Securite | Calipia : le blog

Archives des étiquettes : Securite

Microsoft Defender pour Office 365 ajoute une protection pour les comptes plus sensibles

Publié le 15 avril 2022 par Stephane Sabbague Poster un commentaire

Microsoft a annoncé mercredi dernier la disponibilité de la version commerciale de la « protection différenciée des comptes prioritaires » dans Microsoft Defender pour les utilisateurs d’Office 365. Fonction qui permet aux administration de marquer les comptes de messagerie sensibles dans l’entreprise. Comme par exemple pour des cadres, des dirigeants, ou d’autres utilisateurs ayant accès à des informations sensibles.

Ces comptes marqués bénéficieraient d’une meilleure protection contre les menaces grâce aux processus d’apprentissage automatique de Microsoft associés au service Microsoft Defender for Office 365. Microsoft précise : qu’ en se concentrant sur ces ensembles d’utilisateurs spécifiques et sur les attaques qui les ciblent, ils ont pu améliorer les modèles d’apprentissage automatique pour offrir un niveau de protection plus élevé. Ils ont aussi été en mesure d’ajuster d’autres aspects des fonctions de protection, comme la façon dont les messages sont traités dans les « bacs à sables ». Microsoft active par défaut la fonction de compte prioritaire pour les abonnés concernés. Bien que les administrateurs puissent la désactiver.

Il est alors possible de voir les statistiques sur les comptes prioritaires en les filtrant dans la vue Threat Explorer de Microsoft Defender for Office 365. Interessant également : les étiquettes de comptes prioritaires fonctionnent également avec le processus de mise en quarantaine des e-mails, ce qui permet de voir « les e-mails malveillants qui ciblent ces comptes critiques ». Les attaques signalées par le biais d’une « nouvelle expérience unifiée des soumissions » sont « explicitement marquées et filtrées » pour les équipes de sécurité. Il est également possible de simuler des attaques sur des utilisateurs en fonction des étiquettes de comptes prioritaires pour tester l’ensemble ! Enfin, Microsoft a indiqué qu’il est également possible de créer des politiques d’alerte personnalisées dans Microsoft Defender pour Office 365.

Attention néanmoins, cette fonction n’est disponible que pour les abonnés à Microsoft Defender for Office 365 possédant des comptes Plan 2. La disponibilité inclut bien sûr également les comptes « Office 365 E5, Microsoft 365 E5, ou Microsoft 365 E5 Security ».

Nous reviendrons sur ces annonces lors du prochain Briefing Calipia avec une session dédiée sur les fonctions de sécurités offertes par Microsoft.

Microsoft met au point un nouveau modèle de Machine Learning pour détecter les attaques par « vaporisation de passwords »…

Publié le 29 octobre 2020 par Stephane Sabbague Poster un commentaire

Bon commençons par revenir sur ce qu’est la « Vaporisation de passwords » ou « Password spraying » en anglais. C’est une forme relativement grossière et courante de cyberattaque dans laquelle un acteur malveillant attaque des milliers d’IP avec quelques mots de passe couramment utilisés plutôt que d’essayer de nombreux mots de passe contre un seul utilisateur. Si cela indique que le taux de réussite par compte peut être assez faible mais que sur la masse cela marche… Problème : cette attaque est très difficile à détecter car elle est étalée sur plusieurs comptes dans un schéma de connexion qui peut paraitre normal, avec des erreurs courantes de saisie de mot de passe que ferait le véritable propriétaire du compte en question. Cette attaque ne peut être détectée sur plusieurs compte que si vous remarquez qu’une seule et même tentative avec le même « hash » échoue sur plusieurs comptes.

Voilà pour l’explication théorique de cette technique.

Pour contrer les attaques par « vaporisation de mots de passe », Microsoft avait auparavant mis au point un mécanisme heuristique dans lequel la société observait « la défaillance principale du système dans… le trafic mondial ! » et informait les organisations à risque. Aujourd’hui, la société a amélioré ce mécanisme en formant un nouvel algorithme de Machine Learning supervisé qui utilise des caractéristiques telles que la réputation IP, les propriétés de connexion inconnues et d’autres différences sur les comptes pour détecter quand un compte est attaqué.

Microsoft affirme que son nouveau modèle présente une augmentation de 100 % de la mémorisation par rapport à l’algorithme heuristique. Cela signifie qu’il détecte deux fois plus de comptes compromis. En outre, il a également une précision de 98%, ce qui signifie que si le modèle prétend qu’un compte a été victime d’une attaque par pulvérisation de mots de passe, alors cela est presque certainement vrai dans tous les cas… Un usage particulièrement interessant de l’IA donc, alors même que cette dernière est de plus en plus utilisée par les malfaiteurs eux-mêmes ! Une sorte de jeu du chat et de la souris…

Le nouveau modèle sera bientôt disponible pour les clients d’Azure AD Identity Protection, qui pourront l’utiliser via le portail et les API pour la protection de l’identité.

Zoom : dans la tempête, une session de discussion avec Eric Yuan son CEO

Publié le 22 avril 2020 par Stephane Sabbague Un commentaire

Eric Zoom La « Decacorn » (40 Milliards de $ de capitalisation) Zoom est dans la tourmente du fait des nombreux problèmes de sécurité (Failles) mais aussi et surtout de confidentialité découverts à l’occasion de son utilisation intensive en mode gratuit. En plein succès, alors que le nombre d’utilisateurs est passé de 10 millions début mars à 200 millions actuellement, ces failles font désordre…

Alors quoi de mieux pour répondre aux inquiétudes légitimes des clients que de faire une petite conférence Zoom avec le PDG ?

Le fondateur et CEO de Zoom, Eric Yuan, se propose donc d’animer un gigantesque Q&A avec toute la planète ce soir avec cette accroche :

« Veuillez vous joindre à nous pour une conversation franche avec Eric pendant que nous répondrons à vos questions en direct. Nos meilleures idées et dernières innovations viennent de nos clients, nous aimerions avoir de vos nouvelles« .

Si cela vous tente suivez ce lien pour vous inscrire (à 19h ce soir) : Sans surprise se sera en anglais mais interprété en direct en français, allemand, espagnol et portugais.

Confidentialité et sécurité dans Teams

Publié le 7 avril 2020 par Patrick Barriere Poster un commentaire

Capture d’écran 2020-04-06 à 16.06.08.png Surfant sur le buzz négatif autour de Zoom (c’est de bonne guerre), Jared Spataro (Corporate Vice President for Microsoft 365) s’est fendu d’un intéressant billet de blog résumant les différentes approches poursuivies par Microsoft afin de garantir la sécurité et la confidentialité des données de Microsoft Teams. Rien de neuf, mais cela constitue un bonne synthèse des moyens mis en oeuvre, et permet donc de se « rafraichir » les idées en la matière.

Son message est structuré en 5 parties qui recouvrent très largement les usages de Teams en entreprise, mais plus largement la gestion des données utilisateurs, les bonnes pratiques et les standards, avec des pointeurs à partir de chaque élément permettant d’accéder à plus de détails :

les contrôles Teams dédiés à la sécurité et la confidentialité pendant les conférences vidéo avec Teams. On retrouve ici les fonctions déjà présentes dans Skype Entreprise, telles que les options de réunions, les salles d’attente virtuelles… et des fonctions purement Teams, telles que par exemple les canaux privés et la modération des canaux.
les pratiques du business Microsoft, telles que pas de collecte d’info à but publicitaire, pas de tracking des activités des participants à un meeting Teams (par exemple pour identifier ceux qui font plusieurs autres choses en plus du meeting :)), et rappel des règles de protection des infos utilisateurs, après une finde souscription ou vis à vis d’autorités gouvernementales indélicates …
la protection des identités et des accès : J.Spataro rappelle ici les fonctions de MFA (authentification Multi Facteurs), les accès conditionnels, la protection des appareils avec Microsoft EndPoint Protection …
la protection des données et la défense contre les cybermenaces : avec le cryptage des données, les fonctions de DLP (Data Loss Prevention), ou Advanced Threat Protection et Cloud App Security.
un rappel des principaux standards et règlementations auxquels Microsoft se conforme dans ce domaine : de la notion de Barrières d’information, aux fonctions d’eDiscovery, en passant par les principaux standards tels que RGDP, FedRamp ou Soc.

Le monde merveilleux de l’IoT peut vite devenir un cauchemar

Publié le 23 octobre 2018 par Stephane Sabbague Poster un commentaire

De retour de notre mission d’étude aux USA sur le sujet de l’Internet des objets (IoT) et de l’IA, tous les acteurs ont insisté, Cisco et Microsoft en tête, sur l’importance de la sécurité des réseaux, des systèmes et des accès. C’est effectivement un point clé pour que le monde merveilleux des objets connectés ne se transforme pas demain en notre pire cauchemar…

Capture d_écran 2018-10-19 à 18.30.43

Si connecter de multiples objets, orchestrer leur fonctionnement est sans aucun doute une avancée technologique passionnante les dangers sont réels si tout ne se fait pas de façon sécurisé, si la moindre brèche dans un système est exploitée.

l’IoT ne présente actuellement que peu d’éléments de standardisation, tout au moins partagés par tous. Le foisonnement des solutions, des protocoles, des tentatives de chaque acteur pour « standardiser » son approche rend ce terrain de jeu très interessant. On se retrouve un peu comme au temps du début de la micro-informatique où les éléments assemblés communiquaient difficilement les uns avec les autres, dans des OS à petites diffusion, des protocoles d’échange interne non standardisé ne serait-ce que pour faire fonctionner un écran avec l’unité centrale ! Ceci rendait la chose amusante pour le bidouilleur (on ne disait pas Geek encore à cette époque :)). L’analogie peut également se faire entre la micro informatique de l’époque qui était à l’informatique ce que la domotique est à l’IoT aujourd’hui.

Il est normal que comme pour toute technologie naissante, il existe des problèmes de jeunesse qui font que tout est loin d’être parfait, qu’il faille trouver des passerelles, des contournements, etc. Seulement, voilà, ce n’est plus un jeu, les choses ont changé : tout ceci est connecté. Une expérimentation dans un coin avec un objet pas suffisamment sécurisé peut avoir des conséquences très importantes.

Compromission de données, le 1er semestre 2018 confirme la tendance (à la hausse)

Publié le 23 octobre 2018 par Pierre Bugnon Poster un commentaire

Cadenas Afin que l’arbre Cambridge Analytica ne cache pas la forêt des problèmes liés à la perte ou au vol de données sur Internet, il est intéressant de suivre le travail de Gemalto, société internationale de sécurité numérique qui publie régulièrement son Breach Level Index (Indice de niveau de violation), disponible depuis peu avec les nouvelles découvertes de violations de données concernant le premier semestre 2018.

Selon le rapport de Gemalto, 945 violations de données ont été révélées publiquement et ont entraîné la compromission de 4,5 milliards d’enregistrements de données dans le monde entier au cours de cette période.

Gemalto 1H18

Soit une augmentation de 133 % du nombre d’enregistrements perdus, volés ou compromis par rapport au premier semestre 2017, avec cependant, une sensible diminution du nombre d’intrusions au cours de la période cette année. Ceci permet de remarquer une hausse de la gravité de chaque incident mais aussi une augmentation du nombre de données détenues par les entreprises.

Concernant les industries les plus touchées par les violations, selon Gemalto, le secteur des soins de santé est en tête en termes de nombre de violations avec 27 % du total des violations du second semestre 2018. Cependant, les médias sociaux surclassent tous les autres secteurs en nombre d’enregistrements compromis avec 56 % du total des enregistrements du semestre avec Facebook en avril (2,2 milliards de comptes compromis) et Twitter en mars (336 millions de comptes accidentellement perdus).

Rappelons que depuis du lancement par Gemalto en 2013 de son « Breach Level Index », le nombre de données compromises référencées s’élève à 13,5 milliards !

Microsoft annonce une préversion publique d’Azure Confidential Computing

Publié le 4 octobre 2018 par Pierre Bugnon Poster un commentaire

Cadenas Microsoft a annoncé, parmi série d’initiatives concernant la sécurité, la préversion du service Azure Confidential Computing, qui permet le traitement « confidentiel » des données.

La plupart de fournisseurs de solutions Cloud proposent la protection des contenus au repos ou en transit. Dans le premier cas, ils chiffrent les données ; dans le second, elles sont transmises par un canal sécurisé. D’après Microsoft, la pièce manquante du puzzle réside dans la capacité à protéger les données pendant leur utilisation, et c’est là qu’intervient Azure Confidential Computing qui introduit une notion d’environnement d’exécution sécurisé.

Azure confidenyial computing

On parle ici d’une portion isolée de processeur et de mémoire qui empêche que le code et les données en son sein soient visibles ou modifiables de l’extérieur. Dans la pratique, Microsoft implémente la fonctionnalité en s’appuyant sur une solution matérielle d’Intel (Software Guard Extension – SGX) et sur Virtual Secure Mode (VSM) qui est une bulle sécurisée s’appuyant sur Hyper-V disponible avec Windows 10 et Windows Server 2016 pour l’isolation du reste de l’OS de processus sensibles.

Des évolutions intéressantes dans le licencing d’Azure Active Directory

Publié le 4 septembre 2018 par Pierre Bugnon Poster un commentaire

Cadenas Azure Active Directory, la solution de Microsoft pour la gestion des identités dans le Cloud est disponible en quatre éditions (Gratuite, Basique, Premium P1 et Premium P2) en plus d’être utilisé par les applications Office 365. A chaque édition correspond, pour un prix croissant, des fonctionnalités plus nombreuses et des limitations repoussées. Les éditions Premium P1 et Premium P2 étant aussi intégrées dans les éditions E3 et E5 de la suite de sécurité Enterprise Mobility + Security.

Mais quelques modifications intéressantes (pour les entreprises) ont été remarquées par Jean-Sébastien Duchene et font l’objet d’un billet dans son blog MicrosoftTouch. Le garçon étant plutôt bien renseigné, je me permets de relayer l’information, en la complétant légèrement afin de la rendre compréhensible pour les non-initiés :

1. Les entreprises peuvent maintenant acheter le service Azure AD Identity Protection pour un sous ensemble d’utilisateurs. Cette fonctionnalité permet de détecter les vulnérabilités potentielles qui affectent les identités de votre organisation, de configurer des réponses automatiques aux actions suspectes détectées, et d’examiner les incidents suspects afin de prendre les mesures appropriées pour les résoudre. Elle nécessite Azure AD Premium P2 (l’édition la plus chère) mais ne peut être considérée comme étant vraiment utile que pour certains comptes utilisateurs sensibles.

2. Les clients Azure AD Premium 1 (P1) peuvent maintenant activer les restrictions basées sur le proxy dans l’accès conditionnel. Les stratégies d’accès conditionnel permettent d’intégrer des critères (emplacement réseau, appareil géré, connexion à risque, etc.) qui vont permettre de limiter l’accès aux applications cloud ou de forcer une authentification multi-facteurs. La localisation des connexions transitant par un proxy est un des critères.

conditional access

3. Les clients Azure AD Premium 1 (P1) peuvent utiliser des solutions d’authentification à facteurs multiples (MFA) tierces. Cette fonctionnalité est en preview et permet de compléter (ou remplacer) Azure Multi-Factor Authentication.

MFA

Voilà donc des évolutions qui vont dans le bon sens pour faciliter la mise en œuvre d’une infrastructure de gestion des identités plus sécurisée.

Actualité

Sécurité : Deux passerelles importantes entre les mondes Microsoft et Google dans le domaine de l’authentification ont été dévoilées

Publié le 2 septembre 2018 par Pierre Bugnon Poster un commentaire

Toute notion de sécurité informatique repose sur la possibilité pour un utilisateur, une machine ou un processus de fournir une identité numérique, et que celle-ci puisse être vérifiée lors d’un processus dit d’authentification dont le but est de vérifier que le « secret » associé est valide.

Avec la rapide adoption des services applicatifs proposés dans le Cloud différents fournisseurs d’identités se sont imposés, tels que Microsoft avec Azure Active Directory ou Google avec Google Account, sans bien sûr oublier Facebook. Mais ce sont des mondes généralement assez indépendants surtout si l’on sort du cadre d’une simple authentification en « B2C » à un site Web sécurisé.

Mais manifestement les choses commencent à changer, avec deux annonces récentes :

Le blog Chrome Story suggère qu’il sera bientôt possible de se connecter à Windows 10 en utilisant les informations de son compte Google.

Authentification Google MS

Cette nouvelle fonctionnalité devrait s’appuyer un « Credential Provider de Google » afin de permettre à Windows d’authentifier les utilisateurs grâce à leur compte entreprise G Suite ou à leur compte Google standard. Tous les détails techniques sont proposés sur le site BleepingComputer.

De plus Mary Jo Foley indique dans son blog que la fédération entre les identités Google Gmail et Azure Active directory B2B est maintenant possible.

Authentification Google MS 2

Cette annonce est importante puisque si Azure AD B2C permet une certaine ouverture vers d’autres fournisseurs d’identité dans le Cloud, Azure AD B2B (qui est utilisé par Office 365 et les partenaires B2B de Microsoft), ne s’appuyait jusqu’alors que sur des identités Azure ou « Microsoft Account ».

Actualité

Environ la moitié des administrations territoriales du Royaume-Uni utilisent des logiciels qui ne sont plus supportés et donc vulnérables

Publié le 27 août 2018 par Pierre Bugnon Poster un commentaire

surprise Vous connaissez probablement le concept de « Freedom of Information Act » qui dans plus de 100 pays permet sous conditions l’accès à des informations détenues par des organismes publics, voire des informations concernant leur organisation. En France, c’est la Commission d’accès aux documents administratifs (CADA), créée en 1978, qui est compétente en la matière.

Et bien il se trouve qu’au Royaume-Uni cette procédure a été utilisée pour connaitre les versions des logiciels serveurs Microsoft qui sont obsolètes et encore utilisés par les différentes administrations territoriales du pays.

Cette étude, a été confiée à Comparex UK et à été menée auprès des responsables de la totalité des arrondissement londoniens, et ceux des différentes métropoles et comtés du pays.

Le résultat est édifiant, et en voici quelques pépites :

24 % des « councils » interrogées ont déclaré utiliser encore Windows Server 2000 ou Windows Server 2003 en particulier, et 38 % utilisent encore Microsoft SQL Server 2005. Ces produits ne bénéficiant plus depuis au mieux 3 ans de toute forme de support par Microsoft. La quasi-totalité des structures interrogées ont l’intention de moderniser leur infrastructure IT … au cours des deux prochaines années.
94 % utilisent encore Windows Server 2008 et Windows SQL Server 2008, alors que ces produits sont déjà en phase de support étendu et que leur prise en en charge prendra complètement fin d’ici deux ans. Mais surtout seulement 13% pour Windows Server et 9% pour SQL Server payent pour bénéficier de ce support étendu.

Donc le résultat net de cette étude est que 46 % des administrations territoriales du Royaume-Uni utilisent encore des logiciels critiques Microsoft qui ne peuvent plus depuis des années recevoir de correctifs de sécurité, alors qu’un OS comme Windows Server 2003 par exemple à officiellement 150 vulnérabilités critiques référencées dans la base CVE (Common Vulnerabilities and Exposures). Personnellement je trouve cela assez inquiétant, mais surtout je serais assez curieux de connaitre les conclusions d’une étude de cette nature menée en France à la suite d’une demande auprès de la CADA…

Actualité

« Entrées précédentes