Sécurité des réseaux et des SI - Orange Business Services

En cette période estivale il ne faut pas oublier nos amis de Las Vegas, non, pas les Experts, le Black Hat ! Comme l'indique le titre de cet article les problèmes de sécurité touchent tout le monde, je sais ce n'est  pas nouveau, mais surtout les sociétés qui vendent BEAUCOUP de produits. Une marque très connue (avec une pomme comme logo) vient d'en faire les frais. La prise de main à distance via SMS, je trouve ca plutôt sympa. Je vous entends déjà dire « oui mais il n'y a pas que la pomme », certes ca marche AUSSI avec un portable de chez Bill, mais c'était juste pour titiller les amateurs qui me mettent sous le nez toute la journée leur 'précieux' en m'expliquant qu'il n'existe pas mieux et que la vie n'a plus d'intérêt sans (non je ne suis pas jaloux).

Le hacking mobile est en route (contrairement au correctif de cette faille) !!!

Ceci est juste une illustration de l'article de mon collègue Philippe, si votre produit est utilisé il sera 'plus' vulnérable qu'un autre.


Ref : Charlie Miller et Collin Mulliner

Cet été, les DNS auront encore chaud : Une faille de déni en service au niveau du logiciel DNS de l'ISC (Le serveur DNS "de référence") a été récemment annoncée : Il est ainsi possible de provoquer à distance l'arrêt d'un serveur DNS vulnérable. Le "fun" : Les scripts et outils d'attaque sont disponibles à qui le veut.

Rappelez-vous: L'année dernière, à peu près à la même période, les serveurs DNS avaient un coup de chaud à cause de la faille de "DNS-Poisoning" annoncée en grandes pompes par Kaminsky. Le sujet avait fait couler beaucoup d'encre et un programme massif de mise à jour des serveurs DNS avait du être lancé.

Nous avions d'ailleurs rédigé quelques bulletins sur ce thème (Faites une recherche sur le blog ou allez directement Here, Here ou encore Here)

Quand on connait l'importance que le DNS peut avoir, il y a de quoi s'inquiéter.

Tiens, je vais ressortir de mes dossiers les informations de l'année dernière : Une bonne occasion de capitaliser. Bien sûr vous avez pris le temps de structurer vos dossiers de l'année dernière non ? :-)

Sky News a defrayé la chronique avec un reportage qui demontre les risques de faire dépanner ses equipemets PC portable, disque, ou autres en respectant un minimum de confidentialité des informations stockés sur ces équipements.
Au travers de simultation de panne, le journaliste montre comment les techniciens n'ont parfois que peu de scrupules face a des informations laissée à portées de main sans aucune protection. Consequences ? Une serie d'actions indélicates qui vont du simple d'œil sur le disque à une scan systématique en passant par le vol d'information.

Pourquoi cette information est elle à prendre au sérieux dans l'entreprise ?

1. Il n'y pas de frontière étanche entre les univers pro et perso : le carnet adresse, voir l'agenda, de tout collaborateur (dupliqué sur le laptop, sur le téléphone ...voir sur Google) est un exemple type. Donc double chances de savoir qui vous rencontrez ...
2. La dématérialisation des pièces (contrats, brevets, projets, ...) est un trésor sur votre disque dur !
3. Vos mails ne sont pas vraiment à l'abri dans son fichier .PST
4. Et je ne parle pas du petit fichier toto.txt qui contient la liste des mots de passe

Bonne pioche ...

Quelles conclusions concrètes peut-on en tirer dans le domaine professionnel ?

• C'est peut être un bonne angle de formation/sensibilisation pour vos collaborateurs car les interventions techniques sont bien plus factuelles que l'introduction quais magique d'un pirate...
• La question du chiffrement (même très basique) se pose au sein de l'entreprise
• La virtualisation des informations personnelles est un chantier urgent... avant d'être débordée par les décisions prises par vos propres utilisateurs
• La gestion des tiers (sous-traitants, intervenants techniques, support technique ou SAV) devrait être repensée et surtout auditée afin de garantir qu'un minimum de précautions sont prises au tant au niveau des personnes, des processus et ... de pièces détachées.

Bon je vous quitte... avant que mon disque externe tombe en panne

Interview Christophe Roland
expert sécurité
Orange Business Services

Christophe Roland, expert Sécurite - Orange Business Services, nous parle de la sécurité des données privées et publiques en entreprise, une frontière toujours plus floue [...]

Cela fait bien longtemps que je n'ai joué sur un ordinateur, les jeux devenant trop complexes pour moi. Néanmoins, je me souviens que pour passer un niveau, il fallait toujours se mesurer à un « boss ». Or, j'ai un peu l'impression que le monde de la sécurité est un gigantesque jeu vidéo, on commence par des choses simples puis de plus en plus complexes. La seule différence est que pour la sécurité, on croit toujours qu'il s'agit du dernier niveau, et c'est déçu que l'on passe à un autre plus difficile même si on n'a pas tué le boss, contrairement aux jeux où l'on attend avec impatience le niveau supérieur en ayant fait le ménage complet sur les niveaux inférieurs.

Puisque l'on m'a invoqué lors d'un précédent article, me voici, tel le diable sortant de la boîte. Qui suis-je ? Boris Goudounov, bien sûr. Vous m'aviez oublié, grave erreur. Je suis le vice président de MCA, vous me remettez ?

Je suis aujourd'hui très heureux, toutes mes affaires prospèrent. Il faut dire que j'ai eu un peu peur l'hiver dernier. En effet, par voie de presse, j'apprenais, ce que je savais d'ailleurs depuis pas mal de temps, et pour cause, que la marine française avait été attaqué par le vers Conflicker. Normal que je le sache, on m'avait payé pour l'infecter. Par contre, que voyais je ? l'armée, et en plus française communiquait sur un incident de sécurité. Mais quelle est cette hérésie, je croyais bêtement qu'en France on ne communiquait pas sur ce type d'incident. Ou bien, qu'en France, il n'y avait pas d'incident de sécurité informatique, ce qui faisait de ce pays, le pays le plus sécurisé du monde. Heureusement, depuis tout est rentré dans l'ordre, et plus un communiqué n'est paru. Oui, vous avez bien lu le mot heureusement dans ma prose.

Eh oui, à tout prendre, j'aime beaucoup (non plutôt j'adore) lorsque les sociétés confondent dissimulation d'information (que l'on trouve très facilement sur n'importe quel moteur de recherche) et sécurité. Bien sûr, la sécurité repose sur le fait de dissimuler des informations, mais cacher des informations que l'on peut retrouver, cela s'appelle de la sécurité à travers l'obscurité (ou STO Security Through Obscurity). En fait, cette croyance (car c'en est une) repose sur le fait qu'un produit (au sens large) est fiable parce qu'il éveille peu d'intérêt ou qu'il est mal connu. Dissimuler certains éléments n'est pas mauvais en soi, mais pas mal de sociétés confondent « certains éléments » avec « toute l'informatique ».

Facebook souhaite offrir de nouvelles fonctionnalités pour protéger la vie privée de ses membres.

Ces derniers pourront, selon Facebook, dévoiler tel ou tel aspect de leur vie privée selon la catégorie à laquelle appartiennent les visiteurs qui consultent la page (amis d'amis, famille, collègues etc.).

Peut-être est-ce la conséquence de nos vidéos !!!

voir l'épisode 1  voir l'épisode 2

Ou plus exactement un pré-requis pour gérer la nouvelle fonctionnalité de micro-blogging afin de concurrencer Twitter !

Cependant, Facebook est sûrement le site offrant le plus d'options permettant de maîtriser les informations que l'on veut publier. Malheureusement, toutes ces options ne sont pas activées par défaut et font pâle figure face à la course aux amis qui alimente même les débats politiques ou certains se vantent d'avoir plus d'amis virtuels que ses concurrents !

Ces options sont un peu comme une ceinture de sécurité qui ne sert à rien si on ne l'utilise pas et ne servent à rien, encore une fois, si l'on peut avoir accès facilement à votre compte.

La semaine dernière j'ai encore eu un témoignage d'une utilisatrice qui s'est fait pirater son compte Facebook où le pirate la faisait passer pour une fille plutôt facile... Ce piratage aurait été plus difficile si son adresse mail ne servait pas à la fois de login et de mot de passe... CQFD.

"EXCLUSIF 3.000 entreprises françaises victimes d'espionnage économique en trois ans" - article de La Tributune.fr du 25/06/09 - .. Petit à petit, les langues se délient et les informations sur l'impact de la non-sécurité commencent à se diffuser dans notre très latine culture du non-dit.

Ce type d'information quantitative éclaire mieux la situation : NON la sécurité des systèmes d'information ne concerne pas que les secteurs sensibles, NON les tentatives malveillantes ne ciblent pas que les grandes entreprises, et pourtant....Combien de manager vont en tirer des conséquences pratiques à leur niveau ?

L'article de La Tribune est pourtant très documenté : " ...Les attaques par "visiteurs autorisés et intrusions consenties" représentent 16,95 % des attaques, suivis par les atteintes aux savoir-faire (11,8 %), les risques informatiques (10,72 %), les atteintes physiques sur sites (10,53 %), les désorganisations et fragilisations orchestrées (6,54 %), les atteintes à la réputation (5,26 %) et l'exploitation des vulnérabilités humaines (4,57 %)...."

C'est peut être là que le bas blesse : que veulent dire tous ces termes bien cryptiques pour un manager dont le métier est la finance, la production, la R&D et non la sécurité.

BIOS est si discrète que l'on a parfois tendance à l'oublier. Pour mémoire BIOS (Basic Input Output System) est le firmware qui est lancé au démarrage de la machine. Depuis l'avènement des mises à jour par flashage, BIOS est devenue une cible pour les attaquants, et un problème pour les professionnels de la sécurité. Nous avions déjà parlé de celui-ci lors de l'article sur les rootkits. Des chercheurs lors de la conférence CanSecWest ont démontré qu'un malware s'attaquant au BIOS peut infecter de nombreux types de carte mère indépendamment du système d'exploitation. Par nature, ces attaques sont très difficiles à détecter.

Depuis l'avènement du téléphone portable (version GSM) le sans fil est devenu « a way of living » : WiFi à la maison, WiMax pour la couverture des zones blanches, paiement sans contact, réseaux militaires ad hoc...

Les avantages opérationnels sont indiscutables : Infrastructure légère qui permet un déploiement rapide. C'est ce qui a permis l'essor rapide du téléphone en Afrique, en Inde... Et puis une bonne résilience dans certains contextes : si un relai GSM tombe à Paris, le secours par un autre relai est généralement indolore.

Mais quid de la sécurité par essence ou par conception?

Confidentialités : Les ondes étant "audibles" par tous, l'échange peut être intercepté sans avoir à chercher la bonne paire téléphonique dans les égouts parisiens. Pire encore, l'identification peut éventuellement être copiée pour un rejeu ultérieur malveillant.
Disponibilité : Un simple émetteur micro-onde permet de brouiller des transmissions WiFi à un moment opportun. Les cas réels ne manquent pas.

On n'évoque ici les que défauts intrinsèques à la technologie. Mais on peut faire pire.

Dès sa conception, le GSM a fait preuve de quelques précautions induites par un mode de facturation « historique » basé sur l'enregistrement des appels et une identification relativement fiable de l'utilisateur.

Mais l'histoire du WiFi est une tranche de rigolade pure. J'annonce que je suis la borne WiFi de City Group. Ainsi le hacker ne perd pas son temps. Face aux critiques justifiées des experts sécurité, les artisans du WiFi ont inventé le WEP pour "Wired Equivalent Privacy". Cela ne s'invente pas. Puis sont arrivés le WPA et 802.1x. Il était temps.

Les autres techniques sans fil en déploiement, en expérimentation, ou en gestation seront-elles plutôt GSM ou plutôt WiFi ? Pour le savoir vous pouvez soumettre une contribution ou assister aux prochaines journées C&ESAR (ex Journées SSI du Celar) qui auront lieu du 24 au 26 novembre à Rennes : « Sécurité sans fil ... ou sans filet? »


http://www.rennes.supelec.fr/CESAR/
http://www.rennes.supelec.fr/CESAR/CESAR_2009.pdf