Archives des étiquettes : Securite

Zoom : dans la tempête, une session de discussion avec Eric Yuan son CEO

Eric ZoomLa « Decacorn » (40 Milliards de $ de capitalisation) Zoom  est dans la tourmente du fait des nombreux problèmes de sécurité (Failles) mais aussi et surtout de confidentialité découverts à l’occasion de son utilisation intensive en mode gratuit. En plein succès, alors que le nombre d’utilisateurs est passé de 10 millions début mars à 200 millions actuellement, ces failles font désordre

Alors quoi de mieux pour répondre aux inquiétudes légitimes des clients que de faire une petite conférence Zoom avec le PDG ?

Le fondateur et CEO de Zoom, Eric Yuan, se propose donc d’animer un gigantesque Q&A avec toute la planète ce soir avec cette accroche :

« Veuillez vous joindre à nous pour une conversation franche avec Eric pendant que nous répondrons à vos questions en direct. Nos meilleures idées et dernières innovations viennent de nos clients, nous aimerions avoir de vos nouvelles« .

Si cela vous tente suivez ce lien pour vous inscrire (à 19h ce soir) : Sans surprise se sera en anglais mais  interprété en direct en français, allemand, espagnol et portugais.

Confidentialité et sécurité dans Teams

Capture d’écran 2020-04-06 à 16.06.08.pngSurfant sur le buzz négatif autour de Zoom (c’est de bonne guerre), Jared Spataro (Corporate Vice President for Microsoft 365) s’est fendu d’un intéressant billet de blog résumant les différentes approches poursuivies par Microsoft afin de garantir la sécurité et la confidentialité des données de Microsoft Teams. Rien de neuf, mais cela constitue un bonne synthèse des moyens mis en oeuvre, et permet donc de se « rafraichir » les idées en la matière.

Son message est structuré en 5 parties qui recouvrent très largement les usages de Teams en entreprise, mais plus largement la gestion des données utilisateurs, les bonnes pratiques et les standards, avec des pointeurs à partir de chaque élément permettant d’accéder à plus de détails :

  • les contrôles Teams dédiés à la sécurité et la confidentialité pendant les conférences vidéo avec Teams. On retrouve ici les fonctions déjà présentes dans Skype Entreprise, telles que les options de réunions, les salles d’attente virtuelles… et des fonctions purement Teams, telles que par exemple les canaux privés et la modération des canaux.
  • les pratiques du business Microsoft, telles que pas de collecte d’info à but publicitaire, pas de tracking des activités des participants à un meeting Teams (par exemple pour identifier ceux qui font plusieurs autres choses en plus du meeting :)), et rappel des règles de protection des infos utilisateurs, après une finde souscription ou vis à vis d’autorités gouvernementales indélicates …
  • la protection des identités et des accès : J.Spataro rappelle ici les fonctions de MFA (authentification Multi Facteurs), les accès conditionnels, la protection des appareils avec Microsoft EndPoint Protection …
  • la protection des données et la défense contre les cybermenaces : avec le cryptage des données, les fonctions de DLP (Data Loss Prevention), ou Advanced Threat Protection et Cloud App Security.
  • un rappel des principaux standards et règlementations auxquels Microsoft se conforme dans ce domaine : de la notion de Barrières d’information, aux fonctions d’eDiscovery, en passant par les principaux standards tels que RGDP, FedRamp ou Soc.

Le monde merveilleux de l’IoT peut vite devenir un cauchemar

De retour de notre mission d’étude aux USA sur le sujet de l’Internet des objets (IoT) et de l’IA, tous les acteurs ont insisté, Cisco et Microsoft en tête, sur l’importance de la sécurité des réseaux, des systèmes et des accès. C’est effectivement un point clé pour que le monde merveilleux des objets connectés ne se transforme pas demain en notre pire cauchemar…

Capture d_écran 2018-10-19 à 18.30.43

Si connecter de multiples objets, orchestrer leur fonctionnement est sans aucun doute une avancée technologique passionnante les dangers sont réels si tout ne se fait pas de façon sécurisé, si la moindre brèche dans un système est exploitée.

l’IoT ne présente actuellement que peu d’éléments de standardisation, tout au moins partagés par tous. Le foisonnement des solutions, des protocoles, des tentatives de chaque acteur pour « standardiser » son approche rend ce terrain de jeu très interessant. On se retrouve un peu comme au temps du début de la micro-informatique où les éléments assemblés communiquaient difficilement les uns avec les autres, dans des OS à petites diffusion, des protocoles d’échange interne non standardisé ne serait-ce que pour faire fonctionner un écran avec l’unité centrale ! Ceci rendait la chose amusante pour le bidouilleur (on ne disait pas Geek encore à cette époque :)). L’analogie peut également se faire entre la micro informatique de l’époque qui était à l’informatique ce que la domotique est à l’IoT aujourd’hui.

Il est normal que comme pour toute technologie naissante, il existe des problèmes de jeunesse qui font que tout est loin d’être parfait, qu’il faille trouver des passerelles, des contournements, etc. Seulement, voilà, ce n’est plus un jeu, les choses ont changé : tout ceci est connecté. Une expérimentation dans un coin avec un objet pas suffisamment sécurisé peut avoir des conséquences très importantes.

Lire la suite

Compromission de données, le 1er semestre 2018 confirme la tendance (à la hausse)

CadenasAfin que l’arbre Cambridge Analytica ne cache pas la forêt des problèmes liés à la perte ou au vol de données sur Internet, il est intéressant de suivre le travail de Gemalto, société internationale de sécurité numérique qui publie régulièrement son Breach Level Index (Indice de niveau de violation), disponible depuis peu avec les nouvelles découvertes de violations de données concernant le premier semestre 2018.

Selon le rapport de Gemalto, 945 violations de données ont été révélées publiquement et ont entraîné la compromission de 4,5 milliards d’enregistrements de données dans le monde entier au cours de cette période.

Gemalto 1H18

Soit une augmentation de 133 % du nombre d’enregistrements perdus, volés ou compromis par rapport au premier semestre 2017, avec cependant, une sensible diminution du nombre d’intrusions au cours de la période cette année. Ceci permet de remarquer une hausse de la gravité de chaque incident mais aussi une augmentation du nombre de données détenues par les entreprises.

Concernant les industries les plus touchées par les violations, selon Gemalto, le secteur des soins de santé est en tête en termes de nombre de violations avec 27 % du total des violations du second semestre 2018. Cependant, les médias sociaux surclassent tous les autres secteurs en nombre d’enregistrements compromis avec 56 % du total des enregistrements du semestre avec Facebook en avril (2,2 milliards de comptes compromis) et Twitter en mars (336 millions de comptes accidentellement perdus).

Rappelons que depuis du lancement par Gemalto en 2013 de son « Breach Level Index », le nombre de données compromises référencées s’élève à 13,5 milliards !

Microsoft annonce une préversion publique d’Azure Confidential Computing

CadenasMicrosoft a annoncé, parmi série d’initiatives concernant la sécurité, la préversion du service Azure Confidential Computing, qui permet le traitement « confidentiel » des données.

La plupart de fournisseurs de solutions Cloud proposent la protection des contenus au repos ou en transit. Dans le premier cas, ils chiffrent les données ; dans le second, elles sont transmises par un canal sécurisé. D’après Microsoft, la pièce manquante du puzzle réside dans la capacité à protéger les données pendant leur utilisation, et c’est là qu’intervient Azure Confidential Computing qui introduit une notion d’environnement d’exécution sécurisé.

Azure confidenyial computing

On parle ici d’une portion isolée de processeur et de mémoire qui empêche que le code et les données en son sein soient visibles ou modifiables de l’extérieur. Dans la pratique, Microsoft implémente la fonctionnalité en s’appuyant sur une solution matérielle d’Intel (Software Guard Extension – SGX) et sur Virtual Secure Mode (VSM) qui est une bulle sécurisée s’appuyant sur Hyper-V disponible avec Windows 10 et Windows Server 2016 pour l’isolation du reste de l’OS de processus sensibles.

Des évolutions intéressantes dans le licencing d’Azure Active Directory

CadenasAzure Active Directory, la solution de Microsoft pour la gestion des identités dans le Cloud est disponible en quatre éditions (Gratuite, Basique, Premium P1 et Premium P2) en plus d’être utilisé par les applications Office 365. A chaque édition correspond, pour un prix croissant, des fonctionnalités plus nombreuses et des limitations repoussées. Les éditions Premium P1 et Premium P2 étant aussi intégrées dans les éditions E3 et E5 de la suite de sécurité Enterprise Mobility + Security.

Mais quelques modifications intéressantes (pour les entreprises) ont été remarquées par Jean-Sébastien Duchene et font l’objet d’un billet dans son blog MicrosoftTouch. Le garçon étant plutôt bien renseigné, je me permets de relayer l’information, en la complétant légèrement afin de la rendre compréhensible pour les non-initiés :

1. Les entreprises peuvent maintenant acheter le service Azure AD Identity Protection pour un sous ensemble d’utilisateurs. Cette fonctionnalité permet de détecter les vulnérabilités potentielles qui affectent les identités de votre organisation, de configurer des réponses automatiques aux actions suspectes détectées, et d’examiner les incidents suspects afin de prendre les mesures appropriées pour les résoudre. Elle nécessite Azure AD Premium P2 (l’édition la plus chère) mais ne peut être considérée comme étant vraiment utile que pour certains comptes utilisateurs sensibles.

2. Les clients Azure AD Premium 1 (P1) peuvent maintenant activer les restrictions basées sur le proxy dans l’accès conditionnel. Les stratégies d’accès conditionnel permettent d’intégrer des critères (emplacement réseau, appareil géré, connexion à risque, etc.) qui vont permettre de limiter l’accès aux applications cloud ou de forcer une authentification multi-facteurs. La localisation des connexions transitant par un proxy est un des critères.

conditional access

3. Les clients Azure AD Premium 1 (P1) peuvent utiliser des solutions d’authentification à facteurs multiples (MFA) tierces. Cette fonctionnalité est en preview et permet de compléter (ou remplacer) Azure Multi-Factor Authentication.

MFA

Voilà donc des évolutions qui vont dans le bon sens pour faciliter la mise en œuvre d’une infrastructure de gestion des identités plus sécurisée.

Sécurité : Deux passerelles importantes entre les mondes Microsoft et Google dans le domaine de l’authentification ont été dévoilées

Logo sécuritéToute notion de sécurité informatique repose sur la possibilité pour un utilisateur, une machine ou un processus de fournir une identité numérique, et que celle-ci puisse être vérifiée lors d’un processus dit d’authentification dont le but est de vérifier que le « secret » associé est valide.

Avec la rapide adoption des services applicatifs proposés dans le Cloud différents fournisseurs d’identités se sont imposés, tels que Microsoft avec Azure Active Directory ou Google avec Google Account, sans bien sûr oublier Facebook. Mais ce sont des mondes généralement assez indépendants surtout si l’on sort du cadre d’une simple authentification en « B2C » à un site Web sécurisé.

Mais manifestement les choses commencent à changer, avec deux annonces récentes :

Le blog Chrome Story suggère qu’il sera bientôt possible de se connecter à Windows 10 en utilisant les informations de son compte Google.

Authentification Google MS

Cette nouvelle fonctionnalité devrait s’appuyer un « Credential Provider de Google » afin de permettre à Windows d’authentifier les utilisateurs grâce à leur compte entreprise G Suite ou à leur compte Google standard. Tous les détails techniques sont proposés sur le site BleepingComputer.

De plus Mary Jo Foley indique dans son blog que la fédération entre les identités Google Gmail et Azure Active directory B2B est maintenant possible.

Authentification Google MS 2

Cette annonce est importante puisque si Azure AD B2C permet une certaine ouverture vers d’autres fournisseurs d’identité dans le Cloud, Azure AD B2B (qui est utilisé par Office 365 et les partenaires B2B de Microsoft), ne s’appuyait jusqu’alors que sur des identités Azure ou « Microsoft Account ».

« Entrées précédentes