Archives de Catégorie: Securite

WebAuthn devient un standard officiel (et c’est une bonne nouvelle)

Capture d’écran 2019-03-11 à 19.39.47Tandis que les entreprises cherchent à mettre en place des méthodes d’authentification plus sécurisées, dites multi facteurs (MFA) avec par exemple de la  vérification par SMS, par biométrie, par application mobile dédiée, etc. Dans ce cadre, l’authentification Web (WebAuthn) est une spécification qui permet aux utilisateurs de se connecter à des sites Web à l’aide de l’une de ces méthodes, largement adoptée par la plupart des principaux navigateurs.

Malgré une adoption assez conséquente, WebAuthn n’était pas encore un standard Web officiel. Aujourd’hui, le World Wide Web Consortium (W3C) et l’alliance FIDO (Fast IDentity Online) ont annoncé que WebAuthn avait été approuvé en tant que norme Web.

Autant ce réjouir de cette nouvelle. d’autant plus que celà renforce l’usage des clés FIDO ces clés qui présentent de nombreux avantages par rapport aux mots de passe, notamment le fait que les informations d’identification sont uniques pour chaque site Web et qu’elles ne sont jamais stockées sur un serveur. Cela devrait considérablement réduire le risque de vol de mots de passe et d’autres menaces de sécurité sur le Web.

Google introduit DuckDuckGo en tant que moteur de recherche possible par défaut dans Chrome

Capture d’écran 2019-03-14 à 12.34.14.pngAprès Apple qui a choisi le moteur DuckDuckGo comme moteur de recherche pour Apple Maps (à la place de Google), c’est au tour de Google lui même d’introduire DuckDuckGo comme moteur par défaut dans sa version Chrome 73. Cette nouvelle option sera proposée selon les marchés en complément des autres options déjà existantes : Bing, Qwant ou Yahoo. Pour l’instant pas de trace en France, mais les USA et la Grande Bretagne font partie des plus de 60 pays concernés par cette nouvelle possibilité.

DuckDuckGo est connu pour sa sensibilité quant à la collecte des données utilisateur réalisée, et Google n’a pas été insensible à cette qualité, surtout en période d’enquêtes multiples en Europe ou aux USA sur ses pratiques considérées comme abusives. Cela ne risque pourtant pas d’être suffisant pour éteindre les velléités des enquêteurs de tout poil…

Nous aborderons lors du prochain Briefing Calipia ces questions de choix de moteurs alternatifs à Google dans les navigateurs : Qwant, DuckDuckGo, Lilo.org, etc…et leur modèle économiques associés, histoire de ne pas retomber dans les mêmes problèmes 🙂

 

Microsoft annonce deux nouveaux services de sécurité (cloud) : Azure Sentinel et Threat Experts.

Microsoft a annoncé la semaine dernière les premières betas de deux nouveaux services de sécurité basés sur Azure : Azure Sentinel et Threat Experts.

Azure Sentinel est un outil de gestion des informations et des événements de sécurité (SIEM) natif qui s’exécute dans Azure. Ann Johnson, vice-présidente de la division Cybersécurité de Microsoft, a présenté Azure Sentinel comme « le premier SIEM dans le cloud intégré à une plate-forme majeure« . L’éditeur précise que Azure Sentinel avait été créé de toutes pièces en tant qu’outil de sécurité moderne pour la collecte, l’analyse et la présentation des données de sécurité des utilisateurs, des priphériques, des applications et de l’infrastructure, sur site et dans le cloud. Microsoft mlet en avant comme élément différentiateur de cette offre la connaissance de l’infrastructure locale et le couplage aux services cognitifs d’Azure (AI).

AzureSentinelDashboard

Microsoft a également mis en avant le potentiel de cet outil pour réduire à la fois la charge administrative des approches SIEM locales et le temps perdu en faux positifs (alertes SIEM sans importance). « Je n’ai pas besoin que des personnes soient chargées de la maintenance de l’infrastructure, des correctifs, des mises à niveau, etc. Je me suis concentré sur la recherche de menaces« , a déclaré Eric Doerr, le directeur général du Microsoft Security Response Center (MSRC) qui a mis en oeuvre en beta ce service pour les besoins propre de Microsoft en interne.

Interessant : Microsoft positionne son service dans le contexte de la pénurie de compétences humaines en matière de sécurité informatique. « Le paysage de la cybersécurité en est à un point où les attaquants ont un avantage en raison du manque de « cyberdéfendeurs » qualifiés. Avec un déficit estimé à plus de 3 millions de professionnels de la sécurité d’ici 2021, les « cyberdéfendeurs » ne sont tout simplement pas assez nombreux pour suivre la croissance de la cybercriminalité « . En effet les ingénieurs sécurités sont souvent plus occupés à répondre aux fausses alarmes plutôt qu’a répondre aux cas beaucoup plus complexe mais bien réels…

Le tarif n’a pas été défini pour Azure Sentinel. Il est actuellement gratuit (en beta) pour les clients Office 365 qui pourront importer des données dans l’outil gratuitement en tant qui resterons disponibles une fois le service ouvert.

L’autre service présenté : Threat Experts, est un «service de recherche de menaces géré» au sein de Windows Defender Advanced Protection contre les menaces (ATP), destiné aux centres d’opérations de sécurité.

Lire la suite

Les utilisateurs de Facebook sur Android peuvent maintenant supprimer la collecte masquée de leur localisation…

logo facebookIl était temps. Si l’option est déjà dispo depuis longtemps sur iOS, l’application vient d’être mise à jour sur Android pour enfin supprimer cette collecte masquée alors même que l’application n’était pas utilisée…

L’affaire n’est pas nouvelle : début 2018, la pratique de collecte des données de localisation de Facebook violait déja les lois sur la protection de la vie privée en Allemagne en particulier, sans que le géant de Menlo Park ne réagisse. C’est maintenant le cas et à l’instar de ce qui avait été fait à la demande d’Apple cette fois il y a plus d’un an, Les utilisateurs d’Android peuvent contrôler la collecte de données de localisation de Facebook en arrière-plan (qui reste bien sur par défaut active…).

Le Store Microsoft contenait quelques applications de minage de crypto-monnaies…

store windows 10Alors que le Store Microsoft semblait un des plus réputé en matière de sécurité, l’éditeur validant scrupuleusement toutes les applications (il faut dire aussi qu’il y a moins de travail à faire que sur le store Google ou Apple :)). Un nouveau rapport de la société Symantec affirme que la boutique Microsoft hébergeait plusieurs applications – potentiellement téléchargées par des milliers de personnes – exploitant des crypto-monnaies réalisant en sous tache du minage…

Dans un article de blog, Symantec a expliqué en détail comment elle avait trouvé au moins huit applications gratuites (maintenant supprimées par Microsoft) dans la boutique qui utilisait les ressources du processeur pour exploiter les crypto-monnaies sans l’autorisation de l’utilisateur. Ces applications fonctionnaient en arrière-plan et touchaient également les utilisateurs de Windows 10 S.

Bien que ces applications aient été créées sous trois noms de développeurs différents, l’inspection de leurs codes respectifs indique qu’elles pouvaient être créées par la même personne ou le même groupe de personnes.

Toutes les applications malveillantes en question étaient des applications Web encapsulées (PWA), qui ont commencé à envahir la boutique Microsoft en avril 2018. On se souvient de l’ouverture à ce type d’application par le géant de Redmond pour gonfler son magasin de nouveautés. Le rapport indique que ces applications minières ont été lancées dans la boutique entre avril et décembre 2018 et qu’elles ont collectivement totalisé plus de 1 900 avis. Cependant, le nombre de critiques et de téléchargements légitimes n’est pas précisé pour le moment, car ces chiffres peuvent être gonflés artificiellement pour améliorer la visibilité.

Le modèle des PWA est directement en cause dans ces problèmes. Une bibliothèque Javascript de Google (GTM) permet aux développeurs d’injecter du JavaScript de manière dynamique dans leurs applications. Cette technique peut alors être utilisé pour dissimuler des comportements malveillants ou risqués…

Microsoft met à jour son service Compliance Manager pour les services Cloud

Microsoft vient de mettre en place un nouvel espace de travail permettant aux entreprises sous Office 365 d’évaluer facilement les risques de conformité potentiels pour leurs organisations. L’outil Compliance Manager est ainsi utilisé pour suivre les activités de réglementation, en fournissant un score détaillé reflétant l’état de conformité  de l’entreprise tout en soulignant les points à améliorer. Une liste de contrôle, indiquant les étapes nécessaires à la protection des données ainsi q’une liste des applications non conformes est également affichées.

capture d_écran 2019-01-30 à 16.12.54Le Compliance Manager intègre les fonctionnalités suivantes :

  • Un résumé présentant les responsabilités partagées à la fois sur la protection des données et en matière de conformité aux normes et réglementations respectée par les plateformes Microsoft et de l’organisation, telles que ISO 27001: 2013, NIST 800-53, la loi HIPAA (Health Insurance Portability and Accountability Act), et bien sùr le Règlement Général de l’Union européenne sur la Protection des Données (RGPD).
  • Des outils de gestion et de suivi pour l’évaluation des risques permettant d’attribuer et de vérifier les tâches afin d’aider les équipes  de gestion des risques et de conformité  internes.

Si l’on prend ensuite la rubrique GDPR (RGPD) par exemple et que l’on regarde les actions à faire côté entreprise, il convient alors pour chacune des actions données par l’outil de désigner des personnes pour le suivi et planifier ses actions comme l’indique la copie ci-dessous :

capture d_écran 2019-01-30 à 16.14.41

 

La fuite de 773 millions d’adresses email !

Capture d’écran 2019-01-18 à 17.25.52.pngSelon Troy Hunt, spécialiste américain de la cyber sécurité, il s’agit d’une des plus importantes opérations de vols d’adresses mail. Stockées sur plusieurs fichiers provenant d’un compte du tristement célèbre service cloud MEGA, qui faisaient l’objet de discussions sur des forums de hackers, ces adresses mail auraient été aspirés à partir de plus de 2800 sites, mal protégés.

T.Hunt a agrégé les données de ces fichiers et recense ainsi plus de 770 millions d’adresses email et plus de 21 millions de mot de passe 😦

Si vous souhaitez savoir si l’une de vos adresses fait partie de ce gigantesque hack vous pouvez consulter le site Lire la suite

« Entrées précédentes Derniers articles »