Sécurité des réseaux et des SI - Orange Business Services

Alors que les scientifiques annoncent la fusion nucléaire contrôlée pour 2050, les fusions des vies, informations, logiciels, matériels informatiques et technologiques privés et professionnels ont déjà débuté. Malheureusement, la fusion des sphères d'informations privées et professionnelles se fait de manière incontrôlée grâce à l'explosion des outils du Web 2.0 et notamment des réseaux sociaux. Nous avons déjà évoqué les dangers liés à une utilisation naïve et non maîtrisée de ces outils (cf.post 1 et post 2).

Cependant, ces outils et cette évolution de l'éthnographie numérique représentent l'avenir et sont désormais incontournables comme le rappelle fort justement l'article du Monde en date du 22 janvier 2010 Assiste-t-on à une "démocratisation" de la vie privée ? Les réseaux sociaux offrent de nombreuses opportunités pour le développement des entreprises (e-reputation, marketing, RH, recueil et partage d'informations métier etc.). Nous évoquerons d'ailleurs dans un prochain post ces opportunités d'utilisation des réseaux sociaux qui peuvent s'avérer être une bonne stratégie de sécurité.

Face à l'ampleur et à la rapidité du phénomène, le principe de précaution pris par la majorité des directions de sécurité a été d'interdire leur utilisation. Cette interdiction n'est pas applicable et va à l'encontre du développement individuel et des entreprises.

Les responsables de la sécurité qui sont déjà conscients des risques doivent désormais prendre conscience des opportunités liées aux réseaux sociaux et accompagner leurs dirigeants et personnel à les utiliser de façon maîtrisée. Il ne faut pas renier les bases de la sécurité, mais adapter le discours afin de ne plus être une entité vue comme un centre de coût et un frein à l'innovation mais plutôt comme un guide accompagnant tout à chacun vers une utilisation des nouvelles technologies de façon opportune, maîtrisée et consciente. Cet accompagnement doit donc se faire au quotidien en prônant le « je vous ai compris : utiliser les réseaux sociaux et pour cela je vais vous servir de guide ». Une sécurité porteuse d'innovation s'intégrera mieux en amont des projets et de façon plus naturelle dans la stratégie d'entreprise.

Il va sans dire, qu'une charte fixant le cadre et les limites d'utilisation est indispensable. Mais celle-ci doit être complétée par un guide de bonnes pratiques didactique et proche de la majorité des utilisateurs.

Je vous propose donc une petite vidéo permettant d'accompagner les utilisateurs et donc les employés de vos entreprises pour leur apprendre à mieux paramétrer leur compte Facebook. Cette vidéo ne présentent pas de manière exhaustive l'ensemble des paramètres mais permet aux utilisateurs d'y voir un peu plus clair dans le paramétrage de confidentialité Facebook.

Impossible de leur interdire l'utilisation à partir de leur poste privé alors autant leur apprendre à mieux l'utiliser. Les vies privées et professionnelles étant en pleine fusion, protéger la vie privée de ses employés permet également de protéger les informations à caractère professionnel. La formation du personnel est devenue une priorité. 

Dans le prochain épisode, comment Facebook pourrait être utilisé pour diffuser ces bonnes pratiques aux employés et surtout comment créer le dialogue sur les médias qu'ils utilisent en masse.

PS : Depuis le vendredi 5 février, Facebook migre petit à petit les comptes vers une page d'accueil différente. La fin de la vidéo présente cette nouvelle page et les principales nouveautés en termes de paramètre de confidentialité.

-AAAAAAAAAAAAAAARRRRRRRRRRRGGGGGGGGGGHHHHHHHHHHHHHHHHHHH

(NDA : Si cela ne dépendait que de moi, je me serai arrêté là pour l'introduction.. Mais, on m'a dit écoute coco, pour être référencé, il faut faire des introductions plus longues...)

-Qu'est qu'il y a chéri ?

-Oh rien, chérie, toujours le même cauchemar.

-Ah, Rendors toi!

Cette scène horrible, s'il en est, a lieu toutes les nuits depuis 2 ans, chez tous les DSI. La cause de ce cauchemar, l'Iphone d'Apple, et son introduction par la petite porte dans les entreprises. Qu'en est il exactement? Voyons un peu

(NDA Cette fois ci j'arrête l'introduction).

Dans un article du 24 décembre 2009 d'un de nos membres du labelB2B Orange, decision-achats.fr, nous apprenons que seuls 35% des décideurs français vont augmenter leur budget en 2010.

Une majorité des décideurs (63 %) maintient ou augmente leurs budgets sécurité bien que la tendance générale au sein des entreprises soit à la réduction des dépenses. En France, à l'inverse de la tendance globale, on constate une baisse des moyens accordés à la sécurité (seuls 35% des décideurs déclarent vouloir y consacrer d'avantage de moyens en 2010)

Ces informations sont tirées d'une étude mondiale de PricewaterhouseCoopers (PwC) sur la protection de l'information et la sécurité des systèmes d'information.

Le cabinet d'étude précise également que les décideurs français ont une perception des risques moins "alarmiste" que la moyenne des autres personnes sondées. 43% des participants dans le monde estiment que les problèmes liés à la sécurité de l'information ont augmenté, contre 25% en France et 32% en Europe. 

Dans l'article parut sur decision-achats.fr il est dit que la France s'évalue comme moins touchée (-20%) mais cette soit-disant régression trouve sans doute des explications dans le fait que 60% des répondants français ne savent pas dire s'ils ont subi des incidents de sécurité, contre 50% en Europe et 39% dans le monde.

La question des algorithmes cryptographiques mis en œuvre dans le cadre de la téléphonie mobile n'est pas nouvelle. Les modèles de conception et d'implémentation des algorithmes A5/1 et A5/2 pour assurer la confidentialité des communications dans les réseaux GSM ont été l'objet de critiques depuis le début des années 90'. Toutefois, ces algorithmes sont utilisés dans plus de 75% des réseaux mobiles de la planète et dans plus de 200 pays. 

Pour le moment, les informations [1], [2] sont assez sommaires : Un supposé ex-militaire (se faisant appeler sous le pseudonyme de "Jester") aurait développé un méthode d'attaque en déni de service lui permettant de bloquer à distance l'accès à aux sites Web de son choix.

Les détails sur la méthode utilisée sont assez limités : Ce que l'on sait c'est que celle-ci ne s'appuie pas sur l'utilisation synchronisée d'un grand nombre de machines préalablement compromises (botnet) : Selon les dires de l'intéressé, il aurait développé un outil tournant sur une seule et unique machine de type Linux. Si tout cela est vrai, cela laisse à penser qu'il s'agirait d'une attaque visant la couche applicative : En l'occurrence le serveur web ou l'application web elle-même. Est-ce une évolution de l'attaque dite Slowloris ? On ne sait pas.

C'est intéressant à plusieurs titres

C'est une tradition, et je suis très traditionaliste (bientôt des articles en latin, seule véritable langue européenne), de souhaiter une excellente année à nos lecteurs. Bonne année à tout le monde, et une bonne santé à vos SI. Voilà c'est fait.

Que souhaiter, une baisse des attaques et du cyber-terrorisme en général, bien sûr... Mais malheureusement vais je être écouté? (ou lu?), je ne le crois pas. L'année à venir sera comme l'année précédente, d'un point de vue de la sécurité, les moyens d'attaque changeront peu.

Souhaitons donc une bonne année aux spams et au phishing qui devraient enfin s'adapter à la difficile langue française. Fini le français approximatif, et bienvenue à une langue très châtiée (remarquez, c'est pratique de mon point de vue, je ne la comprendrai pas et l'étiquetterai dangereuse) . Il sera difficile d'y voir clair. Surtout, qu'il existe déjà des phishings prenant pour cible certaines institutions, notamment les impôts. Et là, vous allez craquez, sissi... Les impôts vont vous envoyer une lettre de trop perçu, en vous demandant de fournir vos coordonnées bancaires pour le remboursement. Qui va résister? ...

Je vais tout de suite vous décevoir, la nouvelle star de la sécurité 2010 ne sera pas le facteur humain. Dommage, même si des journaux généralistes comme le Monde insiste sur l'importance du facteur humain sur la sécurité. Non, la star qui va déchainer les foules cette année sera... le format pdf.

Je sais, vous allez encore me dire que je vous en ai déjà parlé, et vous aurez raison, encore une fois. Adobe risque en cela de passer devant Microsoft au hit parade des éditeurs attaqués (surtout que le format flash se positionne très correctement dans ce classement), succès oblige. Je vous rappelle aussi que ce n'est pas le format pdf qui est attaqué, mais le lecteur pour le lire, à savoir, dans plus de 90% des cas en entreprise, Adobe Reader. Les attaques visent le lecteur star de la firme, et seulement lui. Pourquoi en parler alors? Tout simplement parce qu'une faille trouvée et exploitée depuis le 15 Décembre sera corrigé le 12 Janvier trêve des confiseurs oblige (?). Il s'agissait là d'un problème de Javascript.

...

Revenons un peu sur la découverte au sein du cloud Amazon EC2 d'un centre de commande et de contrôle (C&C, Command & Control) d'un réseau de zombies de type Zeus.

Que faut-il en penser ?

En fait, pas grand chose : Un service cloud de type "IaaS" (Infrastructure As a Service, cad une bonne petite machine virtuelle) ce n'est rien de plus qu'un serveur dédié (bon je simplifie un peu mais pas trop non plus). L'opérateur du cloud IaaS s'assure que les VM fonctionnent correctement et tout et tout.... Ce qui tourne au sein des VM ne le regarde à priori pas : Si une faille de sécurité vient à être exploitée sur une application déployée par l'un de ses clients, l'opérateur du cloud n'y est pas vraiment pour quelque chose.

Sur un ordinateur professionnel, les fichiers et répertoire identifiés comme personnels ne doivent pas être ouverts par un employeur.

Ce n'est pas une grande surprise mais cela fait du bien de le rappeler. Cela a été rappelé par la cour de cassation des affaires sociales qui a cassé un arrêt de la cour d'appel d'Orléans.

Les données en elles-mêmes étaient accablantes: Présence d'un dossier contenant des informations visant à mettre en place une structure concurrente en démantelant la société dans laquelle la personne en poste était responsable commercial marketing.
Tout cela avait été fait (à priori) dans les règles avec constats d'huissier et tout et tout...

Sauf que non.... La personne avait stocké ses fichiers dans un répertoire nommé selon les initiales de son prénom ("JM" pour Jean-Michel) contenant lui-même deux sous-répertoire "Marteau" (le nom de la structure concurrente) et un autre sous-répertoire nommé "personnel". Les fichiers était dans le répertoire "Marteau" : L'huissier a accédé au contenu de ce répertoire "Marteau" en l'absence de la personne.

La cour de cassation a donc jugé la preuve irrecevable, le licenciement pour faute lourde jugé et donc sans cause réelle et sérieuse, et a donc requis le paiement des indemnités de licenciement.

... Pas mal pour un répertoire nommé selon les initiales du prénom de la personne.

La sécurité physique est un pan essentiel d'une politique de sécurité digne de ce nom. Je dirai même que c'est le sous-domaine de la sécurité qui est le moins inconnu pour le profane : Tout le monde ferme à clef la porte de son entreprise ou de son domicile, possède un système d'alarme ou de vidéo-surveillance, voir fait appel à des vigiles à l'apparence patibulaire et à des chiens non moins effrayants.

Mon propos portera sur un autre domaine de la sécurité physique : Je parlerai des systèmes électroniques et informatiques qui mesurent et pilotent en temps réel le fonctionnement de vannes, relais, moteurs, ... dans des centrales électriques, des plateformes pétrolières ou encore des centres d'assainissement ou de distribution d'eau (aussi connues sous "infrastructures vitales").