Archives des étiquettes : Securite

Zoom : dans la tempête, une session de discussion avec Eric Yuan son CEO

Eric ZoomLa « Decacorn » (40 Milliards de $ de capitalisation) Zoom  est dans la tourmente du fait des nombreux problèmes de sécurité (Failles) mais aussi et surtout de confidentialité découverts à l’occasion de son utilisation intensive en mode gratuit. En plein succès, alors que le nombre d’utilisateurs est passé de 10 millions début mars à 200 millions actuellement, ces failles font désordre

Alors quoi de mieux pour répondre aux inquiétudes légitimes des clients que de faire une petite conférence Zoom avec le PDG ?

Le fondateur et CEO de Zoom, Eric Yuan, se propose donc d’animer un gigantesque Q&A avec toute la planète ce soir avec cette accroche :

« Veuillez vous joindre à nous pour une conversation franche avec Eric pendant que nous répondrons à vos questions en direct. Nos meilleures idées et dernières innovations viennent de nos clients, nous aimerions avoir de vos nouvelles« .

Si cela vous tente suivez ce lien pour vous inscrire (à 19h ce soir) : Sans surprise se sera en anglais mais  interprété en direct en français, allemand, espagnol et portugais.

Confidentialité et sécurité dans Teams

Capture d’écran 2020-04-06 à 16.06.08.pngSurfant sur le buzz négatif autour de Zoom (c’est de bonne guerre), Jared Spataro (Corporate Vice President for Microsoft 365) s’est fendu d’un intéressant billet de blog résumant les différentes approches poursuivies par Microsoft afin de garantir la sécurité et la confidentialité des données de Microsoft Teams. Rien de neuf, mais cela constitue un bonne synthèse des moyens mis en oeuvre, et permet donc de se « rafraichir » les idées en la matière.

Son message est structuré en 5 parties qui recouvrent très largement les usages de Teams en entreprise, mais plus largement la gestion des données utilisateurs, les bonnes pratiques et les standards, avec des pointeurs à partir de chaque élément permettant d’accéder à plus de détails :

  • les contrôles Teams dédiés à la sécurité et la confidentialité pendant les conférences vidéo avec Teams. On retrouve ici les fonctions déjà présentes dans Skype Entreprise, telles que les options de réunions, les salles d’attente virtuelles… et des fonctions purement Teams, telles que par exemple les canaux privés et la modération des canaux.
  • les pratiques du business Microsoft, telles que pas de collecte d’info à but publicitaire, pas de tracking des activités des participants à un meeting Teams (par exemple pour identifier ceux qui font plusieurs autres choses en plus du meeting :)), et rappel des règles de protection des infos utilisateurs, après une finde souscription ou vis à vis d’autorités gouvernementales indélicates …
  • la protection des identités et des accès : J.Spataro rappelle ici les fonctions de MFA (authentification Multi Facteurs), les accès conditionnels, la protection des appareils avec Microsoft EndPoint Protection …
  • la protection des données et la défense contre les cybermenaces : avec le cryptage des données, les fonctions de DLP (Data Loss Prevention), ou Advanced Threat Protection et Cloud App Security.
  • un rappel des principaux standards et règlementations auxquels Microsoft se conforme dans ce domaine : de la notion de Barrières d’information, aux fonctions d’eDiscovery, en passant par les principaux standards tels que RGDP, FedRamp ou Soc.

Le monde merveilleux de l’IoT peut vite devenir un cauchemar

De retour de notre mission d’étude aux USA sur le sujet de l’Internet des objets (IoT) et de l’IA, tous les acteurs ont insisté, Cisco et Microsoft en tête, sur l’importance de la sécurité des réseaux, des systèmes et des accès. C’est effectivement un point clé pour que le monde merveilleux des objets connectés ne se transforme pas demain en notre pire cauchemar…

Capture d_écran 2018-10-19 à 18.30.43

Si connecter de multiples objets, orchestrer leur fonctionnement est sans aucun doute une avancée technologique passionnante les dangers sont réels si tout ne se fait pas de façon sécurisé, si la moindre brèche dans un système est exploitée.

l’IoT ne présente actuellement que peu d’éléments de standardisation, tout au moins partagés par tous. Le foisonnement des solutions, des protocoles, des tentatives de chaque acteur pour « standardiser » son approche rend ce terrain de jeu très interessant. On se retrouve un peu comme au temps du début de la micro-informatique où les éléments assemblés communiquaient difficilement les uns avec les autres, dans des OS à petites diffusion, des protocoles d’échange interne non standardisé ne serait-ce que pour faire fonctionner un écran avec l’unité centrale ! Ceci rendait la chose amusante pour le bidouilleur (on ne disait pas Geek encore à cette époque :)). L’analogie peut également se faire entre la micro informatique de l’époque qui était à l’informatique ce que la domotique est à l’IoT aujourd’hui.

Il est normal que comme pour toute technologie naissante, il existe des problèmes de jeunesse qui font que tout est loin d’être parfait, qu’il faille trouver des passerelles, des contournements, etc. Seulement, voilà, ce n’est plus un jeu, les choses ont changé : tout ceci est connecté. Une expérimentation dans un coin avec un objet pas suffisamment sécurisé peut avoir des conséquences très importantes.

Lire la suite

Compromission de données, le 1er semestre 2018 confirme la tendance (à la hausse)

CadenasAfin que l’arbre Cambridge Analytica ne cache pas la forêt des problèmes liés à la perte ou au vol de données sur Internet, il est intéressant de suivre le travail de Gemalto, société internationale de sécurité numérique qui publie régulièrement son Breach Level Index (Indice de niveau de violation), disponible depuis peu avec les nouvelles découvertes de violations de données concernant le premier semestre 2018.

Selon le rapport de Gemalto, 945 violations de données ont été révélées publiquement et ont entraîné la compromission de 4,5 milliards d’enregistrements de données dans le monde entier au cours de cette période.

Gemalto 1H18

Soit une augmentation de 133 % du nombre d’enregistrements perdus, volés ou compromis par rapport au premier semestre 2017, avec cependant, une sensible diminution du nombre d’intrusions au cours de la période cette année. Ceci permet de remarquer une hausse de la gravité de chaque incident mais aussi une augmentation du nombre de données détenues par les entreprises.

Concernant les industries les plus touchées par les violations, selon Gemalto, le secteur des soins de santé est en tête en termes de nombre de violations avec 27 % du total des violations du second semestre 2018. Cependant, les médias sociaux surclassent tous les autres secteurs en nombre d’enregistrements compromis avec 56 % du total des enregistrements du semestre avec Facebook en avril (2,2 milliards de comptes compromis) et Twitter en mars (336 millions de comptes accidentellement perdus).

Rappelons que depuis du lancement par Gemalto en 2013 de son « Breach Level Index », le nombre de données compromises référencées s’élève à 13,5 milliards !

Microsoft annonce une préversion publique d’Azure Confidential Computing

CadenasMicrosoft a annoncé, parmi série d’initiatives concernant la sécurité, la préversion du service Azure Confidential Computing, qui permet le traitement « confidentiel » des données.

La plupart de fournisseurs de solutions Cloud proposent la protection des contenus au repos ou en transit. Dans le premier cas, ils chiffrent les données ; dans le second, elles sont transmises par un canal sécurisé. D’après Microsoft, la pièce manquante du puzzle réside dans la capacité à protéger les données pendant leur utilisation, et c’est là qu’intervient Azure Confidential Computing qui introduit une notion d’environnement d’exécution sécurisé.

Azure confidenyial computing

On parle ici d’une portion isolée de processeur et de mémoire qui empêche que le code et les données en son sein soient visibles ou modifiables de l’extérieur. Dans la pratique, Microsoft implémente la fonctionnalité en s’appuyant sur une solution matérielle d’Intel (Software Guard Extension – SGX) et sur Virtual Secure Mode (VSM) qui est une bulle sécurisée s’appuyant sur Hyper-V disponible avec Windows 10 et Windows Server 2016 pour l’isolation du reste de l’OS de processus sensibles.

Des évolutions intéressantes dans le licencing d’Azure Active Directory

CadenasAzure Active Directory, la solution de Microsoft pour la gestion des identités dans le Cloud est disponible en quatre éditions (Gratuite, Basique, Premium P1 et Premium P2) en plus d’être utilisé par les applications Office 365. A chaque édition correspond, pour un prix croissant, des fonctionnalités plus nombreuses et des limitations repoussées. Les éditions Premium P1 et Premium P2 étant aussi intégrées dans les éditions E3 et E5 de la suite de sécurité Enterprise Mobility + Security.

Mais quelques modifications intéressantes (pour les entreprises) ont été remarquées par Jean-Sébastien Duchene et font l’objet d’un billet dans son blog MicrosoftTouch. Le garçon étant plutôt bien renseigné, je me permets de relayer l’information, en la complétant légèrement afin de la rendre compréhensible pour les non-initiés :

1. Les entreprises peuvent maintenant acheter le service Azure AD Identity Protection pour un sous ensemble d’utilisateurs. Cette fonctionnalité permet de détecter les vulnérabilités potentielles qui affectent les identités de votre organisation, de configurer des réponses automatiques aux actions suspectes détectées, et d’examiner les incidents suspects afin de prendre les mesures appropriées pour les résoudre. Elle nécessite Azure AD Premium P2 (l’édition la plus chère) mais ne peut être considérée comme étant vraiment utile que pour certains comptes utilisateurs sensibles.

2. Les clients Azure AD Premium 1 (P1) peuvent maintenant activer les restrictions basées sur le proxy dans l’accès conditionnel. Les stratégies d’accès conditionnel permettent d’intégrer des critères (emplacement réseau, appareil géré, connexion à risque, etc.) qui vont permettre de limiter l’accès aux applications cloud ou de forcer une authentification multi-facteurs. La localisation des connexions transitant par un proxy est un des critères.

conditional access

3. Les clients Azure AD Premium 1 (P1) peuvent utiliser des solutions d’authentification à facteurs multiples (MFA) tierces. Cette fonctionnalité est en preview et permet de compléter (ou remplacer) Azure Multi-Factor Authentication.

MFA

Voilà donc des évolutions qui vont dans le bon sens pour faciliter la mise en œuvre d’une infrastructure de gestion des identités plus sécurisée.

Sécurité : Deux passerelles importantes entre les mondes Microsoft et Google dans le domaine de l’authentification ont été dévoilées

Logo sécuritéToute notion de sécurité informatique repose sur la possibilité pour un utilisateur, une machine ou un processus de fournir une identité numérique, et que celle-ci puisse être vérifiée lors d’un processus dit d’authentification dont le but est de vérifier que le « secret » associé est valide.

Avec la rapide adoption des services applicatifs proposés dans le Cloud différents fournisseurs d’identités se sont imposés, tels que Microsoft avec Azure Active Directory ou Google avec Google Account, sans bien sûr oublier Facebook. Mais ce sont des mondes généralement assez indépendants surtout si l’on sort du cadre d’une simple authentification en « B2C » à un site Web sécurisé.

Mais manifestement les choses commencent à changer, avec deux annonces récentes :

Le blog Chrome Story suggère qu’il sera bientôt possible de se connecter à Windows 10 en utilisant les informations de son compte Google.

Authentification Google MS

Cette nouvelle fonctionnalité devrait s’appuyer un « Credential Provider de Google » afin de permettre à Windows d’authentifier les utilisateurs grâce à leur compte entreprise G Suite ou à leur compte Google standard. Tous les détails techniques sont proposés sur le site BleepingComputer.

De plus Mary Jo Foley indique dans son blog que la fédération entre les identités Google Gmail et Azure Active directory B2B est maintenant possible.

Authentification Google MS 2

Cette annonce est importante puisque si Azure AD B2C permet une certaine ouverture vers d’autres fournisseurs d’identité dans le Cloud, Azure AD B2B (qui est utilisé par Office 365 et les partenaires B2B de Microsoft), ne s’appuyait jusqu’alors que sur des identités Azure ou « Microsoft Account ».

Environ la moitié des administrations territoriales du Royaume-Uni utilisent des logiciels qui ne sont plus supportés et donc vulnérables

surpriseVous connaissez probablement le concept de « Freedom of Information Act » qui dans plus de 100 pays permet sous conditions l’accès à des informations détenues par des organismes publics, voire des informations concernant leur organisation. En France, c’est la Commission d’accès aux documents administratifs (CADA), créée en 1978, qui est compétente en la matière.

Et bien il se trouve qu’au Royaume-Uni cette procédure a été utilisée pour connaitre les versions des logiciels serveurs Microsoft qui sont obsolètes et encore utilisés par les différentes administrations territoriales du pays.

Cette étude, a été confiée à Comparex UK et à été menée auprès des responsables de la totalité des arrondissement londoniens, et ceux des différentes métropoles et comtés du pays.

Le résultat est édifiant, et en voici quelques pépites :

  • 24 % des « councils » interrogées ont déclaré utiliser encore Windows Server 2000 ou Windows Server 2003 en particulier, et 38 % utilisent encore Microsoft SQL Server 2005. Ces produits ne bénéficiant plus depuis au mieux 3 ans de toute forme de support par Microsoft. La quasi-totalité des structures interrogées ont l’intention de moderniser leur infrastructure IT … au cours des deux prochaines années.
  • 94 % utilisent encore Windows Server 2008 et Windows SQL Server 2008, alors que ces produits sont déjà en phase de support étendu et que leur prise en en charge prendra complètement fin d’ici deux ans. Mais surtout seulement 13% pour Windows Server et 9% pour SQL Server payent pour bénéficier de ce support étendu.

Donc le résultat net de cette étude est que 46 % des administrations territoriales du Royaume-Uni utilisent encore des logiciels critiques Microsoft qui ne peuvent plus depuis des années recevoir de correctifs de sécurité, alors qu’un OS comme Windows Server 2003 par exemple à officiellement 150 vulnérabilités critiques référencées dans la base CVE (Common Vulnerabilities and Exposures). Personnellement je trouve cela assez inquiétant, mais surtout je serais assez curieux de connaitre les conclusions d’une étude de cette nature menée en France à la suite d’une demande auprès de la CADA…

Le RGPD favorise-t-il les géants d’Internet sur le marché de la publicité ?

RGPDDepuis son entrée en vigueur le 25 mai 2018, le règlement général pour la protection des données (RGPD) instauré par l’Union Européenne, est censé donner quelques droits aux internautes européens quant à l’utilisation faite de leurs données par les opérateurs Internet ou plus globalement toute entreprise collectant des données personnelles, professionnelles ou critiques (médicales par exemple).

Mais ce RGPD a très tôt été critiqué pour son caractère assez vague concernant les obligations des entreprises (nous avons évoqué ce problème lors du Briefing Calipia de juin 2017), ce qui a rapidement aboutit à une certaine cacophonie quant aux mesures prises par les entreprises pour rester conformes à cette réglementation comme le décrivait en juin le site Digiday.

Si certaines entreprises pour limiter les risques ont suspendu temporairement leurs activités au sein de l’Union européenne ou ont simplement annoncé l’arrêt de leurs activités en ligne, les plus grosses ce son adaptée afin de juridiquement échapper à toute poursuite, comme Facebook qui a transféré la gestion de tous ses utilisateurs non européens ou américains (donc 1,5 milliards de personnes) de sa filiale Irlandaise à son siège en Californie.

De plus le flou concernant les mesures à prendre pour être en conformité à aboutit à différentes interprétations des acteurs du Net, qui utilisent des options d’adhésion (opt in) préalablement cochées, des options masquées que des consommateurs sont obligés de rechercher, des bannières de consentement dont les informations ne peuvent être atteintes qu’avec un clic supplémentaire et qui n’ont pas de bouton « Rejeter ». D’autres se servant du bouton dit « nuke button » qui permet à l’utilisateur de rejeter absolument tout sans même lui donner une idée de ce qu’il rejette ou accepte.

Donc le premier constat est que la mise en place de ce RGPD est assez loin d’être parfaite.

Mais il y a pire : une enquête de Reuters montre que les directives du règlement contribuent à renforcer la mainmise des géants tels que Google et Facebook sur le marché de la publicité au détriment de dizaines d’entreprises plus petites. En effet, Google, Facebook et d’autres grands du Web continuent à amasser et analyser des quantités colossales de données à travers des procédés « conformes au RGPD ». Lesquelles données pourront être exploitées par les annonceurs moyennant une forte rétribution du fait d’un manque de concurrence lié au fait que les sociétés plus petites, et elles sont nombreuses, n’ont pas à leur disposition les moyens de contourner la réglementation en vigueur.

Le RGPD, dont un des buts était de contraindre à une certaine éthique des acteurs comme Google et Facebook qui prospèrent sur la vente de nos données semble donc leur donner un avantage concurrentiel ! Personnellement j’hésite entre le rire et les larmes …

Le chiffrement de bout en bout pour Skype est disponible

CadenasAnnoncée en janvier pour les testeurs, la possibilité de chiffrer de bout en bout des conversations est maintenant disponible pour toutes les déclinaisons de Skype (Windows, MacOS, iOS, Android et Linux).

Durant une conversation privée les appels, messages, et transmissions audio / vidéo / images sont chiffrés en utilisant l’algorythme AES 256 bits. Mais la fonctionnalité va au-delà de la sécurisation du canal de communication, puisque par exemple les messages stockés sur les serveurs ne sont accessibles que par les participants.

Skype - chiffrement

L’option permettant le démarrage d’un échange chiffré de bout en bout est accessible dans le menu ou via le profil du destinataire qui se verra adresser un message lui indiquant que quelqu’un l’invite à rejoindre une conversation de ce type. En cas d’acceptation, une nouvelle fenêtre de conversation privée s’ouvrira alors.

« Entrées précédentes