécurité afin de donner la priorité à la protection des personnes les plus visibles et les plus ciblées de l’organisation.
  • Microsoft Defender for Identity : auparavant appelé Azure Advanced Threat Protection, Microsoft Defender for Identity continuera de fournir une protection hybride contre les menaces d’identité.
  • Azure Defender : pour la protection unifiée des ressources hybrides (y compris les machines virtuelles, les bases de données, les conteneurs et l’IoT), Azure Defender reprend les fonctions de protection de l’Azure Security Center. Cette nouvelle version devrait arrivée cette semaine.

Première preview publique de Microsoft Defender Application Guard for Office

Microsoft vient d’annoncer la première preview publique de Defender Application Guard for Office, une capacité qui va permettre lors de l’ouverture de documents Office provenant de sources non sûres, d’utiliser de manière automatique (sans demander à l’utilisateur qui vient de double-cliquer sur une pièce jointe reçu par mail d’un correspondant extérieur à son entreprise) un « bac à sable » dédié à cette opération. Quand cette capacité est activée, un splash screen spécifique s’affiche à l’ouverture qui mentionne l’utilisation d’Application Guard. De même l’icône Word dans la barre des tâches est équipée d’un pictogramme de bouclier. L’utilisateur peut alors lire, modifier, enregistrer le document.

Application Guard for Office est un mode restreint qui isole les documents non fiables de l’accès aux ressources d’entreprise, à l’intranet, à l’identité de l’utilisateur et aux fichiers arbitraires présents sur l’ordinateur. Par conséquent, si un utilisateur tente d’accéder à une fonctionnalité qui dépend d’un tel accès, par exemple, l’insertion d’une image d’un fichier local sur le disque, il échouera. Pour permettre à un document non fiable d’accéder à des ressources fiables, les utilisateurs doivent supprimer la protection Application Guard du document. (source : https://docs.microsoft.com/en-us/microsoft-365/security/office-365-security/install-app-guard?view=o365-worldwide)

Si cette fonctionnalité vous semble intéressante, préparez vous à casser votre tirelire. En effet, Defender Application Guard for Office ne sera disponible qu’au travers des abonnements Microsoft 365 E5.

Azure AD : « My Sign-Ins » disponible pour tous les utilisateurs d’Office 365

Azure AD My Sign-Ins 5Bonne nouvelle, la fonction « My Sign-Ins » pour les utilisateurs d’Office 365, qui leur permet de vérifier les tentatives de connexion à leur compte, est maintenant disponible pour tous.

My Sign-Ins est une fonction accessible directement par cette URL permettant d’avoir accès aux informations suivantes :

  • Si quelqu’un essaie de deviner votre mot de passe.
  • Si un attaquant a réussi à se connecter à son compte depuis un endroit inconnu.
  • Le cas échéant, les applications auxquelles l’attaquant a accédé.

Cette fonctionnalité avait été présentée en beta en octobre dernier. Depuis lors, Microsoft a ajouté d’autres fonctionnalités. Par exemple, elle comprend maintenant deux nouveaux boutons qui permettent aux utilisateurs de classer l’activité du compte qui s’affiche – à savoir, des boutons « Ce n’était pas moi » et « C’était moi ».

En cliquant sur le bouton « Ce n’était pas moi », les utilisateurs peuvent modifier leur mot de passe.  L’application « Mes ouvertures de session » indiquera aux utilisateurs l’emplacement approximatif associé à la tentative.

Les tentatives de connexion infructueuses sont affichées. Elles peuvent être dues à des mots de passe mal tapés par l’utilisateur réel ou à un attaquant qui a tenté de deviner le mot de passe. Dans les cas où un attaquant est actif, mais ne parvient pas à deviner le mot de passe, Microsoft conseille d’activer l’authentification multifacteur ou MFA (ajout d’une seconde méthode de vérification de l’identité au-delà du mot de passe et dans ce cas le mot de passe n’a pas besoin d’être modifié).

Microsoft rappelle à ce propos que :

« Sur la base de nos études, les comptes protégés par MFA ont 99,9 % de chances en moins d’être compromis« .

0Pour l’instant les alertes ne sont pas gérées (car potentiellement trop nombreuses) mais Robyn Hicock, la responsable du programme au sein de l’équipe de Microsoft Identity Security and Protection, a indiqué que cela faisait partie des plans de Microsoft :

« Notre plan à long terme est de donner aux administrateurs la possibilité de mettre en place des alertes. Microsoft a également l’intention d’envoyer des alertes aussi aux utilisateurs finaux« .

Pas d’information en revanche sur une date de disponibilité pour cette fonction.

Microsoft Secure Score est maintenant disponible pour tous

secure-score-homepage-newMicrosoft Secure Score est maintenant disponible pour tous les abonnés  dans le portail Microsoft 365 Security Center. Pour rappel, ce service donne un « score de sécurité global » d’une organisation par rapport à des organisations similaires. Les scores sont donnés pour l’identité, les données, les appareils, les applications et l’infrastructure. Ils peuvent être visualisés sous forme de graphique dans le temps, montrant une amélioration ou une dérive par rapport aux objectifs. Enfin, les organisations peuvent voir le nombre de tâches de sécurité qui restent à accomplir pour parfaire leur protection.

Cette version est à l’origine un produit qui a évolué à partir de l’ancien produit Office 365 Secure Score, qui venait de surveiller uniquement les solutions Office 365. Le nouveau Microsoft Secure Score surveille Microsoft 365 et Azure.

En février dernier, lors de l’annonce du nouveau Microsoft Secure Score, Microsoft avait promis de prendre en charge Azure Active Directory, Cloud App Security et Microsoft Defender Advanced Threat Protection. Dans l’annonce faite par Microsoft à l’occasion de sa conférence partenaires, la société a admis que certains des produits et services de ne sont pas encore encore intégrés, comme par exemple, l’Identity Secure Score.

Microsoft a également ajusté certains de ses critères pour générer les fameux conseils et  actions d’amélioration : Une action d’amélioration doit maintenant réduire le risque certes mais surtout doit être mesurable par l’automatisation. Logiquement, les conseils d’amélioration qui ne répondent pas ces critères ont été supprimés.

Microsoft Secure Score serait particulièrement aussi utile en ce moment pour les entreprise ayant des employés à distance avec des appareils qui ne sont pas conformes. Ce qui doit nécessiter logiquement l’usage du service Microsoft 365 Advanced Threat Protection.

Suivez ce lien pour plus d’informations sur le service.

Les promesses de Facebook n’engagent que ceux qui les croient…

Facebook pas au topAprès que le scandale Cambridge Analytica ai mis en lumière les pratiques de Facebook. On ne compte plus les problèmes de sécurité / confidentialité que génère l’entreprise. Il ne se passe quasiment pas une semaine qui ne révèle de nouvelles pratiques, disons limite, pour ne par dire plus. Et ceci malgré les promesses de son dirigeant devant les nombreuses commissions où il s’est produit.

Il y a quelques jours l’entreprise a confirmé que des milliers de développeurs ont pu accéder aux données d’utilisateurs inactifs, ce qui est un comportement normalement impossible bien entendu. Après la crise de Cambridge Analytica en 2018, Facebook avait pourtant répété sur tous les canaux avoir mis en place denouvelles directives qui empêchent les développeurs de recevoir des données d’utilisateurs qui n’ont pas utilisé le réseau social pendant plus de 90 jours.

Comme les utilisateurs pouvait se connecter à des applications tierces avec Facebook, les développeurs peuvent avoir accès aux informations personnelles de ceux qui ont de telles applications liées à un compte Facebook. Comme l’a noté le site Engadget, la société n’a pas dit pendant combien de temps cette faille de sécurité était active ni combien d’utilisateurs étaient concernés.

Facebook n’a pas révélé depuis combien de temps le « problème » existait avant qu’il ne soit corrigé, ni combien d’utilisateurs ont pu être touchés. L’entreprise a déclaré qu’elle avait touché « environ 5 000 développeurs » au cours des « derniers mois ». Facebook n’a pas non plus spécifié exactement quelles données pouvaient avoir été partagées de manière inappropriée, mais a déclaré que les utilisateurs avaient préalablement autorisé les applications à recevoir les données en question…

Ce type de failles à répétition donne clairement l’impression que pas grand chose est réellement controlé, entre, d’un côté la volonté délibérée de cet acteur de piocher par tous les moyens dans l’intimité des utilisateurs, et les failles réelles dans le code, difficile de se faire une idée…

Bon courage en tout cas aux équipes Workplace pour convaincre les DSI d’adopter leur solution (au demeurant très interessante)…

La loi sur la protection de la vie privée s’applique en Californie depuis le 1er juillet

1200px-Flag_of_California.svgLa Californie a commencé le 1er juillet à appliquer sa loi sur la protection des données numériques, six mois après son entrée en vigueur. Elle a été décrite comme la loi sur la protection de la vie privée la plus stricte des États-Unis, ayant été en partie modelée sur la loi de référence européenne, notre fameuse RGPD.

La loi a été adoptée le 1er janvier, mais l’État a donné aux entreprises six mois pour se mettre en conformité. Pour rappel nous avions 2 ans en Europe pour le faire. Donc beaucoup moins de temps ici. Mais il est vrai que les entreprises californiennes avait déjà travailler sur le sujet justement pour leur mise en conformité avec la GDPR…

Malgré les appels de l’industrie et des géants de la tech (Facebook et Google en tête) pour que l’État attende en raison de la pandémie de coronavirus, le procureur général de l’état, Xavier Becerra n’a pas cédé…Elle donne aux consommateurs de l’État – et à beaucoup d’autres en dehors de la Californie – la possibilité de demander aux entreprises de leur indiquer les données personnelles qu’elles détiennent sur chaque personne et de demander aux entreprises de cesser de vendre leurs données personnelles à des tiers annonceurs ou autres. Un casse-tête pour certaines sociétés comme Facebook, pris une nième fois encore, la semaine dernière avec la main dans le pot de confiture…

Que se passera-t-il si les sociétés ne respectent pas la loi ? À partir de cette semaine, le bureau du procureur peut commencer à envoyer des avertissements aux entreprises qui pourraient être en infraction avec la loi et leur donner 30 jours pour régler les problèmes avant de faire face à d’éventuelles amendes ou poursuites. Un petit délais de grâce.

Pas question au passage pour ces sociétés de menacer de quitter l’état pour s’installer au Delaware per exemple (Paradis fiscal interne aux États Unis, sorte de Luxembourg, d’Irlande et de Pays bas réunis pour les Entreprises), là où est installé leurs sièges sociaux (comme c’est le cas de Facebook ou Alphabet la maison mère de Google), le législateur ayant prévu ce cas de figure en protégeant comme avec la GDPR les citoyens avant tout.

Cette loi est limité à la Californie, même si d’autres états, majoritairement Démocrates sont en train de mettre en oeuvre leur loi de protection de la vie privée également, là encore sur le modèle de l’Europe (pour une fois que c’est dans ce sens …). Des entreprises comme Apple en particulier qui a fait de la vie privée son cheval de bataille (face à un Google…) et d’autres géants comme Microsoft (qui ne tire pas non plus de gros revenus de la publicité) continuent de réclamer une loi fédérale unique sur la protection de la vie privée afin de faciliter la mise en conformité. Là encore sur le modèle européen !

Apple se veut champion de la protection de la vie privée

Capture d’écran 2020-06-23 à 13.09.42Avec les annonces du keynote de la WWDC 2020 hier, Apple a renfoncé le clou de la protection de la vie privée, facteur discriminant selon lui vis à vis de ses concurrents (dont Google et Facebook). Ce n’est pas la première fois, voir la la communication faite à  Las Vegas en janvier 2019 par Apple, devant le Centre de Convention de la ville, pour le CES.

Ainsi pour Craig  Federighi (Senior Vice President of Software Engineering), Apple est particulièrement sensible à la question de la protection de la vie privée et à ce titre prend des initiatives que d’autres entreprises du secteur vont alors suivre, « dont certains ont un modèle économique différent du nôtre« … Pour C.Federighi, la protection de la vie privée pour Apple passe par le respect de 4 principes essentiels :

  • minimiser les quantités de données
  • embarquer dans les appareils des capacités d’analyse, pour éviter d’avoir à remonter les infos en central
  • offrir une sécurité maximum
  • garantir  transparence et contrôle aux utilisateurs.

Pour les annonces faites lundi 22 juin (iOS14, iPadOS14, WatchOS7 et MacOS12), ces principes ont guidé le développement des nouvelles capacités suivantes :

  • introduction de la notion de localisation « approximative », qui permet aux apps qui le nécessitent d’avoir accès à une position, mais sans lui offrir la géolocalisation précise de l’utilisateur
  • limitation des capacités de suivi des applications iOS et iPadOS sur le parcours des utilisateurs dans l’ensemble du web. Ceux-ci devront donner leur accord pour autoriser une app à effectuer ce suivi global, et ils pourront également contrôler les autorisations données pour les modifier.
  • dans l’App Store, le descriptif des applications devra présenter de manière simple et claire les détails qu’elles collectent, pour permettre à l’utilisateur de visualiser rapidement le niveau d’exposition qu’il aura avec chaque appli. Cette fonction ne sera pas présente à la sortie d’iOS14, mais arrivera par la suite.
  • protection d’utilisation du contenu du clipboard, qui ne sera plus accessible par défaut, mais soumis à autorisation de l’utilisateur à chaque fois. De même l’usage du micro et de la caméra des appareils par une application sera signalé de manière beaucoup plus explicite aux utilisateurs.
  • le trousseau d’accès Apple (qui permet de stocker les mots de passe de façon sécurisée sur les appareils et synchronisés dans iCloud) alertera les utilisateurs à chaque fois q’un identifiant stocké a été compromis. Une fonctionnalité offerte par les solutions concurrentes, telles que Dashlane ou 1Password.
  • un plus grand contrôle des utilisateurs sur les extensions installées dans Safari (par exemple autorisation temporaire, et pour un site spécifique seulement).
  • toujours dans Safari, un bouton spécifique est ajouté qui permet en un clic de faire afficher tous les trackeurs en cours sur la page visitée.
  • les fenêtres de  MacOS2 auront des bords arrondis ….non, c’est une blague 🙂

 

Zoom : chiffrement pour tous (et finalement aussi pour les comptes gratuits…)

ZoomLe service de vidéoconférence Zoom a connu des hauts et des bas au cours des derniers mois, marqués par de problèmes de sécurités, des affirmations de chiffrement assez trompeuses dans un contexte ou l’entreprise voyait son nombre d’utilisateurs explosé (multiplié par 20 en 1 mois). Après avoir prévu de mettre en place le chiffrement de bout en bout ( E2EE) pour les clients payants et uniquement ces derniers, la société a fait marche arrière et affirme que les utilisateurs gratuits le verront arriver également avec une version bêta en juillet.

Zoom a détaillé ceci pour les appels vidéo dans un article de blog. Zoom a fait part de son travail sur GitHub et a annoncé que E2EE s’adressera à « tous nos utilisateurs dans le monde entier – comptes gratuits ou payants » et qu’il s’agira d’un « module complémentaire » facultatif.

Aujourd’hui, Zoom a publié un nouveau design pour l’E2EE sur GitHub. En précisant :

« Nous sommes également heureux de partager que nous avons identifié une voie à suivre qui équilibre le droit légitime de tous les utilisateurs à la vie privée et la sécurité des utilisateurs sur notre plateforme. Cela nous permettra d’offrir E2EE comme une fonction complémentaire avancée pour tous nos utilisateurs dans le monde entier – gratuite et payante – tout en conservant la possibilité de prévenir et de combattre les abus sur notre plateforme« .

Quelques détails complémentaires données par l’entreprise :

  • Tous les utilisateurs de Zoom continueront à utiliser l’AES 256 GCM comme chiffrement par défaut, l’une des normes les plus strictes actuellement en vigueur.
  • E2EE sera une fonction optionnelle car elle limite certaines fonctionnalités de réunion, comme la possibilité d’inclure les lignes téléphoniques traditionnelles PSTN ou les systèmes de salle de conférence matériels SIP/H.323.
  • Les hôtes basculeront E2EE sur la base d’une réunion par réunion ou non.
  • Les administrateurs de compte peuvent activer et désactiver E2EE au niveau du compte et du groupe.
« Entrées précédentes Derniers articles »