Noyé dans le flot des études de fin d’année, cette analyse du cabinet EY intitulée Cybersecurity regained : preparing to face cyber-attacks.
Mais ladite étude ne prétend pas dresser un tableau du champ de bataille de la SSI. Elle se penche surtout sur l’avis, le ressenti de responsables et de cadres d’entreprise qui ne sont pas nécessairement des spécialistes de la question. Or, il ne peut y avoir de bonne SSI sans une certaine compréhension de la vision qu’en ont les dirigeants, qu’ils soient à la tête d’une PME ou d’une multinationale.
Peu de surprise donc lorsqu’une grande partie du risque perçu (60%) est attribuée à des « careless or unaware employees ». L’erreur humaine n’est d’ailleurs pas très bien définie. S’agit-il d’une mauvaise politique de sécurité ou de l’usage abusif de ressources non protégées (ainsi Deloitte, Uber) ou est-ce un retour en force du sentiment de défiance envers les employés n’appartenant pas à l’infrastructure du S.I. l (fuites d’information involontaires par exemple, ou lanceurs d’alerte). Paradoxalement, le risque lié aux accès non autorisés est en perte de vitesse comparativement aux années précédentes (37%en 2017, 44% l’an passé), alors que les principales « grandes affaires de hack » ont été, ces 300 derniers jours, directement liées à des accès extérieurs particulièrement non autorisés.
Lorsqu’auprès de la population interrogée, l’on aborde la question de la menace, toute cohérence des propos disparaît. Ex-aequo, dans 64% des craintes, viennent le phishing et… les malwares. Les attaques internes arrivent loin derrière, citées dans seulement 25% des cas. Les notions entre risques et menaces sont donc clairement comprises. D’un côté la crainte fantasmatique, de l’autre la réalité des agressions quotidiennes.
Deux chiffres, cependant, viennent contrebalancer cette vision simpliste de la sécurité numérique : 17 et 89. 17% c’est la (très faible) proportion des comités de direction qui estiment posséder une certaine connaissance en matière de cybersécurité ou ayant une appréhension assez précise du risque cyber. 89 % estiment que leurs fonctions/dotations en cybersécurité ne correspond pas aux besoins de l’entreprise. En d’autres termes « effectivement, on n’y comprend pas grand-chose, et oui, nous sommes démunis ». C’est là peut-être le premier pas vers une véritable écoute des RSSI.
Chaque fin d’année, l’Owasp publie ses « 10 commandements » du développeur Web sachant sécuriser. Les erreurs humaines se suivant et se ressemblant, rares sont les bouleversements en termes de vulnérabilités potentielles. Le dernier classement fait mentir cette habitude.
Le tiercé gagnant des attaques est sans surprise : Injection, violation de session, XSS. Cela change à la quatrième place qui voit le retour d’un classique presque oublié, la violation du contrôle d’accès. Viennent ensuite les inévitables « config par défaut » et assimilées ainsi que l’accès aux données sensibles. L’actualité 2017 en a fourmillé. A la septième place, un genre de risque nouveau, la protection insuffisante aux attaques (autrement dit l’absence de mise en place de mécanismes automatiques ou manuels de détection, prévention et réponse à des agressions externes). Une manière comme une autre de plaider en faveur d’une généralisation des campagnes de test de pénétration et des outils d’application de correctifs automatiques. La huitième marche du podium est occupée par les attaques CSRF, la neuvième par l’exploitation de vulnérabilités référencées et non colmatées, et la dixième (ce sera la troisième nouveauté du classement) concerne les attaques visant les API. Une émergence, explique les techniciens de l’Owasp, par la généralisation des applications écrites en Javascript, lesquelles font appel à des API pour collecter des données. Or, sécuriser les API se heurte à deux écueils : l’hétérogénéité de plateforme entre l’émetteur de données (parfois distant) et l’application Web, et surtout la multiplicité des protocoles et plateformes (SOAP/XML, REST/JSON, RPC… ) qui rendent toute protection ou vérification par des logiciels de sécurité ou campagne de pentesting excessivement difficiles, voir impossibles.
Dans le but de toujours améliorer l’ergonomie des sites, les principaux administrateurs Web publics font appel aux bons offices de scripts fournis par des sociétés spécialisées dans l’analyse comportementale des usagers : hésitations dans la frappe clavier, curseur de souris désorienté, passage de pages en pages volontaire ou stochastique… une collection de réactions humaines qui passe par l’enregistrement des séquences de touches et mouvements de souris dans le but de « rejouer » les scenarii de visite.
Seulement voilà … cette analyse « discrète et anonyme » n’est pas anonyme du tout, affirme Steven Englehardt, chercheur à l’Université de Princetown. Son premier article, No boundaries: Exfiltration of personal data by session-replay scripts , passe en revue les six outils les plus utilisés par les 400 plus gros serveurs web de la planète.
Dans bien des cas, et contrairement aux affirmations des administrateurs de sites, chaque enregistrement peut être directement lié à la personne (ou au compte utilisateur, ce qui revient au même) ayant effectué la navigation. En outre, il est fréquent que les données capturées soient stockées en clair. Et ce que le script « Full Story » accepte de ne pas recueillir, celui de SessionCam, HotJar ou Yandex le capturera, au moins partiellement.
La grande majorité de ces scripts gardent la trace du nom, email, téléphone, adresse, numéro de sécurité sociale, date de naissance, numéro de carte de crédit, son CVC et sa date d’expiration. Seul le mot de passe est soit ignoré, soit masqué. Que l’un des services requérant ces informations en vienne à utiliser l’un de ses outils, et toutes les mesures de politique de sécurité qu’il pourrait déployer seraient vaines, car les outils donnant accès aux données collectées se font sur une page http (donc via un échange non chiffré) quand bien même la session utilisateur aurait eu lieu sur une page https. C’est le cas de Yandex, Hotjar et Smartlook. Cette « déprotection by design» s’étend même aux données contenues dans la page avec Yandex et Hotjar. De ce fait, une attaque Man in the Middle en aval de la console d’administration se transformera en session « open bar » pour tout collectionneur de données sensibles.
Hélas, même les outils installés côté client et prétendant garantir un « do not track » échouent en partie dans leur mission de préservation des données personnelles conclut Englehardt à la fin de son premier chapitre. Les épisodes suivants seront-ils aussi dramatiques ?
Le cabinet d’analyse Forrester publie une étude prospective sur l’évolution à court terme de l’Internet des Objets. Beaucoup d’évidences, mais certains pronostics semblent quelque peu hardis. Le tour de l’étude en 5 points :
– De plus en plus de développements IoT exploiteront des services interactifs vocaux… après Alexa, Siri et autres Cortana, ces techniques pourraient être intégrées par des acteurs de moindre importance. Hypothèse d’autant plus probable que rien n’interdit aux Gafa de revendre leurs technologies en marque blanche
– De nouvelles dispositions et règlementations en Europe autoriseront la commercialisation des données collectées par l’IoT… sur ce point, Forrester s’avance peut-être un peu. Certes, il ne peut exister de rentabilisation de l’IoT à très grande échelle que par le traitement Big Data. Mais en l’absence de tout opérateur Européen capable de jouer au Big Data, il est peu probable que les acteurs de l’Internet des Objets de la zone Europe fassent ce cadeau à leurs concurrents potentiels aux USA. A moins que cela ne fasse l’objet d’un accord de réciprocité, genre « mes données contre ton marché de l’IoT ». En outre, RGPD oblige, l’expatriation des données pourrait bien soulever quelques oppositions, tant des associations de consommateurs que des défenseurs des libertés individuelles et CNIL d’Europe.
– Malgré une croissance soutenue, le marché des IoT « haut-parleurs et montres intelligentes » va finir par se stabiliser et demeurer au stade du marché de niche. En d’autres termes, les « early adopters » geekesques ne peuvent constituer une preuve certaine de l’existence d’un marché. L’IoT ne sera pas un marché de yupies. Il y a fort à parier qu’Amazon ou Google ne partagent pas cette vision, les fameux « haut-parleurs » en question constituant le bras armé de leur réseau de vente.
– En revanche, c’est dans le domaine industriel que l’IoT aura sa raison d’être, là où le traitement par des datacenters et des Clouds internes pourra interagir avec des flottes de composants situés dans une proximité géographique restreinte. Limites fixées par des impératifs de simplicité d’administration/configuration, de sécurité, de maintenance, de temps de latence. En d’autres termes, une sorte de contrôle de processus industriel « 2.0 ».
– Il n’y aura pas d’IoT viable tant que les mécanismes de gestion, monitoring, contrôle et mise à jour à distance ne seront pas intégrés aux objets eux-mêmes. Non seulement c’est là la seule voie vers un abaissement des coûts d’administration et de gestion de parc, mais encore c’est la seule issue envisageable si l’on ne souhaite pas que le déploiement d’IoT ne s’achève en un véritable cauchemar en termes de sécurité informatique. Comme cela n’arrivera pas du jour au lendemain, il est à parier que 2018 aura son lot de compromissions spectaculaires, pires, prédisent les analystes, à ce que l’on a connu jusqu’à présent.
Des web services pour les barbouzes : le blog AWS explique comment Amazon a pu ouvrir un service cloud pour la CIA et les services US de renseignements. Les Shadow Brockers piaffent d’impatience.
Selon Marc Laliberte, Watchguard, dans les colonnes du HNS , les auteurs de malware préfère utiliser de l’exploit « réutilisable » à l’efficacité reconnue (donc potentiellement détectable), pour mieux se concentrer sur les mécanismes de camouflage et de furtivité.
Quelques jours à peine après le bulletin d’alerte et le correctif des firmwares du Management Engine d’Intel, Acer , Lenovo et Panasonic promettent la publication d’un patch dans le mois à venir. HP/Compaq, en revanche, a entamé la diffusion des rustines via son outil « SoftPaq download manager » depuis le 19 de ce mois (SoftPaq 82539 et suivants). Le défaut est qualifié de « critique » et nécessite un redémarrage de la machine pour être pris en compte.
De quelle faute la compagnie en charge d’un réseau de VTC s’est-elle rendue coupable ? s’interroge Bloomberg. D’avoir appliqué une mauvaise politique de mots de passe permettant à quelques pirates de passer d’un hack de compte Github à un accès illimité aux services AWS de l’entreprise ? D’avoir (a priori) trop mal protégé les données personnelles de 57 millions de clients, divulguant ainsi leurs noms, prénoms, adresses email et numéros de téléphone ? D’avoir offert sur un plateau d’argent les numéros de permis de conduire des chauffeurs travaillant pour son compte, dans un pays qui considère ledit permis comme principale pièce d’identité ? D’avoir payé une rançon de 100 000 USD et cédé au chantage des pirates ? Ou surtout d’avoir, un an durant, tenté d’étouffer l’affaire, tant aux oreilles du public que des autorités locales et Fédérale, violant au passage plusieurs lois obligeant les entreprises à révéler toute compromission de son système d’information. Il faudra, affirme la Direction de l’entreprise, un audit interne pour que les agissements de la cellule sécurité soient découverts, révélation qui coûtera son poste à Joe Sullivan, chef de la sécurité. Un chef de la sécurité qui n’aurait été tenu d’aucun devoir d’information auprès du comité exécutif ? Qui aurait camouflé avec succès l’intégralité de l’affaire pendant plus de 12 mois ? La pilule passera difficilement pour les enquêteurs Fédéraux, et n’est pas du tout acceptée par les usagers victimes de ce piratage. Déjà s’entassent les premières plaintes visant le procès en nom collectif.
Avec 57 millions d’identités d’usagers et plus d’un demi-million de numéros de permis dans la nature, Uber rejoint le cercle de moins en moins restreint des grands responsables de fuites de données par négligence, les Yahoo, les Equifax, les Deloitte et autres multirécidivistes comme Target. Le « mot du CEO » publié mardi soir est émaillé de détails qui, eux encore, soulèvent plus de questions qu’ils n’apportent de réponses rassurantes. AWS, service Cloud par définition et par construction, est qualifié de « service tiers », ce qui permet au patron d’Uber d’affirmer que le piratage « did not breach our corporate system or infrastructure ». Un service Cloud payé par l’entreprise n’appartient donc pas à son « corporate system or infrastructure », les DSI apprécieront. A l’instar des autres grands dirigeants, le CEO d’Uber tente de détourner l’attention des victimes en insistant sur le fait qu’aucune donnée bancaire n’aurait fait partie du flux de données volées… minimisant ainsi l’exposition publique de dizaines de millions d’identités physiques et numériques.
Intel publie un bulletin d’alerte et un firmware corrigé afin de colmater les failles découvertes par Mark Ermolov et Maxim Goryachy de Positive Technologies. Failles qui affectent principalement le Management Engine (ME), les Server Platform Services (SPS), et le Trusted Execution Engine (TXE) des processeurs de génération récente. Quatre bulletins CVE ont été enregistrés sous les immatriculations CVE-2017-5705, 5708, 5711 et 5712.
Cette série de failles fera l’objet d’une présentation à l’occasion de la prochaine BlackHat Europe, en décembre prochain.
Une telle avalanche de problèmes firmware est la voie ouverte, expliquent les chercheurs, à diverses possibilités d’exploitation à distance et élévations de privilège. Elle concerne les Xeons, Atom C3000 et Atom C3900 Apollo lake, Pentium Apollo lake et Celeron N et J. En d’autres termes, des serveurs haut de gamme aux plus discrets des SoC utilisés dans le domaine de l’IoT.
Contrôler les risques de fuites. Maîtriser les flux et prévenir les attaques. Gérer les identités, les applications et les devices, être GDPR ready
IAM, DLP, SIEM, SOC … autant de sigles indispensables à connaître, de plateformes indispensables à maîtriser pour administrer la sécurité au sein des entreprises. Une matinée pour faire le point sur les dernières technologies dans ces domaines, apprendre toutes les stratégies possibles pour maîtriser au mieux la Sécurité du SI notamment quand il faut conjuguer avec Cloud, IoT/IIoT, mobilité …
Etre conforme au RGPD et autres législations à venir passe par le savoir du SOC souvent indissociable du SIEM, également par l’utilisation de la gestion des identités et des accès tant pour les utilisateurs que pour les devices voire les applications afin de maîtriser les données. Comment s’y prendre ? Quelle stratégie adopter ? Quelles solutions sur le marché ? Pendant toute la conférence des experts de tout bord, spécialistes Sécurité reconnus, avocats, RSSI/DSI et acteurs de ce marché seront là pour guider les entreprises, donner des conseils, parler de solutions potentielles et répondre à toutes les questions.
CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).
InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 av. Marceau, Paris 8
Les Responsables sécurité, DSI, DPO, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les avocats et juristes de l’entreprise, les consultants et le personnel IT bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son Système d’Information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.