Sécurité des réseaux et des SI - Orange Business Services

Qui se souvient, l'industrie informatique invente assez souvent la technologie qui c'est juré croix de bois croix de fer sera LA technologie du futur. Souvenez vous à l'époque ATM était présenté comme le sauveur de tous les réseaux. Aujourd'hui c'est à la technologie en nuage de prendre le relais (ou cloud computing).

C'est bizarre on croit les choses immuables, les infrastructures réseaux sans problème, les serveurs sur-dimensionnés, et puis hop la crise. Le réseau peine, certains serveurs s'écroulent.

Dans mon bulletin du 12 Mars intitulé "Twitter ou les risques du microblogging" j'évoquai le risque que les systèmes de réduction d'URLs pouvaient poser, notamment dans le contexte d'un service comme Twitter. C'est chose faite, une première attaque est apparue.

Il y a quelques jours, le service de réduction d'URLs "cli.gs" a été victime d'une attaque et près de 2 millions d'URLs ont été modifiées par un attaquant qui a redirigées celles-ci vers une page du site Freedomblogging.com.

L'impact de cette attaque est à prirori assez limité car la page vers laquelle les utilisateurs étaient redirigés ne véhiculait à priori aucun code malicieux ni attaque. Il s'agit donc d'un premier avertissement : Les réducteurs d'URL sont fort pratiques mais ne doivent être nullement  négligés d'un point de vue sécurité.

Afin de reprendre le contrôle et visualiser la destination réelle de ces URLs raccourcies, l'extension Firefox "LongURL" est disponible. Ce service supporte l'extension automatique de plus de 200 service de réduction d'URL.

Comment donner le sourire à votre Président

Vous êtes un pauvre RSSI à la recherche d'un budget afin d'améliorer la sécurité de votre entreprise. Comment faire pour convaincre votre Président, CEO, Directeur Général, ou équivalent ?

Pourquoi ne pas faire appel à la méthode MICE fondée par les services de renseignements britanniques à la grande époque de la guerre froide ?
Cet acronyme donne les méthodes de base pour obtenir des informations sensibles depuis une source chez l'adversaire :
• M = Money = Acheter les informations en cash à Moscou. L'argent reste une valeur sûre.
• I = Ideology = Convaincre un agent britannique de la supériorité du communisme sur le système capitaliste. Pratique très efficace à une certaine époque.
• C = Constraint = Exercer une pression psychologique voire physique pour soutirer les informations. Cas de la vidéo compromettante en charmante compagnie.
• E = Ego = « Ton chef ne reconnait pas ta valeur. Exfiltrer des informations très sensibles démontrera tes capacités ». Nous sommes tous des talents en manque de reconnaissance.

Comment appliquer cette méthode avec votre respecté Président ou autre décideur ?

Les entreprises ont d'ores et déjà bien compris que la prise en compte de la sécurité par leurs utilisateurs finaux est un des points clés de leur dispositif sécurité. Par conséquent, elles tentent avec plus ou moins de réussite de sensibiliser et former leurs utilisateurs à la sécurité informatique. L'approche traditionnelle veut que le contenu des formations doit coller au plus près au contexte professionnel des salariés (nomades, VIP...) et de l'entreprise (secteur de la santé, secteur industriel...). Toutefois, force est de constater que, même si les messages sont ciblés, les utilisateurs continuent à avoir du mal à se les approprier et à modifier les comportements dits "à risque".

Wouf wouf wouf (logiciel de traduction automatique activé). Permettez moi de pousser un coup de gueule, cela fait un an que je lis studieusement ce blog. Et que lis je ? Ou plutôt que ne lis je pas ? Rien sur la sécurité physique...

| View | Upload your own

Vous vous appelez Marie-Laure, vous avez 32 ans (et en plus vous êtes blonde) et votre site de e-commerce de services à la personne a été attaqué hier après-midi. Tous les accès ont été bloqués pendant plus d'une 1h30.

Les statistiques d'utilisation de votre accès Internet 10 Mbits/s sont claires : Engorgement total par des centaines de milliers de paquets totalement inutiles.

Un peu après, vous avez reçu des demandes de paiement de la part d'une société s'identifiant "Ouzbek Offshore Operations). Une extorsion de fonds. La règle est simple : Ou vous payez la somme demandée (3.000 USD via Western Union dès aujourd'hui ou alors beaucoup plus cher si vous attendez).

Est-ce une société écran de la fameuse société MCA du fameux Boris Goudonov ? Peut-être. Peut-être pas.

Que faire ? Payer ? Payer plus tard ? Attendre de voir comment la situation va évoluer ? Non. Il doit exister des solutions Vous décrochez donc votre téléphone pour rencontrer ....

On m'a beaucoup reproché de ne pas faire dans la nouveauté pour cette petite série d'articles. Ceux qui disent cela, ...ont parfaitement raison. Mais alors que vont-ils dire de celui-ci ? Après les techniques de dissimulation technologique, nous allons aller encore plus loin dans le passé. Mais comme je ne veux plus me mouiller, je vais laisser un de mes « nègre » s'exprimer. C'est pas moi, c'est lui !!!

Je vous remercie de la confiance que vous me portez aujourd'hui , de grand maitre de la sécurité, je passe au grade de gourou sécurité. J'ai pourtant un regret ,il est dommage que vu mon grand âge , je n'arriverai jamais au grade suprême de messie de la sécurité. Mais ce n'est pas grave... Atchoum, veuillez m'excuser, je crois que j'ai un peu attrapé froid lors de mon séjour au Mexique... Chers amis, je voudrai tous vous serrer dans mes bras, et vous dire à quel point je vous aime....

Mais reprenons notre formation concernant la dissimulation de données ou le passage d'information lorsqu'une entreprise ne peut pas chiffrer ses données.