Sécurité des réseaux et des SI - Orange Business Services

Depuis l'avènement du téléphone portable (version GSM) le sans fil est devenu « a way of living » : WiFi à la maison, WiMax pour la couverture des zones blanches, paiement sans contact, réseaux militaires ad hoc...

Les avantages opérationnels sont indiscutables : Infrastructure légère qui permet un déploiement rapide. C'est ce qui a permis l'essor rapide du téléphone en Afrique, en Inde... Et puis une bonne résilience dans certains contextes : si un relai GSM tombe à Paris, le secours par un autre relai est généralement indolore.

Mais quid de la sécurité par essence ou par conception?

Confidentialités : Les ondes étant "audibles" par tous, l'échange peut être intercepté sans avoir à chercher la bonne paire téléphonique dans les égouts parisiens. Pire encore, l'identification peut éventuellement être copiée pour un rejeu ultérieur malveillant.
Disponibilité : Un simple émetteur micro-onde permet de brouiller des transmissions WiFi à un moment opportun. Les cas réels ne manquent pas.

On n'évoque ici les que défauts intrinsèques à la technologie. Mais on peut faire pire.

Dès sa conception, le GSM a fait preuve de quelques précautions induites par un mode de facturation « historique » basé sur l'enregistrement des appels et une identification relativement fiable de l'utilisateur.

Mais l'histoire du WiFi est une tranche de rigolade pure. J'annonce que je suis la borne WiFi de City Group. Ainsi le hacker ne perd pas son temps. Face aux critiques justifiées des experts sécurité, les artisans du WiFi ont inventé le WEP pour "Wired Equivalent Privacy". Cela ne s'invente pas. Puis sont arrivés le WPA et 802.1x. Il était temps.

Les autres techniques sans fil en déploiement, en expérimentation, ou en gestation seront-elles plutôt GSM ou plutôt WiFi ? Pour le savoir vous pouvez soumettre une contribution ou assister aux prochaines journées C&ESAR (ex Journées SSI du Celar) qui auront lieu du 24 au 26 novembre à Rennes : « Sécurité sans fil ... ou sans filet? »


http://www.rennes.supelec.fr/CESAR/
http://www.rennes.supelec.fr/CESAR/CESAR_2009.pdf

Qui se souvient, l'industrie informatique invente assez souvent la technologie qui c'est juré croix de bois croix de fer sera LA technologie du futur. Souvenez vous à l'époque ATM était présenté comme le sauveur de tous les réseaux. Aujourd'hui c'est à la technologie en nuage de prendre le relais (ou cloud computing).

C'est bizarre on croit les choses immuables, les infrastructures réseaux sans problème, les serveurs sur-dimensionnés, et puis hop la crise. Le réseau peine, certains serveurs s'écroulent.

Dans mon bulletin du 12 Mars intitulé "Twitter ou les risques du microblogging" j'évoquai le risque que les systèmes de réduction d'URLs pouvaient poser, notamment dans le contexte d'un service comme Twitter. C'est chose faite, une première attaque est apparue.

Il y a quelques jours, le service de réduction d'URLs "cli.gs" a été victime d'une attaque et près de 2 millions d'URLs ont été modifiées par un attaquant qui a redirigées celles-ci vers une page du site Freedomblogging.com.

L'impact de cette attaque est à prirori assez limité car la page vers laquelle les utilisateurs étaient redirigés ne véhiculait à priori aucun code malicieux ni attaque. Il s'agit donc d'un premier avertissement : Les réducteurs d'URL sont fort pratiques mais ne doivent être nullement  négligés d'un point de vue sécurité.

Afin de reprendre le contrôle et visualiser la destination réelle de ces URLs raccourcies, l'extension Firefox "LongURL" est disponible. Ce service supporte l'extension automatique de plus de 200 service de réduction d'URL.

Comment donner le sourire à votre Président

Vous êtes un pauvre RSSI à la recherche d'un budget afin d'améliorer la sécurité de votre entreprise. Comment faire pour convaincre votre Président, CEO, Directeur Général, ou équivalent ?

Pourquoi ne pas faire appel à la méthode MICE fondée par les services de renseignements britanniques à la grande époque de la guerre froide ?
Cet acronyme donne les méthodes de base pour obtenir des informations sensibles depuis une source chez l'adversaire :
• M = Money = Acheter les informations en cash à Moscou. L'argent reste une valeur sûre.
• I = Ideology = Convaincre un agent britannique de la supériorité du communisme sur le système capitaliste. Pratique très efficace à une certaine époque.
• C = Constraint = Exercer une pression psychologique voire physique pour soutirer les informations. Cas de la vidéo compromettante en charmante compagnie.
• E = Ego = « Ton chef ne reconnait pas ta valeur. Exfiltrer des informations très sensibles démontrera tes capacités ». Nous sommes tous des talents en manque de reconnaissance.

Comment appliquer cette méthode avec votre respecté Président ou autre décideur ?

Les entreprises ont d'ores et déjà bien compris que la prise en compte de la sécurité par leurs utilisateurs finaux est un des points clés de leur dispositif sécurité. Par conséquent, elles tentent avec plus ou moins de réussite de sensibiliser et former leurs utilisateurs à la sécurité informatique. L'approche traditionnelle veut que le contenu des formations doit coller au plus près au contexte professionnel des salariés (nomades, VIP...) et de l'entreprise (secteur de la santé, secteur industriel...). Toutefois, force est de constater que, même si les messages sont ciblés, les utilisateurs continuent à avoir du mal à se les approprier et à modifier les comportements dits "à risque".

Wouf wouf wouf (logiciel de traduction automatique activé). Permettez moi de pousser un coup de gueule, cela fait un an que je lis studieusement ce blog. Et que lis je ? Ou plutôt que ne lis je pas ? Rien sur la sécurité physique...

| View | Upload your own

Vous vous appelez Marie-Laure, vous avez 32 ans (et en plus vous êtes blonde) et votre site de e-commerce de services à la personne a été attaqué hier après-midi. Tous les accès ont été bloqués pendant plus d'une 1h30.

Les statistiques d'utilisation de votre accès Internet 10 Mbits/s sont claires : Engorgement total par des centaines de milliers de paquets totalement inutiles.

Un peu après, vous avez reçu des demandes de paiement de la part d'une société s'identifiant "Ouzbek Offshore Operations). Une extorsion de fonds. La règle est simple : Ou vous payez la somme demandée (3.000 USD via Western Union dès aujourd'hui ou alors beaucoup plus cher si vous attendez).

Est-ce une société écran de la fameuse société MCA du fameux Boris Goudonov ? Peut-être. Peut-être pas.

Que faire ? Payer ? Payer plus tard ? Attendre de voir comment la situation va évoluer ? Non. Il doit exister des solutions Vous décrochez donc votre téléphone pour rencontrer ....

On m'a beaucoup reproché de ne pas faire dans la nouveauté pour cette petite série d'articles. Ceux qui disent cela, ...ont parfaitement raison. Mais alors que vont-ils dire de celui-ci ? Après les techniques de dissimulation technologique, nous allons aller encore plus loin dans le passé. Mais comme je ne veux plus me mouiller, je vais laisser un de mes « nègre » s'exprimer. C'est pas moi, c'est lui !!!