Archives de Catégorie: Securite

Microsoft promet plus de transparence dans la collecte d’infos avec Office 365 ProPlus

Capture d’écran 2019-05-03 à 07.48.19.pngAprès s’être fait taper sur les doigts par le gouvernement néerlandais en novembre dernier pour un manque de transparence dans les données collectées (à but de télémétrie pour améliorer les services) auprès des utilisateurs d’abonnement Office 365 ProPlus (et de tous les plans intégrant Office 365 ProPlus, comme E3, E5, Microsoft 365 …), Microsoft a annoncé le 30 avril dernier un effort pour accroitre la transparence de cette collecte d’une part et d’autre part le contrôle des utilisateurs sur les infos remontées. Microsoft est certainement loin d’être le plus mauvais élève en terme de collecte des données utilisateurs et avait déjà diffusé des outils(ex : Tableau de bord Télémétrie) pour permettre aux entreprises de disposer d’un certain niveau de contrôle sur les données remontées. Avec les annonces du 30 avril, l’éditeur souhaite d’abord donner plus de visibilité à ce qui est déjà disponible et aller encore plus loin, pour se dégager des accusations de non conformité RGPD émises par les autorités néerlandaises.

Si vous êtes intéressés, vous trouverez sur cette page une synthèse de ce qui est maintenant à disposition des IT pros en entreprises pour contrôler le niveau des collectes.

Les mésaventures de Tchap, la messagerie instantanée cryptée de l’état français

Capture d’écran 2019-04-19 à 17.05.53Tchap (c’est son nom) est l’application de messagerie instantanée cryptée de bout en bout, développée par la DINSIC (la Direction Interministérielle du Numérique et du Système d’Information et de Communication de l’État). Elle est disponible sur les stores d’Apple et de Google depuis jeudi 18 avril, et vise bien entendu à remplacer les WhatsApp, Télégram et autre Signal dans les échanges entre les agents de l’état, auxquels elle est réservée.

Tchap a été développée sur la plateforme Open Source Riot, créée par la société franco-britannique New Vector (comme quoi même à l’heure du Brexit, il est toujours possible de travailler avec des anglais :)), autour du protocole de communication Matrix (lui aussi Open Source) et la DINSIC a mis à disposition le code source de Tchap sur GitHub pour permettre à d’autres organisations de construire leur propre solution sur ces bases.

Mais l’enfer est pavé de bonnes intentions, puisqu’à peine ouvert, un spécialiste de sécurité, Baptiste Robert, a identifié une faille permettant à n’importe qui de se créer un compte Tchap et de s’immiscer dans des espaces normalement sécurisés. Pour cela il suffisait de modifier son email en ajoutant en fin de celui-ci le nom d’un domaine de l’administration, tel que par ex patrick.barriere@calipia.com@presidence@elysee.fr.

La faille a été comblée dans la journée, mais bon çà fait quand même mauvaise effet, surtout quand on a pour maman la DINSIC et pour marraine l’ANSSI (Agence Nationale de la Sécurité des Systèmes d’Information)….

 

 

Comptes mails hackés : Microsoft aussi!

Capture d’écran 2019-04-16 à 17.27.15.png
Microsoft a informé directement un certain nombre d’utilisateurs de ses services mails gratuits (MNS, hotmail, Outlook.com) qu’entre le 1er janvier et le 31 mars de cette année leurs comptes avaient subi des attaques. Des pirates auraient compromis les cr »dentials d’une personne chargé du support de ces solutions pour obtenir l’accès aux données d’utilisateurs.

Le nombre exact de comptes concernés ainsi que les informations auxquelles les pirates ont eu accès restent encore pour le moment inconnu. Microsoft aurait confirmé que ses utilisateurs entreprises n’avaient pas été touché, et que les contenus des messages concernés n’avaient pas été exposés aux pirates, seuls les adresses des destinataires, les objets des messages ou les noms des dossiers auraient été visibles. Pour autant, dans les différents échanges auxquels la révélation de cette opération a donné lieu, Microsoft n’a pas été aussi tranché quant à la limitation du périmètre de la faille.

Microsoft recommande aux utilisateurs contactés de modifier leurs mots de passe, ce que d’ailleurs tout utilisateur d’une des plateformes mails concernées devrait également faire.

Huawei : de sérieuses vulnérabilités pourraient être exploitées…

Capture d’écran 2019-03-28 à 17.46.00Selon le Financial Times qui cite un rapport  du Huawei Cyber ​​Security Evaluation Centre (HCSEC), une organisation créée par le Centre de cybersécurité national du Royaume-Uni afin d’évaluer les risques que pose l’utilisation des équipements de Huawei dans des infrastructures nationales critiques et les réseaux 5G en particulier, le constructeur chinois aurait de sérieux problèmes avec des vulnérabilités persistantes.

Le rapport note que « Si un attaquant connaît ces vulnérabilités et dispose d’un accès suffisant pour les exploiter, il peut affecter le fonctionnement du réseau » et même « accéder au trafic utilisateur ou à la reconfiguration des éléments du réseau« 

Le rapport du HCSEC n’indique pas avoir trouvé des preuves directes d’espionnage soutenu par la Chine mais critique la «compétence en matière de cybersécurité» de Huawei, qui pourrait être une cible facile en cas d’attaque : « le HCSEC a détecté de graves vulnérabilités dans les produits Huawei examinés. Plusieurs centaines de vulnérabilités et problèmes ont été signalés aux opérateurs britanniques pour éclairer leur gestion des risques et leur résolution en 2018. Certaines vulnérabilités identifiées dans des versions antérieurs des produits continuent d’exister. ”. Le rapport complet est accessible ici.

Ce rapport alimente aussi une fois de plus les suspicions sur le constructeur chinois alors que les États-Unis sont sur le point d’interdire l’utilisation des équipements de Huawei dans ses prochains réseaux 5G et feraient pression sur leurs alliés pour qu’ils fassent de même. L’Australie et la Nouvelle-Zélande ont déjà interdit ou bloqué l’utilisation de l’équipement, et le Canada devrait également faire de même dans les semaines qui viennent…

Windows Defender ATP devient Microsoft Defender ATP… et arrive sur Mac

Microsoft Defender ATPSi vous suivez la galaxie des produits de sécurité Microsoft vous connaissez sans aucun doute WIndows Defender ATP : la technologies de protection contre les menaces avancées de Windows Defender. Et bien il faudra désormais appelé ce service Microsoft Defender ATP qui devient du coup disponible pour macOS.

Microsoft a également annoncé une Threat and Vulnerability Management (TVM), qui permet de « découvrir, hiérarchiser et corriger les vulnérabilités connues et les erreurs de configuration qui sont exploitées par les hackers ».

Cette fonction promet d’obtenir :

  • des informations de détection en temps réel corrélées avec les vulnérabilités identifiées
  • de préciser le contexte de vulnérabilité de la machine
  • le processus de correction intégrés via Intune et Microsoft System Center Configuration Manager

Microsoft Defender ATP pour Mac est disponible en beta restreinte. Microsoft a annoncé que la fonction TVM sera également intégrée à la version Mac.

Ces nouveautés seront disponibles vraisemblablement le mois prochain. Nous reviendrons dans le détail sur les différents produits de sécurité Microsoft lors d’une présentation du prochain Briefing Calipia en juin (plus d’informations en suivant ce lien).

WebAuthn devient un standard officiel (et c’est une bonne nouvelle)

Capture d’écran 2019-03-11 à 19.39.47Tandis que les entreprises cherchent à mettre en place des méthodes d’authentification plus sécurisées, dites multi facteurs (MFA) avec par exemple de la  vérification par SMS, par biométrie, par application mobile dédiée, etc. Dans ce cadre, l’authentification Web (WebAuthn) est une spécification qui permet aux utilisateurs de se connecter à des sites Web à l’aide de l’une de ces méthodes, largement adoptée par la plupart des principaux navigateurs.

Malgré une adoption assez conséquente, WebAuthn n’était pas encore un standard Web officiel. Aujourd’hui, le World Wide Web Consortium (W3C) et l’alliance FIDO (Fast IDentity Online) ont annoncé que WebAuthn avait été approuvé en tant que norme Web.

Autant ce réjouir de cette nouvelle. d’autant plus que celà renforce l’usage des clés FIDO ces clés qui présentent de nombreux avantages par rapport aux mots de passe, notamment le fait que les informations d’identification sont uniques pour chaque site Web et qu’elles ne sont jamais stockées sur un serveur. Cela devrait considérablement réduire le risque de vol de mots de passe et d’autres menaces de sécurité sur le Web.

Google introduit DuckDuckGo en tant que moteur de recherche possible par défaut dans Chrome

Capture d’écran 2019-03-14 à 12.34.14.pngAprès Apple qui a choisi le moteur DuckDuckGo comme moteur de recherche pour Apple Maps (à la place de Google), c’est au tour de Google lui même d’introduire DuckDuckGo comme moteur par défaut dans sa version Chrome 73. Cette nouvelle option sera proposée selon les marchés en complément des autres options déjà existantes : Bing, Qwant ou Yahoo. Pour l’instant pas de trace en France, mais les USA et la Grande Bretagne font partie des plus de 60 pays concernés par cette nouvelle possibilité.

DuckDuckGo est connu pour sa sensibilité quant à la collecte des données utilisateur réalisée, et Google n’a pas été insensible à cette qualité, surtout en période d’enquêtes multiples en Europe ou aux USA sur ses pratiques considérées comme abusives. Cela ne risque pourtant pas d’être suffisant pour éteindre les velléités des enquêteurs de tout poil…

Nous aborderons lors du prochain Briefing Calipia ces questions de choix de moteurs alternatifs à Google dans les navigateurs : Qwant, DuckDuckGo, Lilo.org, etc…et leur modèle économiques associés, histoire de ne pas retomber dans les mêmes problèmes 🙂

 

« Entrées précédentes Derniers articles »