Archives des étiquettes : Securite

Le monde merveilleux de l’IoT peut vite devenir un cauchemar

De retour de notre mission d’étude aux USA sur le sujet de l’Internet des objets (IoT) et de l’IA, tous les acteurs ont insisté, Cisco et Microsoft en tête, sur l’importance de la sécurité des réseaux, des systèmes et des accès. C’est effectivement un point clé pour que le monde merveilleux des objets connectés ne se transforme pas demain en notre pire cauchemar…

Capture d_écran 2018-10-19 à 18.30.43

Si connecter de multiples objets, orchestrer leur fonctionnement est sans aucun doute une avancée technologique passionnante les dangers sont réels si tout ne se fait pas de façon sécurisé, si la moindre brèche dans un système est exploitée.

l’IoT ne présente actuellement que peu d’éléments de standardisation, tout au moins partagés par tous. Le foisonnement des solutions, des protocoles, des tentatives de chaque acteur pour « standardiser » son approche rend ce terrain de jeu très interessant. On se retrouve un peu comme au temps du début de la micro-informatique où les éléments assemblés communiquaient difficilement les uns avec les autres, dans des OS à petites diffusion, des protocoles d’échange interne non standardisé ne serait-ce que pour faire fonctionner un écran avec l’unité centrale ! Ceci rendait la chose amusante pour le bidouilleur (on ne disait pas Geek encore à cette époque :)). L’analogie peut également se faire entre la micro informatique de l’époque qui était à l’informatique ce que la domotique est à l’IoT aujourd’hui.

Il est normal que comme pour toute technologie naissante, il existe des problèmes de jeunesse qui font que tout est loin d’être parfait, qu’il faille trouver des passerelles, des contournements, etc. Seulement, voilà, ce n’est plus un jeu, les choses ont changé : tout ceci est connecté. Une expérimentation dans un coin avec un objet pas suffisamment sécurisé peut avoir des conséquences très importantes.

Lire la suite

Compromission de données, le 1er semestre 2018 confirme la tendance (à la hausse)

CadenasAfin que l’arbre Cambridge Analytica ne cache pas la forêt des problèmes liés à la perte ou au vol de données sur Internet, il est intéressant de suivre le travail de Gemalto, société internationale de sécurité numérique qui publie régulièrement son Breach Level Index (Indice de niveau de violation), disponible depuis peu avec les nouvelles découvertes de violations de données concernant le premier semestre 2018.

Selon le rapport de Gemalto, 945 violations de données ont été révélées publiquement et ont entraîné la compromission de 4,5 milliards d’enregistrements de données dans le monde entier au cours de cette période.

Gemalto 1H18

Soit une augmentation de 133 % du nombre d’enregistrements perdus, volés ou compromis par rapport au premier semestre 2017, avec cependant, une sensible diminution du nombre d’intrusions au cours de la période cette année. Ceci permet de remarquer une hausse de la gravité de chaque incident mais aussi une augmentation du nombre de données détenues par les entreprises.

Concernant les industries les plus touchées par les violations, selon Gemalto, le secteur des soins de santé est en tête en termes de nombre de violations avec 27 % du total des violations du second semestre 2018. Cependant, les médias sociaux surclassent tous les autres secteurs en nombre d’enregistrements compromis avec 56 % du total des enregistrements du semestre avec Facebook en avril (2,2 milliards de comptes compromis) et Twitter en mars (336 millions de comptes accidentellement perdus).

Rappelons que depuis du lancement par Gemalto en 2013 de son « Breach Level Index », le nombre de données compromises référencées s’élève à 13,5 milliards !

Microsoft annonce une préversion publique d’Azure Confidential Computing

CadenasMicrosoft a annoncé, parmi série d’initiatives concernant la sécurité, la préversion du service Azure Confidential Computing, qui permet le traitement « confidentiel » des données.

La plupart de fournisseurs de solutions Cloud proposent la protection des contenus au repos ou en transit. Dans le premier cas, ils chiffrent les données ; dans le second, elles sont transmises par un canal sécurisé. D’après Microsoft, la pièce manquante du puzzle réside dans la capacité à protéger les données pendant leur utilisation, et c’est là qu’intervient Azure Confidential Computing qui introduit une notion d’environnement d’exécution sécurisé.

Azure confidenyial computing

On parle ici d’une portion isolée de processeur et de mémoire qui empêche que le code et les données en son sein soient visibles ou modifiables de l’extérieur. Dans la pratique, Microsoft implémente la fonctionnalité en s’appuyant sur une solution matérielle d’Intel (Software Guard Extension – SGX) et sur Virtual Secure Mode (VSM) qui est une bulle sécurisée s’appuyant sur Hyper-V disponible avec Windows 10 et Windows Server 2016 pour l’isolation du reste de l’OS de processus sensibles.

Des évolutions intéressantes dans le licencing d’Azure Active Directory

CadenasAzure Active Directory, la solution de Microsoft pour la gestion des identités dans le Cloud est disponible en quatre éditions (Gratuite, Basique, Premium P1 et Premium P2) en plus d’être utilisé par les applications Office 365. A chaque édition correspond, pour un prix croissant, des fonctionnalités plus nombreuses et des limitations repoussées. Les éditions Premium P1 et Premium P2 étant aussi intégrées dans les éditions E3 et E5 de la suite de sécurité Enterprise Mobility + Security.

Mais quelques modifications intéressantes (pour les entreprises) ont été remarquées par Jean-Sébastien Duchene et font l’objet d’un billet dans son blog MicrosoftTouch. Le garçon étant plutôt bien renseigné, je me permets de relayer l’information, en la complétant légèrement afin de la rendre compréhensible pour les non-initiés :

1. Les entreprises peuvent maintenant acheter le service Azure AD Identity Protection pour un sous ensemble d’utilisateurs. Cette fonctionnalité permet de détecter les vulnérabilités potentielles qui affectent les identités de votre organisation, de configurer des réponses automatiques aux actions suspectes détectées, et d’examiner les incidents suspects afin de prendre les mesures appropriées pour les résoudre. Elle nécessite Azure AD Premium P2 (l’édition la plus chère) mais ne peut être considérée comme étant vraiment utile que pour certains comptes utilisateurs sensibles.

2. Les clients Azure AD Premium 1 (P1) peuvent maintenant activer les restrictions basées sur le proxy dans l’accès conditionnel. Les stratégies d’accès conditionnel permettent d’intégrer des critères (emplacement réseau, appareil géré, connexion à risque, etc.) qui vont permettre de limiter l’accès aux applications cloud ou de forcer une authentification multi-facteurs. La localisation des connexions transitant par un proxy est un des critères.

conditional access

3. Les clients Azure AD Premium 1 (P1) peuvent utiliser des solutions d’authentification à facteurs multiples (MFA) tierces. Cette fonctionnalité est en preview et permet de compléter (ou remplacer) Azure Multi-Factor Authentication.

MFA

Voilà donc des évolutions qui vont dans le bon sens pour faciliter la mise en œuvre d’une infrastructure de gestion des identités plus sécurisée.

Sécurité : Deux passerelles importantes entre les mondes Microsoft et Google dans le domaine de l’authentification ont été dévoilées

Logo sécuritéToute notion de sécurité informatique repose sur la possibilité pour un utilisateur, une machine ou un processus de fournir une identité numérique, et que celle-ci puisse être vérifiée lors d’un processus dit d’authentification dont le but est de vérifier que le « secret » associé est valide.

Avec la rapide adoption des services applicatifs proposés dans le Cloud différents fournisseurs d’identités se sont imposés, tels que Microsoft avec Azure Active Directory ou Google avec Google Account, sans bien sûr oublier Facebook. Mais ce sont des mondes généralement assez indépendants surtout si l’on sort du cadre d’une simple authentification en « B2C » à un site Web sécurisé.

Mais manifestement les choses commencent à changer, avec deux annonces récentes :

Le blog Chrome Story suggère qu’il sera bientôt possible de se connecter à Windows 10 en utilisant les informations de son compte Google.

Authentification Google MS

Cette nouvelle fonctionnalité devrait s’appuyer un « Credential Provider de Google » afin de permettre à Windows d’authentifier les utilisateurs grâce à leur compte entreprise G Suite ou à leur compte Google standard. Tous les détails techniques sont proposés sur le site BleepingComputer.

De plus Mary Jo Foley indique dans son blog que la fédération entre les identités Google Gmail et Azure Active directory B2B est maintenant possible.

Authentification Google MS 2

Cette annonce est importante puisque si Azure AD B2C permet une certaine ouverture vers d’autres fournisseurs d’identité dans le Cloud, Azure AD B2B (qui est utilisé par Office 365 et les partenaires B2B de Microsoft), ne s’appuyait jusqu’alors que sur des identités Azure ou « Microsoft Account ».

Environ la moitié des administrations territoriales du Royaume-Uni utilisent des logiciels qui ne sont plus supportés et donc vulnérables

surpriseVous connaissez probablement le concept de « Freedom of Information Act » qui dans plus de 100 pays permet sous conditions l’accès à des informations détenues par des organismes publics, voire des informations concernant leur organisation. En France, c’est la Commission d’accès aux documents administratifs (CADA), créée en 1978, qui est compétente en la matière.

Et bien il se trouve qu’au Royaume-Uni cette procédure a été utilisée pour connaitre les versions des logiciels serveurs Microsoft qui sont obsolètes et encore utilisés par les différentes administrations territoriales du pays.

Cette étude, a été confiée à Comparex UK et à été menée auprès des responsables de la totalité des arrondissement londoniens, et ceux des différentes métropoles et comtés du pays.

Le résultat est édifiant, et en voici quelques pépites :

  • 24 % des « councils » interrogées ont déclaré utiliser encore Windows Server 2000 ou Windows Server 2003 en particulier, et 38 % utilisent encore Microsoft SQL Server 2005. Ces produits ne bénéficiant plus depuis au mieux 3 ans de toute forme de support par Microsoft. La quasi-totalité des structures interrogées ont l’intention de moderniser leur infrastructure IT … au cours des deux prochaines années.
  • 94 % utilisent encore Windows Server 2008 et Windows SQL Server 2008, alors que ces produits sont déjà en phase de support étendu et que leur prise en en charge prendra complètement fin d’ici deux ans. Mais surtout seulement 13% pour Windows Server et 9% pour SQL Server payent pour bénéficier de ce support étendu.

Donc le résultat net de cette étude est que 46 % des administrations territoriales du Royaume-Uni utilisent encore des logiciels critiques Microsoft qui ne peuvent plus depuis des années recevoir de correctifs de sécurité, alors qu’un OS comme Windows Server 2003 par exemple à officiellement 150 vulnérabilités critiques référencées dans la base CVE (Common Vulnerabilities and Exposures). Personnellement je trouve cela assez inquiétant, mais surtout je serais assez curieux de connaitre les conclusions d’une étude de cette nature menée en France à la suite d’une demande auprès de la CADA…

Le RGPD favorise-t-il les géants d’Internet sur le marché de la publicité ?

RGPDDepuis son entrée en vigueur le 25 mai 2018, le règlement général pour la protection des données (RGPD) instauré par l’Union Européenne, est censé donner quelques droits aux internautes européens quant à l’utilisation faite de leurs données par les opérateurs Internet ou plus globalement toute entreprise collectant des données personnelles, professionnelles ou critiques (médicales par exemple).

Mais ce RGPD a très tôt été critiqué pour son caractère assez vague concernant les obligations des entreprises (nous avons évoqué ce problème lors du Briefing Calipia de juin 2017), ce qui a rapidement aboutit à une certaine cacophonie quant aux mesures prises par les entreprises pour rester conformes à cette réglementation comme le décrivait en juin le site Digiday.

Si certaines entreprises pour limiter les risques ont suspendu temporairement leurs activités au sein de l’Union européenne ou ont simplement annoncé l’arrêt de leurs activités en ligne, les plus grosses ce son adaptée afin de juridiquement échapper à toute poursuite, comme Facebook qui a transféré la gestion de tous ses utilisateurs non européens ou américains (donc 1,5 milliards de personnes) de sa filiale Irlandaise à son siège en Californie.

De plus le flou concernant les mesures à prendre pour être en conformité à aboutit à différentes interprétations des acteurs du Net, qui utilisent des options d’adhésion (opt in) préalablement cochées, des options masquées que des consommateurs sont obligés de rechercher, des bannières de consentement dont les informations ne peuvent être atteintes qu’avec un clic supplémentaire et qui n’ont pas de bouton « Rejeter ». D’autres se servant du bouton dit « nuke button » qui permet à l’utilisateur de rejeter absolument tout sans même lui donner une idée de ce qu’il rejette ou accepte.

Donc le premier constat est que la mise en place de ce RGPD est assez loin d’être parfaite.

Mais il y a pire : une enquête de Reuters montre que les directives du règlement contribuent à renforcer la mainmise des géants tels que Google et Facebook sur le marché de la publicité au détriment de dizaines d’entreprises plus petites. En effet, Google, Facebook et d’autres grands du Web continuent à amasser et analyser des quantités colossales de données à travers des procédés « conformes au RGPD ». Lesquelles données pourront être exploitées par les annonceurs moyennant une forte rétribution du fait d’un manque de concurrence lié au fait que les sociétés plus petites, et elles sont nombreuses, n’ont pas à leur disposition les moyens de contourner la réglementation en vigueur.

Le RGPD, dont un des buts était de contraindre à une certaine éthique des acteurs comme Google et Facebook qui prospèrent sur la vente de nos données semble donc leur donner un avantage concurrentiel ! Personnellement j’hésite entre le rire et les larmes …

« Entrées précédentes