Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 701 à 710.
| < Les 10 documents précédents | Les 10 documents suivants > |
(03/12/2010 11:14:18)
Malgré les menaces, les budgets sécurité baissent selon PwC
Cette situation est globalement reconnue par les organisations : 45% d'entre elles (contre 43% en 2009) constatent une augmentation des risques. Mais presque la moitié des répondants ont dû, dans le même temps, diminuer leur budget affecté à la sécurité. Certes, il reste une majorité (52%) qui compte l'augmenter, au moins un peu. Du coup, la qualification des équipes ou des prestataires en charge de la sécurité est globalement en baisse, pour réaliser des économies.
Les dangers du web 2.0 encore mal maitrisés
Le pire concerne les « nouveaux outils » : réseaux sociaux, cloud, objets nomades... Et la France est particulièrement une mauvaise élève, d'autant que la situation empire. Ainsi seulement 40% des organisations se sont dotées de logiciels de sécurité pour couvrir ces nouveaux risques. Ce chiffre est constant entre 2009 et 2010. Mais 23% (chiffre également constant) ont défini une politique de sécurité, autrement dit des modalités d'usage des outils de sécurité.
En France, les chiffres sont pires encore : 35% avaient des outils en 2009, 29% en 2010 ; 14% disposaient d'une politique en 2009 et 12% en 2010. Bien entendu, comme le souligne PwC, la sécurité ne doit pas être un empêcheur de tourner en rond et d'avancer avec les nouvelles technologies et pratiques mais la problématique sécuritaire doit être prise en compte.
Illustration appliance de sécurité Websense v10000, crédit photo D.R.
Chassé d'Amazon, Wikileaks revient en France et en Suède
Amazon a stoppé l'hébergement de Wikileaks sur son cloud EC2, selon Joe Lieberman, sénateur indépendant du Connecticut qui préside le comité sur la sécurité intérieure et les affaires gouvernementales du Sénat aux Etats-Unis (hsgac.senate.gov). En début de semaine, on disait que le site, sous les feux des projecteurs depuis sa publication de télégrammes diplomatiques confidentiels dimanche dernier, avait trouvé refuge chez Amazon pour échapper aux attaques en déni de service.
Mardi, le comité du Sénat sur la sécurité intérieure a contacté l'hébergeur pour une « explication », relate son président. Le lendemain, il était informé en retour qu'Amazon avait cessé d'héberger le site web Wikileaks. Celui-ci pourrait être maintenant hébergé en France chez OVH selon le site Gizmodo.fr, qui précise qu'il serait « en répartition de charge avec une infrastructure située en Suède ». Ce que confirment les recherches effectuées par nos confrères de Computerworld qui montrent que le site se trouve chez le Suédois Bahnhof Internet AB, une société située au nord de Stockholm.
Les sénateurs américains vont interroger Amazon
Outre-Atlantique, le sénateur Joe Lieberman a précisé qu'il espérait que la décision d'Amazon était intervenue plus tôt, en se fondant sur les précédentes fuites de documents classés confidentiels orchestrées par le site. « Les actes illégaux, scandaleux et irresponsables de Wikileaks ont compromis la sécurité nationale et mis en danger des vies à travers le monde », a-t-il déclaré dans un communiqué. Joe Lieberman considère qu'aucune entreprise responsable ne devrait héberger ces contenus. Il compte obtenir d'Amazon des précisions sur l'étendue de sa relation avec le site controversé et sur les mesures que l'hébergeur prévoit de mettre en place pour s'assurer, à l'avenir, que ces services ne seront pas utilisés pour diffuser des informations volées ou confidentielles. Voilà une question bien délicate pour un Amazon qui vante la facilité d'utilisation de ses services cloud. Tout utilisateur muni d'une carte de crédit et d'une connexion Internet peut s'enregistrer et commencer à utiliser aussitôt Amazon Web Services (AWS).
La récente publication des échanges confidentiels entre le Département d'Etat américain et ses ambassades constitue la deuxième salve de révélations de Wikileaks. L'an dernier, le site avait livré des centaines de milliers de documents relatifs aux conflits militaires en Irak et en Afghanistan. Une diffusion vivement condamnée par les autorités américaines, certains documents contenant des détails embarrassants sur les échanges entre les Etats-Unis et d'autres gouvernements.
Le cloud attire les cyber criminels
Lors d'un discours qu'il a prononcé à Sydney à l'occasion de la conférence annuelle de l'Association internationale des professionnels de la Sécurité Privée (International Association of Privacy Professionals), le ministre australien de l'Intérieur et de la Justice, Brendan O'Connor, a déclaré que les organisations criminelles exploitaient de plus en plus les services en ligne pour atteindre leurs propres objectifs. « Les cybercriminels ne cherchent pas seulement à voler des informations hébergées dans les clouds, ils peuvent aussi y cacher des données, » a-t-il fait savoir. À titre d'exemple, il a cité le cas de fournisseurs de services basés dans des pays peu regardant en matière de cybercriminalité « qui peuvent offrir des hébergements et des services de stockage confidentiels, facilitant ainsi le stockage et la distribution de données criminelles, à l'abri de toute détection par des organismes chargés d'appliquer la loi. » Par exemple, les cybercriminels peuvent utiliser le cloud secrètement pour stocker et vendre du matériel pédopornographique. « Les cybercriminels ont le pouvoir de contrôler les serveurs de ces clouds : ils peuvent empêcher l'accès d'utilisateurs légitimes à des sites web et cibler des sites pour y diffuser des messages ou des images de manière répétée, » a-t-il expliqué.
« Certains pensent également que les clouds peuvent être détournés pour servir de base au lancement de cyber attaques, y compris en utilisant la puissance de calcul des clouds pour casser les données chiffrées après avoir testé toutes les combinaisons de mots de passe possibles. » Selon le dirigeant, l'attaque, fin 2009, contre Google et plusieurs autres entreprises, a rappelé combien les systèmes et les données étaient vulnérables. « L'attaque, qui consistait aussi à pirater les mails de personnes ciblées, a montré la particulière vulnérabilité des informations personnelles et des échanges privés dans l'espace en ligne » a-t-il déclaré. Selon lui, la transparence et la confiance entre les fournisseurs de services cloud, les entreprises et les organismes gouvernementaux, permettraient de limiter les risques posés par la cybersécurité.
Attention à la sécurité des clouds
Pour montrer l'exemple, le gouvernement australien a décidé de s'appuyer sur l'unité High Tech Crime Unit de la Police fédérale australienne (AFP) qui a mis en place un système de traçage développé par CrimTrac pour repérer les matériels pédopornographiques. « Après une large consultation menée auprès du gouvernement, l'Australian Government Information Management Office (Agimo) enquête actuellement sur un certain nombre de questions, comme la vulnérabilité des systèmes de stockage de données offshore; les questions juridiques relatives à l'extra-territorialité en matière de conformité et de vie privée, et les aménagements contractuels nécessaires pour atteindre des niveaux de sécurité appropriés,» a déclaré le ministre. «Parce que les fournisseurs de services cloud ne sont pas interchangeables, les difficultés inhérentes à permuter entre les fournisseurs devront également être prises en compte, avec la possibilité de récupérer les informations en cas de catastrophe ou de défaillance du vendeur. »
En outre, pour les gouvernements, les risques de sécurité ou de confidentialité peuvent être augmentés dans le cas où le cloud héberge des clients indépendants, et partage entre eux du matériel et des ressources logicielles, sans compter que la concentration des ressources et des données en un seul lieu représente en soi une cible de choix pour les cybercriminels. «Étant donné les avantages du cloud computing, et pas seulement pour les entreprises, mais aussi pour les gouvernements et les particuliers, il est impératif de travailler ensemble sur ces enjeux afin de pouvoir profiter pleinement de tout ce que le cloud computing a à offrir», a conclu Brendan O'Connor. Ces déclarations vont dans le même sens que la mise en garde faite au mois de novembre par l'Australian Prudential Regulation Authority (APRA). Celle-ci avait publié une lettre ouverte mettant l'accent sur la nécessité de bien apprécier les risques liés à tout type d'externalisation et de délocalisation, y compris dans le cloud computing.
(...)(01/12/2010 15:21:14)Un service de sécurisation des données pour Salesforce.com
Le service consiste à crypter de toutes les données considérées comme sensibles, avant qu'elles ne soient transmises au système de Salesforce.com. Selon un document rédigé par Navajo, même si ces données résident chez Salesforce.com, elles sont « totalement illisibles (et donc inexploitables) ». Toujours selon Navajo « le vol de la base de données, les fuites accidentelles, les demandes d'assignations faites au fournisseur SaaS et même le vol d'identité, deviennent inoffensifs, et la conformité réglementaire est assurée. »
Le logiciel de Navajo décrypte l'information quand elle est renvoyée à l'utilisateur final, les entreprises conservant le contrôle des clés de déchiffrement. Le service fonctionne en tâche de fond et ne requiert aucune modification du code de l'application SaaS, selon Navajo. Si les données circulant entre le data center d'un fournisseur SaaS et le navigateur d'un utilisateur final sont généralement cryptées, la copie de la base de données résidant chez le fournisseur SaaS peut ne pas l'être. Les données des utilisateurs demeurent vulnérables, même si le fournisseur SaaS procède à leur cryptage, car un employé peu scrupuleux ou un pirate pourrait y accéder et violer cette l'information, toujours selon Navajo. Le service virtuel peut être installé sur un appareil qui s'intègre au réseau du client, ou être fourni à titre de service par Navajo ou par un fournisseur tiers.
Une sécurisation polyvalente
Basé sur Linux, le système repose sur trois composants : un serveur proxy placé entre de l'application SaaS et les utilisateurs du client, un moteur de chiffrement utilisant « des méthodes de cryptage homologuées, basées sur des algorithmes NIST », et un outil de gestion et de contrôle de la sécurité avec une interface web. Le chiffrement, indépendant du hardware ou de la base de données, reste sécurisé jusqu'au déchiffrement, en partie pour permettre aux applications de continuer à fonctionner. Par exemple, la date et l'heure d'une réunion dans un agenda pourraient ne pas être chiffrées, mais d'autres détails pourraient l'être, comme le précise le document de Navajo. La technologie de sécurisation utilisée permet également à l'application de rechercher et de trier les données chiffrées.
Navajo a déjà inclus par ailleurs des fonctions comparables à celles vendues pour Salesforce.com sur d'autres applications SaaS, comme SuccessFactors, Google Apps et Oracle CRM On Demand. L'entreprise israélienne est en concurrence avec des sociétés comme PerspecSys, laquelle propose aussi un service spécialisé pour la protection des données sur Salesforce.com. Selon Steve Coplan, analyste du cabinet 451 Group, qui a rédigé un récent rapport sur Navajo, « les enquêtes montrent que les questions de confiance et de sécurité sont déterminantes pour décider une entreprise à adopter le cloud computing. « Les fournisseurs de SaaS et les entreprises savent qu'en faisant cet investissement stratégique pour résoudre ces questions, ils peuvent contribuer à faciliter l'adoption du Cloud. Ce qui rend Navajo pertinent, » a t-il ajouté. Cependant, « nous craignons que, si l'offre spécifique de cette jeune société pour le respect et la confidentialité des données peut susciter l'intérêt, la société risque de se créer un handicap, en particulier si la conformité est comprise à juste titre comme un sous-ensemble de la sécurité et que la confidentialité des données comme un aspect de la transformation structurelle, » écrit Steve Coplan.
Fuites Wikileaks : le maillon faible de la sécurité reste l'humain
Le site Wikileaks (littéralement : Wikifuites) publie pour la deuxième fois des documents gênants pour les Etats-Unis et provenant d'exfiltrations de données classifiées. En tout, quelques 250 000 documents du département d'Etat [Ministère des Affaires Etrangères] américain auraient été récupérés et seraient en train d'être publiés. De façon inédite, cinq journaux à travers le monde ont collaboré sur l'exploitation de ces données et publient des articles basés sur elles, masquant au passage les identités de personnes physiques potentiellement mises en danger par cette publication : Le Monde (France), le New York Times (Etats-Unis), le Guardian (Royaume-Uni), El Pais (Espagne) et Der Spiegel (Allemagne).
Quelques soient les motivations de chacun dans cette affaire ou les conséquences politiques de ces révélations, il reste des leçons à tirer pour assurer la sécurité informatique. Et pas seulement au Département d'Etat.
Une fuite humaine, trop humaine
L'auteur de la fuite serait un jeune soldat de 22 ans, Bradley Manning. Selon Le Monde, ce jeune militaire serait un exalté ayant eu accès aux serveurs informatiques contenant les données. Il aurait plutôt un profil d'administrateur de serveurs. Selon the Guardian, ce même militaire est plutôt qualifié d'analyste. Dans les deux cas, cette affaire rappelle aux responsables d'entreprise ou de systèmes d'information, que le maillon faible de la sécurité, reste l'humain.
S'il était effectivement administrateur, comme il y a peu dans une affaire impliquant Google, c'est donc un technicien qui aurait eu accès au contenu des données situées sur les serveurs qu'il administrait. Or, fondamentalement, il n'est pas nécessaire pour l'administration technique d'un serveur de disposer d'un tel accès. Usuellement, pour éviter ce genre de soucis, il suffit que les données soient cryptées avec des clés dont l'administrateur du réseau et des serveurs ne dispose pas. Bradley Manning aurait déclaré que les mots de passe mis en oeuvre étaient d'un niveau faible.
Une autre approche serait celle de type DLP (Data Loss Prevention ou Data Leak Prevention). Elle consiste à protéger les données les plus sensibles en empêchant qu'on puisse les sortir d'un périmètre circonscrit ou de les copier sur un support amovible. Or, selon The Guardian et le Monde, cela pourrait être le mode utilisé par Bradley Manning qui aurait recopié les informations sur un CD réinscriptible. Il aurait déclaré "J'ai eu un accès sans précédent à des réseaux classifiés 14 heures par jour, 7 jours par semaine, durant plus de 8 mois."
La protection de type DLP a l'avantage d'être efficace face aux personnels ayant un accès légitime à un moment donné à des données sensibles. Par exemple, si la personne soupçonnée est un analyste.
Au bout du compte, la protection de données sensibles peut passer par la mise en oeuvre de dispositifs lourds de contrôle. Mais on devra d'abord analyser finement les droits d'accès de chaque utilisateur et de chaque administrateur, ainsi que de le niveau de confiance qu'on peut leur accorder. Dans combien d'entreprises les droits d'accès au système d'information sont-ils maintenus à des salariés qui ont quitté l'entreprise ? Encore une fois, la faiblesse d'une procédure de sécurité relève pour beaucoup de l'humain.
Illustration : le site Wikileaks (crédit : D.R.)
(...)
Bug de l'UAC du noyau de Windows : un cauchemar potentiel
Divulguée mercredi - jour où le code d'attaque a été rendu public - la faille permet de contourner le contrôle de compte utilisateur (User Account Control - UAC) dans Windows Vista et Windows 7. L'UAC, fréquemment mis en avant depuis la sortie de Vista en 2007, a été conçu pour rendre impossible ou du moins plus difficile l'installation sournoise de logiciels malveillants: il prévient les utilisateurs avant d'installer un logiciel sur la machine. « Microsoft a pris en compte la divulgation publique de détails concernant une vulnérabilité résidant dans le noyau de Windows, » a déclaré Jerry Bryant, responsable au sein du Microsoft Security Response Center. « Notre enquête se poursuit. Dès qu'elle sera terminée, nous envisagerons des mesures appropriées à entreprendre pour résoudre ce problème », a-t-il ajouté.
Ainsi que l'a expliqué dans un blog Chet Wisniewski, un chercheur travaillant pour Sophos, « le bug se situe dans le fichier « win32k.sys », lui-même composant du noyau, que l'on trouve dans toutes les versions de Windows, y compris XP, Vista, Windows Server 2003, Windows 7 et Windows Server 2008. » Plusieurs sociétés de sécurité, dont Sophos et Vupen, ont confirmé la vulnérabilité et ont indiqué que le code d'attaque rendu public fonctionnait sur des systèmes exécutant Vista, Windows 7 et Server 2008. Cependant, elles s'entendent aussi pour dire que les pirates ne peuvent utiliser l'exploit pour infecter un PC à distance, parce que cette action nécessite un accès local. Ce que Microsoft a également souligné de son côté. « Parce que le processus suppose d'outrepasser des privilèges utilisateur en local, il faut que les pirates puisse déjà exécuter du code sur une machine ciblée,» a déclaré Jerry Bryant. « En soi, ce bug ne permet pas l'exécution de code à distance, mais permet néanmoins à des comptes non-administrateurs d'exécuter du code comme s'il s'agissait de l'administrateur,» a ajouté Chet Wisniewski.
De nombreux utilisateurs de Windows XP, en particulier dans le grand public et les petites entreprises, font tourner le système d'exploitation via des comptes administrateur. Microsoft avait ajouté l'UAC à Vista, et au système d'exploitation qui a suivi, pour limiter les privilèges des utilisateurs, et par conséquent l'accès de logiciels malveillants au PC. Pour aboutir, il faudrait que les pirates réussissent à combiner l'exploit avec d'autres codes malveillants capables de tirer profit d'une vulnérabilité de la machine pour détourner un PC et contourner l'UAC. Cela ne concerne pas uniquement les machines tournant sous Windows, et peut se produire via n'importe quelle application couramment répandue, comme Adobe Reader, par exemple. «Ce type d'exploit permettrait à un logiciel malveillant déjà lancé contre le système de contourner l'UAC et de prendre le contrôle complet du système,» a déclaré Marco Giuliani, chercheur auprès de la société en sécurité informatique Prevx, laquelle avait signalé l'existence de cette vulnérabilité à Microsoft en début de semaine dernière. « Cette situation pourrait devenir cauchemardesque et nous nous attendons à ce que cet exploit soit activement utilisé prochainement, » a estimé Marco Giuliani. « C'est une occasion que les auteurs de malware ne vont sûrement pas laisser passer ! » a t-il ajouté.
L'efficacité de l'UAC avait déjà été mise en cause auparavant. Ainsi, l'an dernier, Microsoft avait modifié l'UAC de Windows 7, après que quelques blogueurs aient signalé qu'il pouvait être facilement désactivé par des attaquants. Jerry Bryant de Microsoft n'a pas précisé à quelle date Microsoft livrerait son correctif pour le bug en question. Mais selon le calendrier des mises à jours de Microsoft, la prochaine salve de patch est prévue pour le mardi 14 décembre. (...)
Le CH Avignon choisit Websense en SaaS pour se prémunir des spam
La DSI avait dimensionné les connexions réseaux de telle sorte à largement absorber le trafic et c'est donc les plaintes des utilisateurs qui ont mis le sujet du spam en avant. Sur 15 000 à 20 000 mails échangés par jour, il pouvait y avoir 90% de pourriels. De nombreux pourriels tendent à diriger les destinataires vers des sites qui peuvent dans certains cas tenter d'introduire des codes malicieux sur les postes. De tels codes malicieux peuvent constituer des menaces de sécurité sur le SI de l'hôpital qui, par nature, traite des données très sensibles.
Remplacer une solution opérateur
En première approche, la DSI a eu recours à une solution de tagage des mails mise en place chez son opérateur de télécoms. Mais chaque boite mail devait être paramétrée manuellement avec un filtre pour que les mails ainsi tagués soient envoyés dans le dossier dédié. Cette solution était donc lourde et pas totalement efficace. En plus, le flux de spam était destiné à grossir, entrainant cette fois des saturations techniques.
La DSI de l'établissement lance donc un appel d'offres pour choisir une solution externalisée de traitement des mails avec filtrage des spams. Ses critères sont nombreux : convivialité de la solution, facilité d'administration, nombre d'antivirus, taux de traitement des emails, facilité pour les utilisateurs d'accéder aux mails placés en quarantaine, correspondance avec le besoin, ergonomie de l'outil, maitrise de la solution proposée, etc. De plus, Le Centre Hospitalier d'Avignon a également exigé des niveaux de services en lien avec sa politique de sécurité, de gestion des risques et son Plan de Continuité d'Activité (PCA).
Il a choisi la solution Hosted Email de Websense, proposée en SaaS. Le prestataire s'est engagé sur la détection de 99% des courriers indésirables et 100% des virus connus.
Le coût du projet n'a pas été dévoilé.
Des composants audio pour pirater les distributeurs de billets
Beaucoup de banques ont des guichets automatiques équipés de dispositifs qui sont conçus pour déjouer le skimming, c'est-à-dire la mise en place d'un lecteur placé dans la fente d'insertion de la carte pour scanner les informations de la piste magnétique d'une carte de paiement. Mais il apparaît maintenant dans certains pays que ces dispositifs sont supprimés avec succès, puis modifié pour le skimming, selon le dernier rapport de l'équipe européenne de sécurité des guichets électroniques (EST), qui recueille des données sur la fraude dans toute l'Europe.
Les équipements de skimming sont conçus pour enregistrer les détails du compte sur la bande magnétique installée sur le dos d'une carte de paiement. Les données peuvent ensuite être codées sur une carte factice. Le code de la personne est souvent capturé par une micro-caméra, fournie avec le terminal illicite, selon le rapport.
Des composants de lecteur MP3 en cause
Les banques dans cinq pays ont également rapporté avoir vu un nouveau type de dispositif de skimming, qui utilise des composants audio utilisés notamment dans les lecteurs MP3 pour enregistrer les détails de la carte. Il dispose également d'une micro-caméra pour enregistrer les codes, selon une photo vue par nos confrères d'IDG NS. Le rapport n'indique pas dans quels pays cette fraude s'est produite. L'EAST souligne simplement que cette attaque s'est déroulée dans un pays qui dispose d'un « vaste déploiement » de distributeurs - où il y a plus de 40 000 machines dans le pays. Ces derniers peuvent être la France, l'Allemagne, l'Espagne, la Russie et le Royaume-Uni.
L'installation de logiciels malveillants sur un guichet automatique est devenue le moyen le plus sophistiqué pour frauder. Les distributeurs automatiques de billets fonctionnent souvent avec des systèmes d'exploitation tels que Microsoft Windows CE et sont vulnérables aux attaques à distance sir des personnes ont réussi à installer des logiciels malveillants. Les deux types d'attaques ont été démontrés par le chercheur en sécurité Barnaby Jack à la conférence Black Hat à Las Vegas en Juillet.
Dans l'ensemble, les banques européennes ont vu un nombre record d'attaque via le procédé de Skimming, mais les pertes ont baissé, selon les chiffres publiés par EAST. Ces dernières s'élèvent à 143,5 millions d'euros pour le premier semestre de cette année contre 154,1 millions d'euros au semestre précédent. La baisse a été attribuée à la généralisation du déploiement en Europe de cartes à puce, plus difficile à falsifier.
| < Les 10 documents précédents | Les 10 documents suivants > |