Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 531 à 540.
| < Les 10 documents précédents | Les 10 documents suivants > |
(01/04/2011 14:34:40)
Le rapport X-Force d'IBM alerte sur la sécurité des mobiles et du cloud
Dans ce rapport, il est indiqué que les entreprises doivent notamment avoir à l'esprit que le jailbreak permet d'accéder au root des téléphones mobiles, ce qui pose un certain nombre de problèmes. Alors que de nombreux propriétaires de téléphone choisissent volontairement d'outrepasser les restrictions du constructeur pour installer sur leur mobile des applications initialement non compatibles, les pirates savent aussi tirer parti des outils de jailbreaking à leur disposition. Ainsi, ils peuvent modifier le code à l'intérieur d'un outil pour obtenir un accès root non autorisé, comme l'indique un rapport sur les tendances et les risques «IBM X-Force 2010 Trend et Risk Report» établi par des spécialistes de la sécurité chez IBM.
Une autre préoccupation émise dans ce rapport concerne les menaces que représente la sécurité des réseaux sociaux, généralement très sous-estimées selon eux. Certes, comme le précise le rapport, « les attaques généralisées visant à exploiter ces vulnérabilités ne sont pas légion. » Mais c'est essentiellement parce que « pour ceux qui mettent en place des réseaux de zombies à grande échelle sur Internet, les ressources financières que pourraient générer le piratage des appareils mobiles ne sont pas aussi intéressantes que celles procurées par les machines de bureau. » Néanmoins, chaque téléphone mobile peut contenir suffisamment d'informations précieuses pour justifier une attaque ciblée. « Introduit dans un mobile, un programme malveillant peut être utilisé pour espionner les utilisateurs, accéder à des informations sensibles, et entrer dans les réseaux d'entreprise. Par conséquent, les entreprises devraient prendre au sérieux le risque que représentent ces logiciels malveillants », indique le rapport.
Adapter sa sécurité
IBM X-Force recommande un minimum de mesures de sécurité dont un pare-feu, un anti-malware, des mots de passe forts, le verrouillage et la suppression des données après plusieurs tentatives de connexion, l'utilisation de passerelles entre les dispositifs et les réseaux d'entreprise (VPN), et la configuration du Bluetooth de façon à ce que seuls les appareils sécurisés puissent se connecter entre eux. Les entreprises qui utilisent une flotte mobile devraient également envisager le cryptage des données sensibles. « Toutes les données ne doivent pas être chiffrées, mais les données sensibles de l'entreprise, oui, » préconise le rapport.
Les boutiques légales d'applications en ligne sont également désignées comme source très dangereuse pour la diffusion de malware sur les smartphones. Si elles ne disposent pas des ressources nécessaires pour contrôler toutes les applications soumises, ces plates-formes peuvent en effet vendre des applications qui sont en fait des logiciels malveillants. « Probablement, des applications en apparence dignes de confiance, sont facilement utilisées comme vecteur pour la propagation de malware, » indique le rapport. Les entreprises qui cherchent à sécuriser les smartphones pourraient utiliser à bon escient la technologie d'encapsulage pour séparer les données et les applications professionnelles de tout le reste sur un même téléphone. « Les utilisateurs ne veulent qu'un seul appareil, et le fait d'encapsuler le contenu professionnel permettrait aussi un usage personnel du mobile, tout en protégeant les données sensibles, » indiquent les spécialistes.
Le cloud aussi touché
Le rapport X-Force s'est également intéressé aux services Cloud et à la sécurité des nuages, un aspect qui conditionne grandement leur adoption. Mais de plus en plus d'entreprises s'y mettent, au moins pour héberger certaines de leurs données et applications. La sécurité ne doit pas être infaillible si les risques associés à l'utilisation du Cloud sont acceptables. « Pour les entreprises, la question n'est pas de savoir si le Cloud dans son ensemble est sécurisé, mais si elles-mêmes se sentent à l'aise pour délocaliser une partie de leur charge de travail sur le Cloud, » commente le rapport. Les clients doivent naturellement faire confiance à la sécurité offerte par les fournisseurs de Cloud, et accepter que ceux-ci donnent peu de détails sur leurs mesures de protection pour éviter de révéler leurs méthodes aux attaquants éventuels.
« Donc, les clients doivent faire confiance à leurs fournisseurs, mais ceux-ci ne peuvent garantir une sécurisation infaillible, » résume le rapport X-Force. Il est possible que les fournisseurs de nuage soient en mesure d'offrir une meilleure sécurité à leurs clients. « La protection que procure le nuage pourrait contribuer à mieux défendre les réseaux d'entreprise qu'ils ne le font eux-mêmes, » dit encore le rapport. « Au moins à court terme, les clients doivent évaluer leur degré de tolérance par rapport aux risques associés à l'utilisation de services Cloud et agir en conséquence, » indique le rapport.
Crédit Photo: D.R
(...)(31/03/2011 15:10:29)« Houston, nous avons un problème... » : Les systèmes de la NASA vulnérables
Comment une agence capable d'envoyer un homme sur la lune peut-elle être aussi négligente pour protéger ses serveurs ? Le rapport publié à la suite de l'audit et intitulé «Des mesures de sécurité insuffisantes exposent le principal réseau de la NASA à une cyber attaque » est aussi embarrassant que préoccupant. Surtout, il est révélateur de la question plus générale de la sécurité des réseaux au sein des entreprises. Car si RSA, sur laquelle repose l'authentification sécurisée au sein des réseaux de nombreuses entreprises, si Comodo, qui sécurise les sites web avec des certificats SSL cryptés, et si la NASA, l'une des principales agences du gouvernement des États-Unis qui doit protéger des données cruciales et confidentielles, ne sont pas en mesure de verrouiller leurs systèmes, les administrateurs informatiques d'entreprises de taille moyenne sont en droit de se demander ce qu'ils peuvent faire.
Plusieurs spécialistes de la sécurité ont été sollicités pour donner leur avis sur le rapport de la NASA. Ainsi, selon Tim Keanini «TK», CTO de nCircle, la sécurité est une procédure, et apparemment la NASA ne s'est pas employée à en affiner les contours. « La bonne exécution d'une procédure dans un domaine donné est une chose et la sécurité en est une autre, même pour des entreprises qui ont la parfaite maîtrise de certains processus. Ce n'est pas une excuse, c'est juste une réalité, » a t-il commenté. « Je suis certain que si la NASA gérait la sécurité de son système informatique avec le même niveau d'exigence qu'elle le fait pour ses missions, cette situation ne se produirait pas et nous aurions beaucoup à apprendre de ses méthodes. »
Pour Anup Ghosh, fondateur et directeur scientifique d'Invincea, des événements comme les attaques récentes menées contre HBGary, RSA, et Comodo, auxquelles s'ajoute ce rapport de la NASA, pourraient conduire les administrateurs des services informatiques à se dire : « Si cela se produit dans ces entreprises, que peut-il nous arriver ? » Mais, selon lui, la meilleure question serait: « Si cela se produit pour des entreprises très sécurisées, cela veut dire que ça arrive partout dans le monde ? » Anup Ghosh pense que la réponse à cette question est sans doute « oui ». Et il explique : « Si vous regardez n'importe quel réseau à la loupe, vous allez trouver des problèmes. Donc le problème de la sécurité ne concerne pas que la NASA, mais l'ensemble des réseaux. Si l'audit n'avait pas mentionné de difficultés, il y aurait eu lieu de s'interroger sur sa validité. Plus important encore, la réponse de la NASA, du Gouvernement, de l'industrie ne devrait pas se réduire uniquement à proposer plus de cycles de mise à jour. La bonne réponse serait plutôt de modifier l'architecture des réseaux, des serveurs et des postes de travail pour leur permettre de résister aux attaques. »
Des risques à relativiser et à préciser
Randy Abrams, directeur de l'enseignement technique chez ESET, appelle à la prudence face à cette affirmation selon laquelle la vulnérabilité des systèmes de la NASA pourrait mettre en danger les missions de la navette spatiale, ou rendre la Station spatiale internationale inopérante, une appréciation faite « davantage pour les gros titres, mais pas vraiment le risque principal, » selon lui. Les pirates s'infiltrant dans les serveurs de la NASA sont plus intéressés à s'emparer de données sensibles et sur une durée la plus longue possible - comme des données relatives au vol furtif hors de portée des radars, par exemple. Des attaques contre une mission de la navette spatiale leur procurerait peu de bénéfices, et serait aussi moins lucrative. Pour Randy Abrams, « c'est trop facile d'exagérer une menace en parlant de crash de la navette ou d'immobilisation de la station spatiale alors que le risque réel concerne plutôt la protection des données classifiées et des systèmes du Gouvernement. »
Oliver Lavery, directeur de recherche sur la sécurité et le développement de nCircle fait un bon résumé de la situation. Celui-ci explique que, aujourd'hui, les entreprises sont confrontées au défi de sécuriser un réseau de plus en plus diversifié et impalpable, et de protéger une quantité colossale et sans cesse croissante de données. Il explique que « la vulnérabilité du programme de sécurité n'est sans doute ici pas liée à un élément technique, mais plus probablement à l'insuffisance de la modélisation des menaces, de la hiérarchisation des évènements, et du processus d'évaluation. » Selon lui, « le vrai défi pour les grosses entreprises est de faire en sorte que les investissements consacrés à la sécurité soient justifiés et efficaces. »
Donc, Houston, nous avons, bien un problème. Mais, pas de panique. Évitez le sensationnalisme en agitant le spectre d'attaques terroristes contre des missions de la navette, et concentrez-vous sur les véritables enjeux qui ne figurent pas dans le rapport d'audit de la NASA. Ce que nous pouvons apprendre de la NASA, c'est que la sécurité est un processus, et non un événement, et que les entreprises doivent être aussi diligentes que possible pour identifier et résoudre - au minimum atténuer - de manière proactive ce qui expose leurs réseaux à un risque.
Le ministère de la santé alerte sur une tentative de phishing
Le ministère du Travail, de l'Emploi et de la Santé avertit les internautes français d'une tentative d'escroquerie en ligne en son nom, a-t-il indiqué mercredi 30 mars. Sous forme d'hameçonnage, la fraude se traduit par un e-mail de demande de vérification émanant du ministère avec nécessité de fournir ses numéros de carte vitale et de carte bancaire.
Le ministère du Travail, de l'Emploi et de la Santé rappelle qu'il ne demande en aucun cas de telles données aux internautes français.
De son nom anglais phishing, l'hameçonnage cherche à obtenir par la ruse des données personnelles pour une future usurpation d'identité.
(...)(31/03/2011 13:24:29)La FTC va surveiller Google pendant 20 ans sur la vie privée
La firme de Moutain View a accepté de se soumettre à des conditions assez sévères émanant de la FTC, l'organisme de régulation américain, après le lancement de Google Buzz. Lancé en grandes pompes en février 2010, le réseau social avait fait l'objet de milliers de plaintes d'internautes. Il a été déployé auprès des utilisateurs de la messagerie Gmail, mais l'option permettant de refuser de s'inscrire sur Buzz n'était pas opérationnelle. Les nombreux internautes qui avaient choisi de ne pas rejoindre le réseau social s'y trouvaient donc inscrits, quoiqu'ils fassent. Ceux qui avaient pris le train en marche ignoraient que leurs données personnelles puissent être partagées ou exposées aux yeux d'autres utilisateurs. La politique de confidentialité de Google au moment du lancement de Buzz était la suivante : «Lorsque vous vous inscrivez à un service particulier qui nécessite une inscription, nous vous demandons de fournir des renseignements personnels. Si nous utilisons ces informations d'une manière différente que celle pour laquelle elles ont été collectées, nous vous demanderons votre consentement avant de les utiliser ».
Des pratiques frauduleuses violant la vie privée
La FTC reproche donc à Google d'avoir violé cette politique de confidentialité en utilisant les informations fournies pour Gmail à une autre fin. Le régulateur a également noté, - en dépit de la présence d'options permettant de ne pas s'inscrire sur Buzz, ou de le désactiver après s'y être inscrit - que Google a induit en erreur les utilisateurs en usant de pratiques frauduleuses qui ont violé leur vie privée.
La FTC a donc exigé que Google mette en oeuvre un programme de protection des renseignements personnels complets. Elle demande à ce que la firme de Moutain View se soumette tous les deux ans à un audit indépendant de ses pratiques en matière de confidentialité et ce pendant 20 ans. « Lorsque les entreprises font des promesses de confidentialité, elles doivent honorer leurs engagements », a déclaré Jon Leibowitz, président de la FTC, dans un communiqué annonçant l'accord sur Google Buzz. « C'est un règlement très contraignant qui garantit que Google fournira une protection forte pour la confidentialité des internautes, dans toutes ses opérations. »
Le régulateur rendra les termes de l'accord sur Google à la disposition du public, et ce texte sera soumis à consultation jusqu'au 1er mai.
(...)
Au coeur de la Silicon Valley: Sauvegarde fine chez BackBlaze et sécurité pointue de Palo Alto Networks
Dans la cour d'un immeuble de San Mateo, un petit escalier mène dans les locaux d'une jeune start-up baptisée BackBlaze. Fondée en 2007 par deux quadras, Gleb Budman (CEO, voir ci-dessous) et Brian Wilson (CTO) qui ont déjà vendu deux autres start-up(Kendara revendue à Excite@Hoem et MailFrontier à SonicWall) , BackBlaze repose sur une idée simple : faciliter et automatiser la sauvegarde en ligne des PC portables et des ordinateurs de bureau des particuliers et des PME-PMI.
Pour ce faire, la start-up a fixé un prix unique de 5$ par mois pour une quantité illimitée de données. Le plus gros client héberge ainsi en ligne pas moins de 10 To. Un cas extrême, mais qui répond bien à la philosophie de la petite entreprise (11 salariés à ce jour) : « nos clients ne doivent pas perdre de données et comme nous ne voulons pas stresser nos clients, ils peuvent tout sauvegarder » précise Gleb Budman. Il faut bien sûr installer un logiciel, un agent système en fait, sur son PC ou son Mac (pas encore de version Linux) qui envoie et synchronise les données sur les serveurs de BackBlaze hébergés dans un datacenter à Fremont. Si BackBlaze ne demande aux utilisateurs de sélectionner les données qu'ils veulent archiver, la start-up élimine les fichiers inutiles comme le système d'exploitation, les applications et les différents caches des logiciels.
Compression et dédup en standard
Les données conservées sont ensuite compressées, dédupliquées et cryptées sur les appliances de BackBlaze. C'est en effet une des particularités de cette start-up. Elle a en effet conçu une appliance baptisée Storage Pod d'une capacité maximale de 67 To avec des disques durs de 2 To. Configuré en RAID 6, ce serveur dédié peut ainsi perdre 1 ou 2 disques durs sans conséquence pour les données des clients. De type distribué, le stockage est réparti sur toutes les appliances animées par une version très allégée de la distribution Linux Debian.
L'architecture distribuée de BackBlaze repose sur une solution baptisée Central Authority qui répartit toutes les données entre les Pod et ce sans faire appel à une base de données. « Avec le temps, les bases de données deviennent gigantesques et ralentissent considérablement l'ensemble de la plate-forme. Nous avons préféré nous affranchir de cette contrainte lors de la conception de notre solution de stockage » précise Gleb Budman.
Une solution développée en interne
Si BackBlaze a fini par accepter de vendre ses Storage Pod - mais sans assurer de support - elle garde la main sur son logiciel. « Nous ne licencions pas notre programme, c'est le coeur de notre solution de sauvegarde » nous a indiqué Brian Wilson. Aujourd'hui, la start-up dispose d'une centaine de Pod avec plus de 2500 disques durs. Soit une capacité de stockage de 10 Pétaoctets. « Nous installons 10 nouveaux Pod tous les mois et remplaçons un ou deux disques durs cramés tous les semaines. »
La solution de sauvegarde incrémentale de cette start-up n'est pas seule sur le marché, mais elle permet de conserver des fichiers d'une taille maximale de 9 Go pendant 30 jours. La restauration est possible via un navigateur web, un DVD (99 $ avec une expédition partout dans le monde) ou un disque dur externe (199$ avec une expédition partout dans le monde). Mais pour restaurer ses données, il est bien sûr nécessaire de sauvegarder ses données. Gleb Budman rappelle pour l'anecdote qu'une de ses clients n'arrivait pas à récupérer ses données en ligne... et pour cause après la création de son compte (une adresse email, un mot de passe et une carte bancaire suffisent), il n'avait jamais installé l'agent système...
[[page]]
Une génie de la sécurité chez Palo Alto Networks
Changement de métier avec Palo Alto Networks. Si la sécurité est encore à l'ordre du jour, la société spécialisée dans la conception de firewall a été créée en mars 2005 par des gens qui pensaient qu'il y avait de graves lacunes dans ce domaine. La tête pensante de cette entreprise installée à Sunnyvale est bien connue dans le petit monde des firewalls : il s'agit du percutant Nir Zuk. Prodige des mathématiques, cet Israélien a fait parti de l'équipe qui a conçu la technologie d'inspection des paquets IP chez CheckPoint Software à la fin des années 90. Depuis il est passé par NetScreen et Juniper avant de fonder Palo Alto Networks à partir d'une idée simple : « toutes les technologies de sécurité utilisaient aujourd'hui pour protéger Internet datent des années 90. Toutes les compagnies utilisent des dérivés de la technologie d'inspection des paquets que j'ai développée pour les firewalls Check Point ».
Mais depuis les usages et les attaques ont bien changé. « Les firewalls ne protègent que le web et les emails et ignorent les autres usages : SalesForce, WebEX ou encore SharePoint. Facebook pose également un problème particulier en terme de sécurité. Les entreprises bloquent ou laissent passer le service avec tous les problèmes. Personne ne sécurise aujourd'hui Facebook tout comme Linkedin ou Viadeo en France. Skype est un autre exemple de bad application. Nous recommandons à tous nos clients de bloquer ce service ainsi que LogMeIn ou Tor mais s'ils le font les utilisateurs trouveront le moyen de contourner le blocage. Il est donc nécessaire de protéger les utilisateurs ».
Suivre les évolutions des usages
Provocateur, Nir Zuk finit toutefois par avouer qu'il ne s'agit plus aujourd'hui de bloquer des services devenus courants dans les entreprises, mais bien de sécuriser les accès. « Il faut reconnaître les nouvelles applications et les bloquer avant d'obtenir leur signature et d'établir une règle. » A l'usage, la société propose des firewalls aux défenses personnalisables et plus seulement périmétriques. Le moteur Pan-OS 4 des boitiers analyse les paquets émis par les applications actives sur le réseau et sur l'exploitation des profils utilisateur contenus dans Active Directory. Cela permet d'appliquer des règles de sécurité au niveau de chacun des utilisateurs en fonction de leur profil. Ce n'est plus l'adresse IP sur laquelle repose la politique de sécurité, mais sur l'identité de l'utilisateur. De plus, ces appliances sont capables d'identifier les applications web actives sur le réseau en analysant les paquets qui y transitent.
Aujourd'hui, Palo Alto Networks possède une base forte de 20 000 signatures qui continue de s'enrichir. Elle propose bien sûr d'utiliser des black listes avec son algorithme baptisé NGFWs Scan. Développé par Nir Zuk, ce dernier équipe les firewalls de nouvelle génération de Palo alto Networks. Très fier de son moteur d'analyse, le fondateur et CTO de la compagnie, précise que ce dernier ne contrôle pas tous les paquets, mais seulement ceux qui lui paraissent suspects. « C'est l'intelligence de notre moteur ». La firme a lancé un firewall 20 Gigabits, le PA-5060, capable d'adresser jusqu'à 100 000 utilisateurs environ et prépare une version 40 Gigabits et même 240 Gigabits (6 x 40 Gigabits en fait dans un même châssis). Ces équipements reposent sur un OS spécifique Pan-OS sur lequel le directeur technique ne désire guère s'attarder. On saura juste qu'une release majeure est proposée tous les six mois et qu'il s'agit d'un OS robuste qui peut sembler ressembler à Linux.
Modifications discrètes de l'organisation de la CNIL
Le Journal Officiel du 30 mars 2011 a publié les textes instituant le désormais fameux Défenseur des droits, nommé discrétionnairement en conseil des ministres sauf opposition des trois cinquièmes des deux commissions parlementaires supervisant de telles nominations. Le Défenseur des droits remplace le Médiateur de la République, le Défenseur des enfants, la Commission nationale de déontologie de la sécurité (CNDS) et la Haute Autorité de lutte contre les discriminations et pour l'égalité (Halde) comme mentionné à l'article 22 de la loi n° 2011-334 (voir encadré).
Au passage, la CNIL (Commission Nationale Informatique et Libertés) est aussi affectée à plusieurs niveaux.
Tout d'abord, le quotidien des contrôles de la CNIL dans les entreprises et administrations est modifié par les articles 7 et 8 de la loi n° 2011-334. Les contrôles sont ainsi mieux encadrés et respectent désormais les principes généraux des procédures judiciaires, notamment l'intervention du juge des libertés et de la détention pour les mesures atteignant aux locaux que la CNIL veut visiter contre l'avis de l'occupant. Ce point était objet de litiges.
Les articles 2 à 5 réorganisent la formation contentieuse prononçant les sanctions.
Une moindre indépendance
L'organisation et la composition de la CNIL sont donc également affectées.
Ainsi, le nouveau Défenseur des Droits s'y invite soit directement soit via un représentant (article 1 de la même loi) en tant que dix-huitième membre.
Elu en son sein, le président de la CNIL ne pourra plus être un élu. L'article 4 dispose en effet : « La fonction de président de la commission est incompatible avec toute activité professionnelle, tout mandat électif national, tout autre emploi public et toute détention, directe ou indirecte, d'intérêts dans une entreprise du secteur des communications électroniques ou de l'informatique. La durée du mandat de président est de cinq ans. »
Or, parmi les membres actuels de la CNIL, il y a 2 députés, 2 sénateurs, 2 membres du Conseil économique, social et environnemental, 2 conseillers d'État, 2 conseillers à la Cour de cassation, 2 conseillers à la Cour des comptes et 5 personnalités qualifiées désignées par le Président de l'Assemblée nationale (1 personnalité), le Président du Sénat (1 personnalité), et le gouvernement par décret (3 personnalités).
Si un fonctionnaire ou un magistrat devient président, il devra donc être mis en disponibilité. Un élu devrait démissionner mais, en tel cas, il perdrait de fait son mandat de membre de la CNIL puisque les deux sont liés. Cette disposition pourrait accroître l'indépendance de l'institution mais, de fait, va privilégier les « personnalités qualifiées » non-professionnelles et nommées discrétionnairement.
Les décisions de la CNIL s'imposant autant aux entreprises privées qu'aux administrations et collectivités, cette modification des relations de pouvoirs en son sein ne seront pas sans conséquences sur les exigences relatives aux systèmes d'information et aux fichiers de données personnelles.
L'EPITA se penche sur la sécurité du cloud
Le cloud computing est-il un renoncement à la confidentialité ? La question mérite d'être régulièrement posée et c'est ce qu'a fait l'école d'ingénieurs Epita au cours d'un colloque le 24 mars 2011. Une table ronde réunissait ainsi (de gauche à droite sur la photo) : Sylvain Thiry (RSSI de la SNCF), Patrick Langrand (directeur de la gestion des risques IT de La Poste), Nicolas Arpajian (journaliste animateur), l'Amiral Michel Benedittini (directeur général adjoint de l'ANSSI) et Sébastien Bombal (RSSI d'Areva, enseignant à l'Epita).
« Quand on ne maîtrise pas son système d'information, en cas d'externalisation notamment, il est difficile de savoir si l'hygiène informatique, cet ensemble de règles et de bonnes pratiques pour se prémunir des risques, est bien respecté » a souligné l'Amiral Michel Benedittini. Il a dénoncé l'opacité des contrats de la plupart des fournisseurs de prestations de type cloud et la régulière absence de clauses de niveau de service et de sécurité. Si certains très grands comptes peuvent négocier ces clauses, c'est absolument exclu pour les PME. « Même des dizaines de milliers d'utilisateurs ne permettent pas toujours de négocier » s'est offusqué Sébastien Bombal.
Où sont les nuages ?
Or l'une des questions posée par le militaire a aussi des répercutions en terme de conformité légale aux dispositions dites « informatique et liberté » : selon l'endroit où seront les données « cloudifiées », le gouvernement local ou ses services peuvent-ils accéder aux données et le cas échéant, comme cela s'est déjà vu, les transmettre à ses propres industriels nationaux ? L'Etat compte, pour répondre à cette problématique sans se priver des avantages du cloud, fabriquer un « cloud de confiance », avant tout pour ses propres usages.
Comme il est impossible de dire systématiquement « non » au cloud, le recours à des clouds privés ou soigneusement sélectionnés parmi des opérateurs strictement nationaux peut être aussi une solution. Enfin, il est aussi possible de ne mettre dans le cloud que des traitements et des données non-sensibles sur le plan stratégique et de conserver sur des plate-formes traditionnelles ce qui doit être strictement contrôlé.
Les métiers dans les nuages et le brouillard
Pour Sylvain Thiry, l'émergence du cloud a radicalement modifié la perception de la sécurité pour trois raisons principales. Tout d'abord, les prestations de type cloud et notamment SaaS sont de plus en plus souvent gérées directement par les directions métier utilisatrices et plus par la DSI. Or les DSI sont habituées à gérer les questions de sécurité, pas les métiers. Le RSSI doit donc de nouveau prendre son bâton de pèlerin.
Ensuite, le cloud est très attractif et l'interdire ou le limiter est compliqué car le recours à ce modèle implique une absence de rigidité : la direction métier peut tester, utiliser ou arrêter quand elle veut le recours à un tel service sans le moindre investissement. C'est le triomphe de l'Opex sur le Capex. Enfin, le cloud étant par définition une vaste ressource mutualisée très souple, la traçabilité de ce qui s'y passe est quasiment nulle.
Face à la pression des utilisateurs qui peuvent être du comité exécutif, trois attitudes sont possibles pour le RSSI selon Sylvain Thiry. « Dire non systématiquement parce que le cloud est trop risqué, c'est dangereux pour sa carrière » reconnaît-il. Mais, comme il l'indique aussitôt, « le oui mais, plus confortable a priori, est souvent en fait un non déguisé : l'analyse de risque par le RSSI, le CIL, le service juridique, les acheteurs, etc. va prendre du temps et coûter cher. Les éventuelles économies et les gains attendus de souplesse seront alors rapidement anéantis. »
[[page]]
Il reste donc au RSSI à anticiper les demandes nouvelles en termes de cloud. Les données non-sensibles sur le plan stratégique peuvent bien être hébergées sur le cloud, ce qui inclut pour Patrick Langrand des données sensibles psychologiquement comme la paye, externalisée dans bien des entreprises depuis des années. Une solution peut aussi être de chiffrer ce qui est cloudifié mais ce n'est pas forcément une solution satisfaisante ou toujours possible.
« Le plus grand risque, c'est que les directions métiers utilisent le cloud sans même avertir le RSSI ou le DSI » soupire Sylvain Thiry tout en reconnaissant qu'un « serveur local n'est pas nécessairement plus sécurisé qu'un cloud confié à une armée de spécialistes ». Mais, après tout, comme il en convient, « le risque est associé au processus et a donc le même propriétaire : le métier. Le RSSI est un sensibilisateur et un informateur, pas un décideur. »
Une ouverture de plus
Pour Patrick Langrand, la question de départ est presque sans pertinence : « si on s'oppose au cloud, le métier vous mettra dehors. » C'est d'autant plus vrai que le discours du DSI sera incompréhensible tandis que les prestataires de cloud ont fabriqué un discours marketing destiné aux décideurs métier.
Le véritable problème, selon lui, n'est pas le cloud en lui-même mais le quasi-monopole des Etats-Unis en la matière : « les Etats-Unis n'hésitent pas à pratiquer le protectionnisme des données mais pas l'Europe. Il est essentiel de développer des acteurs locaux de cloud. » Sébastien Bombal se veut, lui, plus rassurant : « l'entreprise étendue est un fait depuis des années et tout projet se fait avec des partenaires extérieurs. Le cloud n'est finalement qu'une ouverture de plus. »
Il y a cependant des pièges. L'économie affichée par certains prestataires n'est pas toujours aussi évidente. Ainsi, aucune entreprise ne peut entretenir une boîte mail pour deux euros par mois mais un tel coût proposé par des prestataires dans le cloud n'inclut pas l'assistance utilisateurs qui reste en interne. Surtout, comme toute externalisation, entrer dans le cloud est facile, perdre de la maîtrise plus encore, et revenir en arrière (même pour changer de prestataire) loin d'être simple, les équipes internes pour procéder à la manoeuvre ayant été supprimées.
MySQL.com victime d'une injection SQL
Le site web MySQL.com réservé aux clients d'oracle a apparemment été compromis au cours du week-end par des pirates qui ont publié les noms d'utilisateurs et dans certains cas leurs mots de passe.
Les deux hackers d'origine roumaine se font appeler « TinKode » et « Ne0h». La méthode utilisée pour le piratage est une attaque par injection SQL, sans fournir de détail plus précis. Les noms de domaines touchés ont été recensés : www.mysql.com, www.mysql.fr, www.mysql.de, www.mysql.it et www-jp.mysql.com. Selon un post sur la liste de diffusion Full Disclosure, MySQL.com repose sur une variété de bases de données internes qui sont sur un serveur web Apache. Les informations affichées sur le post inclus une série d'empreintes (hash) de mots de passe, dont certains ont été cassés.
Attention au mot de passe trop simple
Parmi les informations d'identification publiées par le site Pastebin, on découvre par exemple le blog de deux anciens employés de MySQL. Il y a l'ancien responsable produit, Robin Schumacher, et l'ancien vice-président des relations communautaires, Kaj Arno. Le premier est actuellement directeur de la stratégie produit chez EnterpriseDB, tandis que le second est maintenant vice-président exécutif pour les produits à SkySQL. On notera que le mot de passe choisi par Robin Schumacher, 6661, est très simple et ne correspond pas aux règles élémentaires de sécurité.
Oracle, qui a pris le contrôle de MySQL avec l'acquisition de Sun Microsystems en avril 2009, n'a pas fait de commentaires. Sucuri, une entreprise de sécurité qui surveille les sites web des attaques de pirates, a conseillé aux utilisateurs ayant un compte sur MySQL.com, de changer leurs mots de passe dès que possible et surtout de ne pas utiliser le même mot de passe sur plusieurs sites.
Les cybercriminels vendent des kits d'attaques as a service
Ces kits vendus sont composés d'une variété de techniques de piratage, ou séquences de codes, capables de tirer parti des failles logicielles afin de les infecter par des programmes malveillants. Des chercheurs de Seculert ont trouvé au moins deux kits - Incognito 2.0 et Bomba - livrés avec leur propre solution d'hébergement et leur interface de gestion. « Le nouveau business model rend la tâche facile aux cybercriminels qui pouvaient avoir certaines difficultés à sécuriser leur hébergement ou à trouver des FAI prêts à héberger leurs serveurs malveillants, » dit Aviv Raff, CTO et cofondateur de Seculert. L'entreprise offre un service cloud spécialisé chargé d'alerter les clients sur les logiciels malveillants en circulation, les exploits et autres cyber-menaces.
Les offres globales sont destinées aux criminels qui souhaitent atteindre un grand nombre d'ordinateurs tournant sous Microsoft Windows. Une fois les ordinateurs piratés, les machines peuvent être utilisées pour voler des données personnelles, envoyer des spams, mener des attaques par déni de service ou à d'autres choses encore. C'est aussi moins cher. Les clients ne payent que le temps pendant lequel leurs attaques sont actives. « Autrement dit, si pour une raison ou une autre le FAI décide de fermer les serveurs pirates, ils n'ont rien à payer, » explique le CTO de Seculert. Celui-ci a estimé que ce type d'hébergement et de service coûtait entre 100 et 200 dollars par mois. «Tout est géré par le prestataire de services, » indique Aviv Raff. « Le client ne paye que pour le temps pendant lequel ses attaques sont hébergées. Nous ne connaissons pas les tarifs exacts, mais comme pour n'importe quel autre service cloud, il est clair que cette offre revient beaucoup moins cher que l'achat séparé d'un kit et de son hébergement, » a t-il dit.
Les clients doivent fournir leurs propres malware constituant les exploits à diffuser. Ils doivent également prendre en charge le piratage des sites web à partir desquels ils veulent rediriger leurs victimes vers le serveur malveillant hébergé par les opérateurs d'Incognito. Quand une victime potentielle visite l'un des sites web infecté, une balise iframe active le transfert de contenu à partir des serveurs Incognito d'où sont menées plusieurs attaques contre les machines en vue de réussir une ou plusieurs intrusions.
Les réseaux sociaux et l'actualité comme planche d'appel
Jusqu'à présent, Seculert a dénombré qu'environ 8 000 sites légitimes avaient été piratés et touchés par des exploits hébergés par Incognito. « Certaines victimes sont infectées quand elles vont visiter ces sites selon un mode de navigation normale, » explique Aviv Raff. Les pirates ont également mené des campagnes de spam pour tenter d'attirer les internautes vers ces sites infectés. Comme l'a récemment remarqué Seculert, un de ces messages prétendait venir de Twitter, manifestant son soutien au Japon et invitant les gens à cliquer sur un lien pour voir une vidéo des réacteurs de la centrale de Fukushima endommagée par le tsunami. En réalité, le lien de ce faux message ne débouchait sur aucune vidéo. Au lieu de cela, un cheval de Troie était téléchargé et installé sur l'ordinateur, dans le cas où celui-ci présentait une vulnérabilité logicielle.
« Incognito 2.0 fournit une interface de gestion basée sur le web qui permet aux clients de vérifier combien d'ordinateurs ont été infectés et quel type d'exploit a été utilisé, » ajoute le CTO de Seculert qui a posté des captures d'écran sur son blog. Incognito 2,0 semble en pleine croissance : les chercheurs de Seculert ont pu établir après analyse de son infrastructure, qu'au moins 30 clients utilisaient la plate-forme pour installer toute sorte de malware, depuis le Trojan Zeus de piratage des comptes bancaires, jusqu'aux faux logiciels antivirus et aux chevaux de Troie génériques qui provoquent le téléchargement et l'installation d'autres logiciels malveillants sur un ordinateur infecté. Sur une quinzaine de jours en janvier, au moins 150 000 machines ont été touchées : environ 70 % de ces ordinateurs ont été infectés avec un exploit utilisant une vulnérabilité dans l'environnement d'exécution Java, et 20 % en profitant d'une faille dans Adobe Reader.
IPsteel sécurise le WiFi avec AirTight Networks
Le grossiste à valeur ajoutée Ipsteel introduit en France et en Belgique SpectraGuard de l'américain AirTight Networks. Cette solution de prévention des intrusions pour les réseaux sans fil (Wireless Intrusion Prevention solution ou WIPS) se compose d'une appliance d'administration et de monitoring reliée en Ethernet à autant de capteurs que nécessaire pour couvrir le périmètre à sécuriser.
Dès lors, ces derniers vont empêcher toute personne située à l'extérieur de capter le signal du réseau wifi de l'entreprise équipée si elle n'est pas référencée dans l'annuaire des utilisateurs. Ils peuvent aussi éviter que l'équipement personnel d'un collaborateur qui se connecterai depuis le périmètre autorisé sans passer par le réseau de sa société ne puisse devenir une passerelle d'accès au systèmes d'information de l'entreprise.
A noter que l'appliance peut être administrée à distance. Cela autorise pour un revendeur de proposer SpectraGuard en mode SaaS en n'installant que des capteurs au sein de l'entreprise à sécuriser. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |