Sécurité des réseaux et des SI - Orange Business Services

Les cas de serveurs web non sécurisés et d'ordinateurs de bureau, dont les applicatifs ne sont soit pas installés soit non mis à jour (patch, anti-virus, firewall) ne sont pas rare; ils constituent naturellement autant de portes ouvertes pour des infections diverses : malware, collecte de données, chevaux de troie...
Cedric Pernet, animateur du blog dédié "Computer Security, Forensics, Malware & Cybercrime" et partenaire du Label Orange b2b
nous en dresse les grands contours en nous décrivant la technique du "drive by download" : Il s'agit, je cite de "toute méthode qui permet de faire télécharger et exécuter à l'insu de l'utilisateur un contenu (la plupart du temps) malicieux". Parmi les méthodes le téléphone peut devenir un outil d'intrusion.
Retrouvez la suite de cet article : Phone-by Download ?

La semaine dernière les heureux possesseurs de comptes mail Gmail ont vu automatiquement apparaître le mot Buzz dans leur barre de menu. 

Buzz, ou Google Buzz est le nouveau réseau social mêlant les particularités de Twitter et Facebook.

Ce réseau va encore plus loin car il utilise le compte mail pour communiquer avec le monde entier et de façon publique. Le compte mail qui était le dernier endroit de vie privée des utilisateurs devient désormais public.

Imaginez les petits soucis des entreprises utilisant des comptes Gmail ou ceux utilisant leur compte mail pour mélanger mails pro et perso.

Même si Google a déjà revu quelques paramètres de confidentialité, vos activités et contacts ont désormais de grandes chances de devenir publiques si vous n'utilisez pas correctement ce nouvel outil. 

Google mentionne même qu'il s'autorise, lors de l'utilisation de Google Buzz sur votre téléphone portable, à relever votre position géographique, à enregistrer votre "saisie vocale" autrement dit votre empreinte vocale.

Pour illustrer les excellents propos des articles du Figaro et de ZdNet, je vous invite à visionner cette petite vidéo de 5 minutes faisant un rapide tour du propriétaire (vidéo capturée le 15/02/2010) et vous apportant déjà quelques recommandations.

Alors que les scientifiques annoncent la fusion nucléaire contrôlée pour 2050, les fusions des vies, informations, logiciels, matériels informatiques et technologiques privés et professionnels ont déjà débuté. Malheureusement, la fusion des sphères d'informations privées et professionnelles se fait de manière incontrôlée grâce à l'explosion des outils du Web 2.0 et notamment des réseaux sociaux. Nous avons déjà évoqué les dangers liés à une utilisation naïve et non maîtrisée de ces outils (cf.post 1 et post 2).

Cependant, ces outils et cette évolution de l'éthnographie numérique représentent l'avenir et sont désormais incontournables comme le rappelle fort justement l'article du Monde en date du 22 janvier 2010 Assiste-t-on à une "démocratisation" de la vie privée ? Les réseaux sociaux offrent de nombreuses opportunités pour le développement des entreprises (e-reputation, marketing, RH, recueil et partage d'informations métier etc.). Nous évoquerons d'ailleurs dans un prochain post ces opportunités d'utilisation des réseaux sociaux qui peuvent s'avérer être une bonne stratégie de sécurité.

Face à l'ampleur et à la rapidité du phénomène, le principe de précaution pris par la majorité des directions de sécurité a été d'interdire leur utilisation. Cette interdiction n'est pas applicable et va à l'encontre du développement individuel et des entreprises.

Les responsables de la sécurité qui sont déjà conscients des risques doivent désormais prendre conscience des opportunités liées aux réseaux sociaux et accompagner leurs dirigeants et personnel à les utiliser de façon maîtrisée. Il ne faut pas renier les bases de la sécurité, mais adapter le discours afin de ne plus être une entité vue comme un centre de coût et un frein à l'innovation mais plutôt comme un guide accompagnant tout à chacun vers une utilisation des nouvelles technologies de façon opportune, maîtrisée et consciente. Cet accompagnement doit donc se faire au quotidien en prônant le « je vous ai compris : utiliser les réseaux sociaux et pour cela je vais vous servir de guide ». Une sécurité porteuse d'innovation s'intégrera mieux en amont des projets et de façon plus naturelle dans la stratégie d'entreprise.

Il va sans dire, qu'une charte fixant le cadre et les limites d'utilisation est indispensable. Mais celle-ci doit être complétée par un guide de bonnes pratiques didactique et proche de la majorité des utilisateurs.

Je vous propose donc une petite vidéo permettant d'accompagner les utilisateurs et donc les employés de vos entreprises pour leur apprendre à mieux paramétrer leur compte Facebook. Cette vidéo ne présente pas de manière exhaustive l'ensemble des paramètres mais permet aux utilisateurs d'y voir un peu plus clair dans le paramétrage de confidentialité Facebook.

Impossible de leur interdire l'utilisation à partir de leur poste privé alors autant leur apprendre à mieux l'utiliser. Les vies privées et professionnelles étant en pleine fusion, protéger la vie privée de ses employés permet également de protéger les informations à caractère professionnel. La formation du personnel est devenue une priorité. 

Dans le prochain épisode, comment Facebook pourrait être utilisé pour diffuser ces bonnes pratiques aux employés et surtout comment créer le dialogue sur les médias qu'ils utilisent en masse.

PS : Depuis le vendredi 5 février, Facebook migre petit à petit les comptes vers une page d'accueil différente. La fin de la vidéo présente cette nouvelle page et les principales nouveautés en termes de paramètre de confidentialité.

Revenons un peu sur la découverte au sein du cloud Amazon EC2 d'un centre de commande et de contrôle (C&C, Command & Control) d'un réseau de zombies de type Zeus.

Que faut-il en penser ?

En fait, pas grand chose : Un service cloud de type "IaaS" (Infrastructure As a Service, cad une bonne petite machine virtuelle) ce n'est rien de plus qu'un serveur dédié (bon je simplifie un peu mais pas trop non plus). L'opérateur du cloud IaaS s'assure que les VM fonctionnent correctement et tout et tout.... Ce qui tourne au sein des VM ne le regarde à priori pas : Si une faille de sécurité vient à être exploitée sur une application déployée par l'un de ses clients, l'opérateur du cloud n'y est pas vraiment pour quelque chose.

Dans l'une des dernières études du Forrester intitulée "Status, Challenges, And Near-Term Tactics For Cloud Services In Enterprise Outsourcing Deals" (Paul Roehrig, November 18, 2009), les enjeux liés à la sécurité des services cloud sont bien présents.

Avant que les entreprises fassent massivement le "grand saut" vers les services cloud ; des réponses à 7 grandes interrogations devront être apportées par les fournisseurs de services dans le nuage. Le premier d'entre-eux est la sécurité : "Even so, perceptions and genuine technical hurdles put security as one of the biggest challenges to broader enterprise cloud services adoption".

La sécurité des services cloud est en effet pointée comme une question récurrente sur laquelle les positions sont clairement dissonantes.

C&esar SSI 2009 et le métro belge via RFID

http://www.cesar-conference.fr/

 

250 participants, traduction simultanée en Anglais, 25 communications, 3 jours de débats sur la sécurité des communications sans fil, avec en clôture le Directeur de l'ANSSI (http://www.ssi.gouv.fr).  Le tout pour une centaine d'euros de frais d'inscription.

Bref un excellent cru 2009 pour les ex-journées SSI patronnées par le CELAR (DGA). Tant pis pour les absents.

   J'avais laissé la porte ouverte à cette idée dans mon précédent article Réseaux sociaux : mieux connaitre son ennemi. Et bien nous y sommes!
   Nous avons parlé jusqu'ici de l'incursion faite de l'univers professionnel dans l'univers personnel au sein des réseaux sociaux (l'utilisateur renseigne son profil "personnel" avec des données professionnelles). Or une nouvelle vague commence à apparaitre : utiliser les réseaux sociaux comme outil de communication au sein de l'entreprise.

Depuis l'avènement du téléphone portable (version GSM) le sans fil est devenu « a way of living » : WiFi à la maison, WiMax pour la couverture des zones blanches, paiement sans contact, réseaux militaires ad hoc...

Les avantages opérationnels sont indiscutables : Infrastructure légère qui permet un déploiement rapide. C'est ce qui a permis l'essor rapide du téléphone en Afrique, en Inde... Et puis une bonne résilience dans certains contextes : si un relai GSM tombe à Paris, le secours par un autre relai est généralement indolore.

Mais quid de la sécurité par essence ou par conception?

Confidentialités : Les ondes étant "audibles" par tous, l'échange peut être intercepté sans avoir à chercher la bonne paire téléphonique dans les égouts parisiens. Pire encore, l'identification peut éventuellement être copiée pour un rejeu ultérieur malveillant.
Disponibilité : Un simple émetteur micro-onde permet de brouiller des transmissions WiFi à un moment opportun. Les cas réels ne manquent pas.

On n'évoque ici les que défauts intrinsèques à la technologie. Mais on peut faire pire.

Dès sa conception, le GSM a fait preuve de quelques précautions induites par un mode de facturation « historique » basé sur l'enregistrement des appels et une identification relativement fiable de l'utilisateur.

Mais l'histoire du WiFi est une tranche de rigolade pure. J'annonce que je suis la borne WiFi de City Group. Ainsi le hacker ne perd pas son temps. Face aux critiques justifiées des experts sécurité, les artisans du WiFi ont inventé le WEP pour "Wired Equivalent Privacy". Cela ne s'invente pas. Puis sont arrivés le WPA et 802.1x. Il était temps.

Les autres techniques sans fil en déploiement, en expérimentation, ou en gestation seront-elles plutôt GSM ou plutôt WiFi ? Pour le savoir vous pouvez soumettre une contribution ou assister aux prochaines journées C&ESAR (ex Journées SSI du Celar) qui auront lieu du 24 au 26 novembre à Rennes : « Sécurité sans fil ... ou sans filet? »


http://www.rennes.supelec.fr/CESAR/
http://www.rennes.supelec.fr/CESAR/CESAR_2009.pdf

Je dois vous le dire tout de suite, je n'ai jamais rien compris à la mode. Tout est tellement volatile, changeant. Je prends un exemple au hasard, tenez le chiffrement. Dans le monde occidental, jusqu'à peu de temps, il se portait très court 128 bits, voire pas du tout. Puis d'un seul coup, la mode a changé, et il se porte de plus en plus long. Bizarre, non ? Heureusement, certains pays ne sont pas si futiles, et pour eux la mode n'a pas changé, il se porte toujours ultra court, et il est même malséant d'en porter, prenez exemple des pays orientaux.

   Nous avons déjà dit dans l'article Chiffrement total des disques : de nouveaux standards qu'il fallait bien prendre le chiffrement total de disque pour ce qu'il est réellement, à savoir une protection des données contre la perte/le vol du support de stockage. La transparence semble au rendez-vous que ce soit en terme de performance, de charge d'installation/administration, d'interaction avec l'utilisateur (un mot de passe à renseigner au démarrage). Mais aucune solution n'est parfaite comme le souligne le commentaire particulièrement détaillé de Florent, qui met bien en lumière les problèmes liés au chiffrement matériel du disque dur.