Sécurité des réseaux et des SI - Orange Business Services

Orange Business Services vient d'obtenir une nouvelle certification de sécurité de type ISO 27001-2005 (après ISO 15408 l'année dernière) sur la mise en œuvre, la fourniture, le support de services info gères et de solution de communication pour les sites de Rennes (Cesson-Sévigné).

Cette certification vérifie la sécurité des outils et des processus  mis en oeuvre pour la production des services retenue, via entre autre :

• La production de toutes les preuves liées à la Déclaration d' Applicabilité (SOA en anglais)
• Les résultats d'une analyse de risque sur le scope (Ebios dans notre cas),

Dans ce cadre, Orange Business Services s'est ainsi engagé à maintenir un niveau de sécurité maximum et évolutif.

L'obtention de la certification s'est déroulée en trois étapes :

• La définition du scope de certification afin de déterminer le périmètre des services à évaluer ;
• La conduite de travaux en interne pour répondre aux exigences de sécurité de la norme internationale ISO 27001-2005 (Analyse de risque, SOA,...);
• La vérification par les auditeurs de la conformité des services au regard de la norme.

 Merci aux équipes de Rennes pour le travail accompli.

Je rebondis sur mon article publié la semaine dernière évoquant la problématique du spam.

Un client nous appelle vendredi dernier un peu en panique, mentionnant un problème lié au spam.

Cette entreprise est en effet reconnue par de nombreux opérateurs et hébergeurs comme spammeur et a été blocklistée.  Pourquoi me direz-vous ?  C'est bien ce que voulait savoir l'administrateur réseau de cette entreprise.

Après quelques minutes de traces prises avec nos outils, la raison nous est apparue comme le nez au milieu de la figure.

Une rapide « traque » s'en est suivi pour débusquer le poste fautif. La collaboratrice légèrement apeurée de voir débarquer deux mecs armés jusqu'aux dents avec leurs PC portables est rapidement passée aux aveux J. Un programme installé négligemment sur son poste deux mois auparavant transformait son classique laptop en une redoutable machine à spam. Un simple trojan glissé dans ce banal programme téléchargé sur Internet et le tour était joué pour les spammeurs (les vrais) assis derrière leur command center. Voila un « zombie » (dans le jargon, c'est comme ça qu'on appelle les postes contrôlés à distance à votre insu) fraichement recruté pour exécuter toutes les tâches souhaitées.

Toute cette petite histoire pour dire que la problématique du spam n'est pas uniquement entrante, mais également sortante. C'est même beaucoup plus grave dans le sens ou vous pouvez vous retrouver complètement bloqué pour envoyer les messages à vos destinataires.

Voici une manière simple vous permet de mesurer votre « réputation » sur internet, notamment pour ce qu'il s'agit de la messagerie. Connectez-vous sur le site http://www.senderbase.org et vous pourrez rapidement savoir globalement quelle est la réputation de votre nom de domaine ou de vos MX. Si vous disposez de cette solution, vous aurez accès à beaucoup plus d'informations.

Ce cas concret met également en évidence la problématique de la sécurité des postes de travail (pas de droits d'administrateur, anti-virus démarré et à jour, système d'exploitation patché, et j'en passe)

En espérant que cette expérience et les recommandations qui ont été faites à ce client lui permettent de prendre conscience de l'importance de la sécurité du système d'information au sens global.

Pour terminer sur cet article, de nombreux ISP ont également pris des mesures de fermeture du port 25 (Envoi de mail). Ceci afin de se protéger des postes des abonnés infectés par des trojans (qui se servent presque tous du port 25) en tout genre qui émettent du spam par milliers chaque jour. A l'échelle d'un opérateur, vous imaginez aisément les millions de spams quotidiens ainsi évités.

Bonne journée.

Ne vivons-nous pas une époque formidable?
Avec d'une part, les évolutions  dans le domaine de l'IT et des télécom et d'autre part la maturité évidente du marché de la sécurité, nous pourrions penser que le métier de la sécurité évolue ou va évoluer aussi et que les pratiques d'hier vont lentement disparaître pour donner naissance à de nouveaux paradigmes.

Et bien si nous pensons cela alors peut-être nous trompons-nous. Examinons la situation telle qu'elle est.
L'environnement du SI tout d'abord, l'ouverture des réseaux est avérée. Le réseau de l'entreprise est moins borné qu'hier et ses frontières difficiles à protéger. La "device mania" bat son plein, à juste titre et pour de vrais apports pour l'entreprise et l'utilisateur final. Là aussi, les technologies sont clairement à maturité et "monsieur" tout le monde peut enfin entrevoir les apports des technologies mobiles.
Le cloud computing enfin, nous est présenté comme l'avenir de l'informatique et comme cette troisième voie que les professionnels attendaient ?

Les cas de serveurs web non sécurisés et d'ordinateurs de bureau, dont les applicatifs ne sont soit pas installés soit non mis à jour (patch, anti-virus, firewall) ne sont pas rare; ils constituent naturellement autant de portes ouvertes pour des infections diverses : malware, collecte de données, chevaux de troie...
Cedric Pernet, animateur du blog dédié "Computer Security, Forensics, Malware & Cybercrime" et partenaire du Label Orange b2b
nous en dresse les grands contours en nous décrivant la technique du "drive by download" : Il s'agit, je cite de "toute méthode qui permet de faire télécharger et exécuter à l'insu de l'utilisateur un contenu (la plupart du temps) malicieux". Parmi les méthodes le téléphone peut devenir un outil d'intrusion.
Retrouvez la suite de cet article : Phone-by Download ?

La semaine dernière les heureux possesseurs de comptes mail Gmail ont vu automatiquement apparaître le mot Buzz dans leur barre de menu. 

Buzz, ou Google Buzz est le nouveau réseau social mêlant les particularités de Twitter et Facebook.

Ce réseau va encore plus loin car il utilise le compte mail pour communiquer avec le monde entier et de façon publique. Le compte mail qui était le dernier endroit de vie privée des utilisateurs devient désormais public.

Imaginez les petits soucis des entreprises utilisant des comptes Gmail ou ceux utilisant leur compte mail pour mélanger mails pro et perso.

Même si Google a déjà revu quelques paramètres de confidentialité, vos activités et contacts ont désormais de grandes chances de devenir publiques si vous n'utilisez pas correctement ce nouvel outil. 

Google mentionne même qu'il s'autorise, lors de l'utilisation de Google Buzz sur votre téléphone portable, à relever votre position géographique, à enregistrer votre "saisie vocale" autrement dit votre empreinte vocale.

Pour illustrer les excellents propos des articles du Figaro et de ZdNet, je vous invite à visionner cette petite vidéo de 5 minutes faisant un rapide tour du propriétaire (vidéo capturée le 15/02/2010) et vous apportant déjà quelques recommandations.

Relayant un article du monde daté du 10 février 2010, l'activité des spammeurs montre qu'elle ne connait pas la crise et profite de chaque évènement pour soutenir ses campagnes de mailing massifs afin d'espérer piéger l'innocente victime cliquant négligemment derrière son écran d'ordinateur.

Rendez-vous compte, cet article nous apprend qu'une personne sur 12,5 millions achète un produit suite à la réception d'un spam. Sachant que le trafic est estimé à 200 milliards de spam par jour, faites le calcul.....l'affaire est plus que rentable !

Et c'est bien ce qui pousse les malfrats à développer de plus en cet engorgement massif du système de messagerie mondial.

Rien qu'un exemple : un de nos client grand compte reçois chaque jour plus de 25.000.000 de messages dont 99,5% sont des spams. Heureusement, il dispose de solutions efficaces pour trier le grain de l'ivraie, tout comme la plupart des grands groupes d'ailleurs.

L'impact d'un mauvais traitement des spams n'est pas sans conséquences. Toutes les grands sociétés archivent leur messagerie, ceci représente des giga octets par jour. Imaginez le surcout que représenterait l'archivage de ces millions de spams quotidien...pour rien. Sans compter l'impact réseau WAN et LAN, la perte d'image de la société si elle devient elle-même relai de spam, et bien entendu le mécontentement des utilisateurs qui est certainement le premier facteur déclenchant un investissement dans ce domaine surtout que le cout de tonnerre vient généralement d'en haut...

Sans vigilance, point de salut !!  La prudence reste un des meilleurs remparts contre ce fléau des temps modernes.

Bonne journée.

Selon ScanSafe, le téléchargement illégal en entreprise serait en plein essor.

La raison évoquée serait liée à une certaine prise de conscience des personnes concernant la récente législation dans le domaine : Au lieu de télécharger ces contenus depuis leur domicile, les personnes le feraient depuis leur lieu de travail.

Les raisons à ce "transfert" seraient un sentiment de relative impunité (l'accès Internet utilisé étant dans ce cas lié à l'identité de l'entreprise et non plus de la personne), pouvant être renforcé par le fait que d'autres collègues se livrent aussi à ce "sport" depuis leur lieu de travail (dans ce cas, par quels moyens l'employeur pourra-t-il identifier précisément et de façon fiable quel employé associer à une plainte reçue ?).

Surveillance des réseaux P2P par des sociétés spécialisées
La surveillance des réseaux P2P est en place depuis quelques années maintenant : Les sociétés privées proposant leurs services sont assez nombreuses et connues.

Lorsque l'une de ces sociétés identifient un téléchargement d'un contenu (film, musique, ...) pour lequel elle a reçu un mandat de la part des ayants droits, elle envoie une notification vers le fournisseur d'accès Internet (FAI) de l'Internaute. Par défaut ces notifications sont envoyées vers la cellule en charge de traiter les abus (la fameuse cellule "Abuse").

Plaintes pour du téléchargement illégale depuis des entreprises
Afin d'éviter de rester dans les généralités et d'illustrer en quoi cela consiste et quelles sont les entreprises touchées par ce problème, je vous propose de détailler quelques plaintes
reçues au niveau de la cellule Abuse d'Orange Business Services.

Nota: Toutes les informations pouvant amener à l'identification de l'accès Internet (ou plus globalement du client concerné) ont été masquées. Cela reste néanmoins instructif.

Quels contenus et fichiers sont téléchargés ?
C'est simple, les plaintes pour des contenus vidéo (Films, séries TV, ...) sont majoritaires. Quelques plaintes pour des contenus audio mais aucune plainte concernant des logiciels. Cependant, il conviendra de ne pas conclure trop vite : L'échantillon étudié est très limité (Une dizaine de plaintes, sélectionnée "au hasard") et sur une période de temps elle aussi assez courte.

Dans les contenus reportés comme étant téléchargés de façon illégale, on retrouve :
- Plusieurs films : 2012 , District 13: Ultimatum, Legion
- Un épisode d'une série télévisée : CSI: New-York
- Un livre audio: Harry Potter
- ...

Dans les logiciels utilisés pour ces téléchargements ces contenus :
- BitTorrent
- Areswarez
- eDonkey
- Gnutella


Les plaintes reçues se présentent sous la forme suivante :

Ô toi qui n'écris pas, tu ne connais pas ton bonheur. (ancien proverbe sumérien vers 3200 Avant JC période Uruk récente). Les inventeurs de l'écriture étaient aussi de grands sages, ils savaient déjà que l'écriture serait L'invention de l'humanité et aussi sa meilleure arme. Aujourd'hui alors que nous nous dirigeons lentement mais sûrement vers une post-alphabétisation (je reviendrai sur ce sujet dans d'autres articles), ce n'est que plus vrai. Il est parfois difficile de trouver un sujet qui ne déclenche pas une nouvelle guerre de religion plus mortelle que celles du seizième siècle. Il n'y a qu'à parler d'un système d'exploitation par rapport à un autre, et hop des milliers de morts. Parler des faiblesses d'un terminal ou d'un algorithme, et je reçois instantanément des messages me promettant plus que la mort. Je tiens à ma petite santé, moi, et je ne souhaite que la paix universelle...

Après un rapide brainstorming avec moi même (15 jours quand même, et encore toutes les parties n'étaient pas d'accord), j'ai vu la lumière (enfin celle du frigo), parlons d'un sujet n'attisant pas les passions, et c'est peu de le dire comme vous allez le voir : le mot de passe (ou password dans la langue de Shelley ou de Wilde, c'est plus simple que d'écrire Shakespeare quand même).

L'affaire commence doucement, une attaque logique d'une société pour récupérer des données. Cela arrive tous les jours, malheureusement. Mais voilà, comme la société s'appelle Google, se trouve en Chine, et que le vecteur d'attaque se nomme Internet Explorer, l'affaire se retrouve à faire la une. Hormis l'aspect quasi comique de la situation, imaginez Microsoft attaqué suite à une vulnérabilité Firefox (ou Chrome!), nous aurions pu en rester là...

Mais non, deux organismes (sérieux, au moins jusqu'à là), l'un allemand, l'autre français ont publié un communiqué disant qu'il ne fallait pas utiliser Microsoft Internet Explorer, tant que la firme de Seattle n'aurait pas comblé cette brèche (celle ci fut résolue moins d'une semaine après cet avis) , en attendant il est recommandé d'utiliser un navigateur alternatif. Cela part d'un bon sentiment, mais comme on dit l'enfer est pavé de bonnes intentions.

Alors que les scientifiques annoncent la fusion nucléaire contrôlée pour 2050, les fusions des vies, informations, logiciels, matériels informatiques et technologiques privés et professionnels ont déjà débuté. Malheureusement, la fusion des sphères d'informations privées et professionnelles se fait de manière incontrôlée grâce à l'explosion des outils du Web 2.0 et notamment des réseaux sociaux. Nous avons déjà évoqué les dangers liés à une utilisation naïve et non maîtrisée de ces outils (cf.post 1 et post 2).

Cependant, ces outils et cette évolution de l'éthnographie numérique représentent l'avenir et sont désormais incontournables comme le rappelle fort justement l'article du Monde en date du 22 janvier 2010 Assiste-t-on à une "démocratisation" de la vie privée ? Les réseaux sociaux offrent de nombreuses opportunités pour le développement des entreprises (e-reputation, marketing, RH, recueil et partage d'informations métier etc.). Nous évoquerons d'ailleurs dans un prochain post ces opportunités d'utilisation des réseaux sociaux qui peuvent s'avérer être une bonne stratégie de sécurité.

Face à l'ampleur et à la rapidité du phénomène, le principe de précaution pris par la majorité des directions de sécurité a été d'interdire leur utilisation. Cette interdiction n'est pas applicable et va à l'encontre du développement individuel et des entreprises.

Les responsables de la sécurité qui sont déjà conscients des risques doivent désormais prendre conscience des opportunités liées aux réseaux sociaux et accompagner leurs dirigeants et personnel à les utiliser de façon maîtrisée. Il ne faut pas renier les bases de la sécurité, mais adapter le discours afin de ne plus être une entité vue comme un centre de coût et un frein à l'innovation mais plutôt comme un guide accompagnant tout à chacun vers une utilisation des nouvelles technologies de façon opportune, maîtrisée et consciente. Cet accompagnement doit donc se faire au quotidien en prônant le « je vous ai compris : utiliser les réseaux sociaux et pour cela je vais vous servir de guide ». Une sécurité porteuse d'innovation s'intégrera mieux en amont des projets et de façon plus naturelle dans la stratégie d'entreprise.

Il va sans dire, qu'une charte fixant le cadre et les limites d'utilisation est indispensable. Mais celle-ci doit être complétée par un guide de bonnes pratiques didactique et proche de la majorité des utilisateurs.

Je vous propose donc une petite vidéo permettant d'accompagner les utilisateurs et donc les employés de vos entreprises pour leur apprendre à mieux paramétrer leur compte Facebook. Cette vidéo ne présente pas de manière exhaustive l'ensemble des paramètres mais permet aux utilisateurs d'y voir un peu plus clair dans le paramétrage de confidentialité Facebook.

Impossible de leur interdire l'utilisation à partir de leur poste privé alors autant leur apprendre à mieux l'utiliser. Les vies privées et professionnelles étant en pleine fusion, protéger la vie privée de ses employés permet également de protéger les informations à caractère professionnel. La formation du personnel est devenue une priorité. 

Dans le prochain épisode, comment Facebook pourrait être utilisé pour diffuser ces bonnes pratiques aux employés et surtout comment créer le dialogue sur les médias qu'ils utilisent en masse.

PS : Depuis le vendredi 5 février, Facebook migre petit à petit les comptes vers une page d'accueil différente. La fin de la vidéo présente cette nouvelle page et les principales nouveautés en termes de paramètre de confidentialité.