Cela fait déjà quelques années que Microsoft pourfend les gardiens de Botnets et chasse les « ring » de pirates en général et les vendeurs de copies illicites de Windows et Office en particulier. Cela fait des années que Microsoft collabore avec les polices de différentes nations, FBI en tête. Une activité qui est adroitement exploitée par une armada de directeurs marketing et renforcée par une flottille d’avocats tenaces. Les dernières années ont vu la MS-Cybercrime Unit régler leur compte à quelques réseaux de Bots de petites et moyennes envergures. Un « si vis bellum, para bellum » arborant l’étendard du Microsoft Active Response for Security, alias Mars.
La récente inauguration d’un « state-of-the-art Cybercrime Center » n’est que la continuation de cette politique de contre-attaque quasi systématique assez « nord-américaine » dans sa conception de l’auto-défense. Un document explicatif rédigé pour l’occasion dresse un tableau plus qu’inquiétant d’Internet. A sa lecture, que l’Europe semble malade des botnets ! Cette thermographie du cybercrime peut être, doit être rapprochée d’une autre description Microsoftienne de la Pax Informatica, présentant « Microsoft in Public Safety & National Security ». La National Security, c’est celle des Etats-Unis en premier chef.
La création de ce centre est donc avant tout un message destiné au marché intérieur, à destination d’un public considérant qu’en l’absence de représentant de la Loi, c’est au citoyen ou à l’entreprise de la faire appliquer, par la force si nécessaire. L’Internet qui craint le « Far West », l’internet de la libre entreprise et de la chasse au cyberterroriste applaudit à deux mains. Mais le reste du monde, autrement dit 80 % des usagers, continue de croire que l’application de la loi relève encore, exclusivement, des attributs régaliens des Etats-Nation.
Le magazine NPR titre « Les patrons des services de renseignement souhaitent anticiper les fuites sur les flicages ». Pour Keith Alexander, le patron de la NSA, communiquer un peu plus en amont permettrait de désamorcer des bombes médiatiques telles que celles lancées par Edward Snowden. Lequel Snowden serait parti avec près de 200 000 documents, dont la grande majorité aurait dû être déjà rendue publique afin de couper l’herbe sous les pieds du « whistleblower ». Un article bourré de bons sentiments qui s’achève sur une phrase précisant qu’avant toute publication, la NSA devrait considérer quels secrets pourraient être divulgués sans porter atteinte à la sécurité nationale. Or, le propre d’un service d’espionnage n’est-il pas de considérer que tout relève de la sécurité nationale ?
Jusqu’à présent, les critiques tombaient drues sur l’échine des développeurs d’appliquettes pour périphériques mobiles : trous de sécurité, droits exorbitants, absence de respect des règles de codage les plus élémentaires… C’est injuste, déclarent cinq universitaires du département des Sciences informatiques de la South Carolina State University,) dans une étude d’une douzaine de pages. Les principaux fautifs sont les constructeurs de téléphones mobiles eux-mêmes, à commencer par LG, Samsung, HTC, Sony et Google. Près de 60 % des vulnérabilités comptabilisées sont des défauts « système » et non applicatifs. Pis encore, les applications « maison » et adaptations diverses intégrées par ces constructeurs bénéficient de privilèges d’exploitation trop élevés et injustifiés dans 85% des cas. Et les révélations ne s’arrêtent pas là . Si, statistiquement, le nombre de vulnérabilités a légèrement (très légèrement) diminué entre Android2.x et 4.x, la criticité des failles a augmenté. L’origine principale de ces trous de sécurité se trouve dans les « customisation », les adaptations propriétaires des éditeurs. Sur les modèles Sony testés, entre 65 à 85% des failles découvertes dépendaient « d’améliorations logicielles et add-on » du constructeur. Entrent dans cette catégorie « d’amélioration » des applications d’éditeurs tiers qui sont installées par défaut dans l’appareil mobile, applications qu’un usager ne saurait a priori mettre en doute. A ceci s’ajoute l’abandon assez rapide du support des anciens noyaux et anciennes plateformes pour d’évidentes raisons marketing et de course à la nouveauté. Ceci sans mentionner la complicité passive des opérateurs, tous pays confondus, qui refusent de « pousser » sur leur réseau les mises à jour et correctifs critiques.
Les principaux administrateurs de réseaux sociaux sont dans leurs petits souliers. Après la fuite d’identité d’Adobe la semaine passée (une « paille » de 153 millions d’identités) et en vertu du principe général que 80 % des internautes emploient un même jeu d’identifiant/mot de passe pour l’ensemble de leurs services en ligne, beaucoup tablent sur une vague d’usurpation de comptes sans précédent. Facebook en tête, tous demandent à leurs abonnés de changer leur sésame le plus rapidement possible, surtout après qu’ait été révélée l’extrême légèreté avec laquelle Adobe avait archivé les inscriptions de ses clients. Paul Dunkin, de Sophos, a d’ailleurs rédigé à ce sujet un article fort clair : identifiant de l’usager sous format lisible (50% de la sécurité de connexion est déjà compromise), indice de récupération de mot de passe en clair, nom d’utilisateur (en clair, toujours), adresse email, mot de passe chiffré (et non seulement le hachage/salage)… Deux mots de passe identiques fournis par deux personnes différentes ont pour résultat, dans ce cas, la même chaîne hexadécimale. Si l’on ajoute à ceci le fait que l’algorithme utilisé serait, selon les experts de Sophos, un vieil RC4, on peut estimer que la course aux « accès gratuits » est ouverte dans tous les centres de cracking, du Tonkin jusqu’en Chine …
RMS (pour Active Directory Rights Management Services) est une planète relativement inconnue de l’univers Microsoft. D’une part parce qu’il s’agit d’un gestionnaire de DRM et que les DRM ont mauvaise presse, d’autre part parce qu’il était frappé d’une certaine forme d’autisme : Microsoft RMS ne protégeait que des documents Microsoft (gamme Office, Sharepoint, Outlook, Infopath), dans le cadre restreint d’un domaine piloté par les ADS et n’acceptant que des clients Windows. Une vision très microsoftienne du monde qui a permis à RMS de connaître le succès que l’on sait, autrement dit quasiment aucun.
Les choses risquent de changer avec une nouvelle version considérablement plus ouverte et « cloudifiée ». De manière lapidaire, RMS devient un service Azure, accessible gratuitement pour les particuliers. Quand bien même l’usager serait allergique au Cloud Microsoft qu’il lui suffit d’utiliser son « identité sociale virtuelle », compte Google Gmail ou Hotmail/Skype (phase encore en cours de développement, prévue pour 2014).
Pour les entreprises, il s’agit d’un service à ajouter dans les ADS Azure, et dans ce cas, la gestion des licences s’effectue en mode kiosque à raison de 2$ par poste environ. Une licence qui n’est nécessaire que si le poste est créateur de document, et non simple consommateur de contenu protégé à l’instar de tous les autres services drm concurrents.
Les formats de fichiers ne se limitent plus aux seuls Doc et XLS maison, et incluent désormais les formats les plus courants, tels que Gif, pdf, tiff, jpeg etc. Des API offrent aux développeurs d’intégrer le mode de protection RMS dans leurs programmes. Les formats plus exotiques ou d’applications étrangères peuvent être également protégés a posteriori dans un containeur indéchiffrable hormis par le destinataire qui, de son côté, doit posséder une application d’ouverture de containeur paramétré avec ses droits d’ouverture associés. Cette approche est certes plus lourde mais plus universelle. Que les fichiers soient encapsulés ou nativement générés à la sauce RMS, ils bénéficient du même niveau de gestion des droits : visualisation, édition, copie, impression, logon nécessaire à chaque ouverture de fichier, date d’expiration sont autant de règles pouvant être associées à un fichier transmis en fonction du niveau de confidentialité que l’on envisage d’appliquer
Mais l’évolution la plus importante de RMS est probablement son portage sur des plateformes non Windows et plus particulièrement : OSX, IOS et Android. Ce qui signifie que les documents protégés peuvent circuler dans un environnement Byod hétérogène. Ajoutons qu’en ces temps de suspicion barbouzesque et de doutes sur la solidité des outils de chiffrement offerts par les éditeurs (surtout ceux provenant de l’autre côté de l’Atlantique) que la partie « crypto » peut être confiée à un équipement dédié certifié. RMS est compatible par exemple avec les HSM de Thales.
L’équipe de développement de RMS a rédigé un billet de blog plus approfondi sur les caractéristiques de ce service.
Repartir avec une vision globale de la situation, enjeux et intérêt d’une bonne administration de la sécurité. A commencer par Risques & Menaces d’une mauvaise gestion puis Conseils et Stratégie présentés par de nombreux experts en sécurité sans oublier « La Minute Juridique » pendant laquelle des avocats répondront à toutes les questions du public et donneront des nouvelles des toutes dernières législations et jurisprudences qui impacteront leur travail au quotidien. Une matinée qui s’achèvera autour d’une table ronde dédiée à la problématique de la matinée. RSSI, CSO, DSI, Direction, expert IT, juridique, responsable production, CIL … tout le monde est concerné par l’administration de la sécurité ne serait-ce que pour parer la fuite des données et les accès non désirés
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les experts IT, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les menaces actuelles et à venir qui guettent le SI. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
Repartir avec une vision globale de la situation, enjeux et intérêt d’une bonne administration de la sécurité. A commencer par Risques & Menaces d’une mauvaise gestion puis Conseils et Stratégie présentés par de nombreux experts en sécurité sans oublier « La Minute Juridique » pendant laquelle des avocats répondront à toutes les questions du public et donneront des nouvelles des toutes dernières législations et jurisprudences qui impacteront leur travail au quotidien. Une matinée qui s’achèvera autour d’une table ronde dédiée à la problématique de la matinée. RSSI, CSO, DSI, Direction, expert IT, juridique, responsable production, CIL … tout le monde est concerné par l’administration de la sécurité ne serait-ce que pour parer la fuite des données et les accès non désirés
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8
Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise, les experts IT, les CIL, les avocats et juristes et DRH de l’entreprise, les consultants également. Tous sont concernés par les menaces actuelles et à venir qui guettent le SI. Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.
…et préférez leur TLS1.2, écrit William Peteroy du Microsoft Response Team. Son court billet de blog rappelle l’histoire de RC4, précise que TLS 1.2 est activé par défaut dans Internet Explorer 11, et explique comment, en trois coups de Regedit dans KLM/Sys, éliminer toute trace de cet algorithme de chiffrement.
Le « patch Tuesday » Microsoft de Novembre ne compte que 8 rustines et colmate 19 trous. Mais des trous mémorables, des trous d’anthologie. Trois correctifs sont considérés comme critiques. Les bouchons les plus importants seront probablement le MS13-088, traditionnelle réparation d’Internet Explorer (10 vulnérabilités « signalées confidentielles ») et une faille ActiveX MS13-090 (utilisant donc un contenu Web via Internet Explorer) , deux ZDE exploitables à distance. La liste des correctifs du mois est publiée comme de tradition sur le Technet.
Chez Adobe, outre quelques menues fuites d’identité, on résorbe deux failles CVE-2013-5329, CVE-2013-5330 dans Flash Player.
Le Clusif a dressé, à l’occasion d’une conférence thématique donnée le 24 octobre dernier, un bilan du référenciel général de sécurité(RGS) destiné aux administrations. Plus qu’une succession de procédures et de contrôle, le RGS est un « état d’esprit », pour reprendre l’expression de Lazaro Pejsachowicz. Un état d’esprit qui permet d’adapter un ensemble de bonnes pratiques tant à l’échelle de tout un Ministère que d’une petite collectivité territoriale.
Des bonnes pratiques qui évoluent avec le temps, qui s’adaptent au terrain, avec une « version 2.0 » du RGS qui comprendra notamment des propositions de qualification de produits et services sur des périodes plus longues qu’auparavant. La sortie du RGS 2.0P se confond d’ailleurs avec l’arrivée des prestataires d’audit de sécurité, les Passi.
Mais beaucoup de chemin reste à parcourir pour vendre l’idée du RGS auprès des responsables de petites structures (mairies de petites agglomérations notamment), afin d’englober d’autres secteurs pour l’instant encore négligés, tels le stockage des données ou la dynamique de réaction face à de nouvelles cybermenaces.
Une synthèse de cette journée est disponible sur le cycle du Clusif, le détail des interventions, pour l’instant réservé aux membres de l’association, sera rendu public le 24 avril prochain.