Apres l'attaque sur SNS DYN, la sécurité des IoT en question par Cheapset, IBM, SentinelOne, F5, Kaspersky, 6Cure, Hiscox, ESET, Zscale...

 

Communication Corporate: 

 

 

C-1

 

 

 

 

 

 

Suite à la série d'attaques DDoS vendredi 21 octobre 2016 avec entres autres pour cibles le fournisseur de DNS DYN et OVH nous publions quelques commentaires  d'experts IT. Rappel: la première cyberattaque aurait atteint les 620 Go/s, un volume qui s'est avéré impossible à gérer pour l'hébergeur Akamai. C'est ainsi que le site s'est retrouvé hors ligne pendant plusieurs jours. De nombreux services sur Internet ont connu des interruptions voire une mise hors service comme pour aux Etats-Unis Twitter, Airbnb, Paypal ou Spotify. Si la plupart des sites ont été remis en service au bout de quelques heures, les autorités américaines viennent tout juste d'annoncer l'attaque comme « totalement neutralisée » le mardi 25 octobre soit cinq jours apres le début des attaques. 

 

A l'origine: des webcams piratées agissant telles des zombies du DDoS. Le deuxième incident notoire a affecté l'hébergeur français OVH. Ce dernier a survécu à une attaque avec des pointes à 1,5 To/s menée, selon ses informations, par des pirates exploitant 145 000 caméras et enregistreurs vidéo numériques (soit un cas similaire à celui d'Akamai). Dans les deux cas, les IoT sont considérés comme vecteurs principaux. La bande passante est une ressource comme une autre. À lui seul, un périphérique générant un trafic situé entre 1 et 30 Mo/s semble ne pas présenter de risques importants ; en revanche, la charge générée par des centaines de milliers d'entre eux pouvant atteindre 2 To/s supplémentaires, il deviendra alors nécessaire d'agir pour protéger les ressources réseau.

 

 

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

 

Arnaud Cassagne, Directeur des Opérations, Cheapset, groupe Newlode :

 

Il s'agirait du même type d'attaque que pour OVH, Le malware Mirai serait derrière tout ça, avec un botnet composé de caméras et de DVR. Cette fois-ci ils ont ciblé un seul type de serveurs (les DNS), et concentré la force de frappe sur un service crucial. Sans réponse aux requêtes DNS c'est toute la chaîne applicative qui est impactée.

Se pose encore la sécurité des objets connectés, et de ce qui pourrait se passer si les « Réseaux de Bot » s'étendaient encore un peu plus. Les foyers recèlent de dizaines d'objets connectés, dont certains disposant d'une puissance de calcul importante (CPU, débit réseau, etc.). Hier, une partie d'Internet a été paralysée quelques heures, quid de demain ?

 

 

Norman Girard, Vice-Président et directeur général Europe de Varonis :

 

Comme beaucoup de nos technologies vieillissantes, DNS n'a pas été conçu avec un impératif de sécurité à l'origine. DNS est une technologie de base de l'internet qui permet aux gens de se connecter à d’innombrables ressources sur le web en utilisant des noms plutôt que des adresses IP (voyez ces dernières comme des numéros de téléphone). C’est pourquoi, quand les vulnérabilités de DNS sont exploitées les hackers peuvent faire beaucoup de dégâts : les ordinateurs ne savent plus quel "numéro de téléphone" appeler lorsque l’utilisateur souhaite se connecter à un site, comme Twitter ou eBay par exemple. DNS est l'une des technologies vieillissantes que l'industrie a du mal à mettre à jour, tout comme l'authentification à simple facteur (une sécurité par mot de passe uniquement), les connexions web non chiffrées, etc. La liste est très longue et les enjeux n’ont jamais été aussi élevés. De nombreuses personnes et organisations sont affectées par cette dernière attaque, de même que par les fuites d’emails et de fichiers survenues ces deux derniers mois.

 

 

 ioT-AtT-report-2016-CyberisquesNews

 

 

Commentaire de Jeremiah Grossman, Directeur de la stratégie de sécurité de SentinelOne :

 

Les services DNS sont devenus indispensables à n’importe quelle entreprise ou site web pour la stabilité et les performances d'Internet. C’est pourquoi, les entreprises externalisent généralement la gestion des DNS à des fournisseurs tiers qui disposent d'infrastructures de qualité et fiables. C'est tout naturellement que ces infrastructures sont devenues des cibles attrayantes pour des attaques DDoS à grande échelle - parce que si vous faites chuter un de ces fournisseurs de services DNS, vous pouvez perturber un grand nombre de services en ligne, ce qui est exactement ce que nous avons observé vendredi. Les fournisseurs de DNS se bousculent pour augmenter la capacité de leur bande passante afin de pouvoir supporter les éventuelles attaques DDoS qu’ils pourraient subir.

 

 

Vincent Lavergne, Directeur avant-vente de F5 Networks EMEA Europe :

 

Le ciblage de DNS (Domain Name Systems) pour lancer des attaques DDOS est de plus en plus commun. DNS est en effet la technologie qui contrôle le trafic Internet et des emails et qui aide à gérer les messages entrants et sortants. DNS est la clef de voute de l’Internet permettant à tout un chacun de ne pas avoir à retenir les adresses IP des sites pour les applications mais leurs noms. Les pirates ont récemment utilisé cette approche dans plusieurs attaques de haut niveau, comme par exemple dans le cas du botnet IoT Mirai utilisé plus tôt ce mois-ci contre OVH mais aussi auparavant lors de l’attaque qui a touché Spamhaus. Toutes deux ont en commun d’avoir été parmi les plus grandes attaques enregistrées à leur époque. Comme le prouve encore cette attaque, DNS est un protocole particulièrement ciblé de par la relative simplicité à forger des attaques puissantes (paquets UDP, technique d’amplification, etc.) ainsi que les dégâts causés. En effet si le DNS d’une société est indisponible, c’est l’ensemble des applications de cette entreprise qui ne sont plus accessibles.

Ce qui rend cette attaque différente c’est qu'un fournisseur de DNS spécifique, une société appelée Dyn ait été la cible, plutôt que des organisations spécifiques. En faisant cela, les pirates ont réussi à perturber un plus large éventail de cibles parmi les organisations qui utilisent les services du fournisseur dont des sites de renoms tels que Box, CNN, Imgur, PayPal Twitter, Spotify, Github, Airbnb, Reddit, etc. L’impact généré par cette attaque deviendra plus clair avec le temps, mais les piratages de cette nature mettent clairement en évidence la nécessité pour les entreprises de bénéficier de capacités de sécurité DNS plus robuste. »

 

 

 

David Emm, chercheur en sécurité chez Kaspersky Lab :

 

« Le vendredi 21 octobre, les médias du monde entier se sont fait l’écho d’une cyber attaque de grande envergure exploitant des objets connectés domestiques, comme des caméras de vidéosurveillance et des imprimantes. Cette attaque visait un fournisseur de services DNS et, indirectement, des sites web très populaires comme Twitter, Spotify, AirBnB et Reddit. Certains suggèrent que l’attaque a été menée, au moins en partie, par un réseau botnet d’objets connectés (IoT). Les attaquants ont infecté des appareils vulnérables avec le malware Mirai. Ce malware avait déjà été utilisé dans une attaque DDoS (Distributed Denial of Service) contre le chercheur en sécurité Brian Krebs. Cependant, le code source de Mirai ayant été récemment publié en ligne, il est impossible de confirmer avec certitude que nous avons affaire aux mêmes criminels.

Il semblerait que la méthode d’infection ait été particulièrement simple et repose en partie sur la complaisance humaine – celle des fabricants qui livrent leurs produits avec des configurations par défaut, et celles des utilisateurs qui ne changent pas ces configurations. Les attaquants utilisent les informations par défaut pour accéder aux services en ligne – y compris les routeurs, caméras IP, enregistreurs DVR, etc. Une fois que le code malicieux a été écrit sur l’appareil, il fait partie du réseau botnet. Comme dans toutes les attaques DDoS, les cybercriminels utilisent les appareils infectés pour submerger de trafic le site de leur victime, l’empêchant de fonctionner normalement. Pour arriver à écrire le code sur un objet connecté, il faut que l’objet dispose de suffisamment d’espace de stockage, ce qui écarte un certain nombre d’appareils (comme les grille-pain ou les machines à café).

Ce n’est pas la première fois que des objets connectés sont utilisés pour mener ce type d’attaque. Au cours des dernières années, des vulnérabilités dans des moniteurs pour bébé et des webcams avaient été mises au jour, permettant d’utiliser ces appareils pour d’autres buts que ceux pour lesquels ils ont été conçus. Les objets connectés sont des cibles faciles car beaucoup fonctionnent avec des configurations par défaut que les attaquants peuvent exploiter, il y a rarement des mises à jour du firmware et ils disposent souvent d’une connectivité 24/7.

Le meilleur conseil à donner aux gens qui utilisent des appareils connectés chez eux est de changer tous les mots de passe par défaut (en utilisant des mots de passe uniques et complexes). Cela permettra d’éviter qu’ils soient accessibles à distance – ce conseil est valable pour les box internet qui donnent accès au réseau domestique. Déconnecter tous ses appareils pourrait apparaître comme une bonne solution, mais il faut être pragmatiques et une bonne gestion de ses mots de passe suffit déjà à prévenir un grand nombre d’attaques. L’affaire de vendredi doit également rappeler aux fabricants qu’ils ont un rôle à jouer dans la sécurisation de leurs appareils, et ce dès leur conception. »

 

a lire aussi: https://eugene.kaspersky.com/2016/11/15/finally-our-own-os-oh-yes/

 

 

 

 

 Fabrice Clerc, fondateur de 6cure

 

 

L’attaque DDoS qui a eu lieu contre le fournisseur DYN DNS est caractéristique principalement sur deux aspects : les moyens utilisés et la cible choisie.

En ce qui concerne les vecteurs utilisés, ils appartiennent au monde des objets connectés (Internet of Things – IoT), et présentent le triple avantage d’être très nombreux, mal sécurisés et donc facilement mobilisables par un attaquant, et exploitant des protocoles très aisément utilisables dans une attaque, tels que le DNS. Ce choix permet donc d’obtenir un effet de levier très important, ce qui rend l’attaque redoutable. Au-delà de ça, rien n’est bien nouveau, et cela fait des années que les mises en garde se multiplient contre l’utilisation de l’IoT dans des attaques DDoS : nous avions ainsi alerté dès 2014 à l’occasion des Assises de la Sécurité sur l’utilisation de tels moyens.

La cible choisie, quant à elle, garantit un second effet de levier, ou mieux, un effet « domino » dévastateur. En effet, la société Dyn fournit un service DNS, qui permet de gérer l’adressage internet pour ces clients. L’attaque subie a donc bloqué ce prestataire, et par effet de rebond, un grand nombre de ses clients, devenus indisponibles par effet collatéral.

Mais là où l’effet de l’attaque devient ravageur, c’est lorsque la perturbation majeure réalisée sur le service de Dyn impacte d’autres infrastructures DNS (car les différents services DNS collaborent entre eux sur Internet), créant cette fois un effet « tâche d’huile » beaucoup plus important.

C’est donc la combinaison de ce double ou triple effet de levier qui a rendu cette attaque si particulière.

 

Les effets collatéraux

On entend souvent que l’attaque n’a affecté que les USA, ce qui est évidemment faux. Le DDoS qui reste aux USA, c’est comme le nuage de Tchernobyl qui s’arrête à la frontière. Les USA étant la cible initiale, ont subi de manière plus visible cette attaque de grande ampleur,  mais les effets « collatéraux » se sont naturellement manifestés ailleurs, y compris en France.

D’ailleurs, on pouvait voir que la disponibilité de certains grands services Internet était également touchée pour les internautes Français.

 

Le fonctionnement de l’attaque

L’attaque perpétrée contre le fournisseur DynDNS a rendu les services d’infrastructure de ce dernier indisponibles pour ses propres clients, qui, pour certains, sont parmi les grands acteurs d’Internet : Twitter, Netflix, Sony (Playstation Network), PayPal, WhatsApp, Amazon, etc

De fait, tout internaute souhaitant utiliser ces services sollicite les serveurs DNS de son fournisseur d’accès pour obtenir l’adresse IP à contacter. Si les serveurs n’ont pas directement la réponse, ils sollicitent à leur tour (par récursion), les serveurs dits « autoritaires » pour ces domaines. Or, justement, au cours de la récente attaque, ces serveurs autoritaires détenus par DynDNS étaient indisponibles et ne pouvaient répondre, ce qui a mis en « attente » puis en « échec » un grand nombre de récursions. Ceci était particulièrement sensible pour les services Internet touchés par l’attaque qui détiennent un grand nombre de sous-domaines dynamiques (ex. : Amazon AWS) dont les enregistrements DNS ne sont pas systématiquement détenus en cache par les serveurs des fournisseurs d’accès.

Le problème est qu’un trop grand nombre de récursions non résolues peuvent à leur tour déteindre sur la performance des services DNS ainsi placés en attente et donc les mettre en péril pour servir leur propre client.

 

Les moyens de protection

Il existe différents moyens de se protéger et à plusieurs niveaux. Tout d’abord, le monde de l’IoT doit avoir une profonde réflexion sur la sécurisation de ses équipements afin de fournir moins de moyens aux attaquants. Il est inadmissible d’observer encore tant de devices connectés ayant pour mot de passe « admin » ou « 12345 », disposant d’une bande passante Internet de plusieurs (dizaines de) Mbps, y compris pour des flux n’ayant rien à voir avec leur fonction première.

Ensuite, l’attaque qui a ciblé DynDNS n’a rien de nouveau dans son principe et ses méthodes, il était relativement simple de s’en prémunir, et DynDNS devra certainement réfléchir à revoir les solutions de protection pour ses besoins propres.

Enfin, tous les fournisseurs peuvent se doter de solutions anti-DDoS spécialisées, qui apportent les meilleures réponses face aux menaces ciblant les services Internet, et en particulier les DNS. En effet, nous protégeons de telles infrastructures depuis plusieurs années, et disposons d’un arsenal de méthodes de déflection largement éprouvé face à de multiples formes d’attaques qui nous permet d’attester qu’il existe des façons pertinentes de neutraliser ce type d’attaques.

 

 

 

ESET Benoit Grunemwald Directeur des opérations ESET France

Une version détaillée de cette traductions est disponible sur WeLiveSecurity (version anglaise cf BONUS).

1/ Les attaques ont ciblé la société Dyn, un important fournisseur de serveur DNS utilisé par de grands groupes comme Twitter, Pinterest, Reddit, GitHub, Etsy, Tumblr, Spotify, PayPal, Verizon, Comcast, et le réseau Playstation.

2/ Les attaquants ont piraté des milliers d’appareils connectés mal-protégés tels que les routeurs domestiques et les caméras de surveillance, pour former un réseau botnet.

3/ L’attaque a été facilitée par la négligence des utilisateurs qui n’ont pas changé le mot de passe par défaut de leurs appareils.

4/ L’exploitation d’appareils numériques par un code malveillant peut perturber l’activité économique d’un pays : il est probable que plusieurs millions de dollars de vente ligne soient perdus.

5/ De nombreuses personnes malveillantes sont prêtes à nuire à l’activité économique d’un pays au moyen d’un code malveillant, et ce pour de multiples raisons.

6/ L’information et l’éducation des utilisateurs sont primordiales.

7/ La réduction du nombre d’appareils connectés vulnérables est un objectif réalisable et auquel les entreprises peuvent contribuer. Voici d’ailleurs 4 mesures recommandées par l’US CERT :

a/ Remplacer tous les mots de passe par défaut par des mots de passe forts

b/ Mettre à jour les objets connectés

c/ Désactiver l’UPnP (universal plug and play) des routeurs sauf en cas d’absolue nécessité

d/ Acheter des objets connectés auprès d’entreprises certifiant de fournir des dispositifs sécurisés

 8/ Le code malveillant infectant les routeurs n’est pas nouveau et a déjà été repéré en mai 2015 par les équipe ESET.

9/ Les nouvelles générations d’attaques DDos amplifient leur portée dans le fait qu’elles s’appuient sur de nombreux objets connectés.

10/ Cette dernière attaque nous montre à quel point un pays peut être vulnérable en cas d’attaque de son système d’informations.

 

Yogi Chandiramani, Solutions Architect Director EMEA pour Zscale

 

 

« Vendredi dernier, DynDNS a subi une attaque massive du type Déni de Service Distribué (DDoS), qui a eu comme conséquence de rendre inaccessibles pendant plusieurs heures des géants du Web tels que Twitter, Paypal, Netflix ou encore Spotify. Bien que ces attaques soient de plus en plus courantes, il est rare qu'elles s'en prennent à des fournisseurs de serveurs DNS. En effet, cela nécessite une puissance de feu importante, telle que ce cas-ci pour faire tomber le service DynDNS.

 

Comme on pouvait s'y attendre, les répercussions ont été plus qu'importantes étant donné que ces serveurs ont pour rôle de traduire en continu les adresses telles qu'elles sont saisies (par exemple google.com) en adresse IP compréhensibles pour le réseau.

Même si les auteurs de l'attaque restent encore inconnus, leur méthodologie a pour autant été révélée. Il s'agit d'une partie d'un malware appelé Mirai qui met en place desbotnets par l'infection en chaîne de flottes d'objets connectés. Ces derniers, si mal protégés, peuvent représenter une cible de choix pour les hackers, et ce même s'il s'agit de groupuscules peu expérimentés et mal organisés. Et c'est d'autant plus inquiétant que nous ne sommes qu'au début de l'ère de l'Internet des Objets (IoT). En effet, d'après Cisco, il y aura plus de 50 milliards d'objets connectés en 2020 dans le monde, et autant d'adresses IP donc...

 

Afin de se prémunir et de limiter les effets des attaques DDoS, les entreprises doivent mettre en place des systèmes de défense proactifs, s'illustrant notamment par une meilleure sécurisation de leurs objets connectés. Cela doit également les alerter sur le fait que la bande passante ou les fournisseurs de service de télécommunications ne sont plus uniquement les points clés sur lesquels il faut se concentrer dans ces problématiques de sécurité, et que celles-ci doivent englober la totalité des matériels connectés ».

 

 

 

Astrid-Marie Pirson, Responsable de Marché Technologies / Médias / Télécoms / Cyber chez Hiscox

 

« Cette attaque présente deux caractéristiques intéressantes. La première est qu'elle ne vise non pas l'un des géants du net en particulier, mais un prestataire de services. Ce genre de structure est moins exposé en théorie mais beaucoup plus fondamental dans l'organisation d'internet, ce qui rend l'attaque bien plus efficace. La seconde caractéristique est que les vecteurs de cette attaque sont les objets connectés : caméras de surveillance, enregistreurs, webcams etc. Ces objets disposent à l'heure actuelle d'une sécurité trop faible pour faire face à de telles agressions.. Compte-tenu du nombre d'appareils touchés, il devient crucial d'envisager la protection, d'un point de vue technique comme assurantiel, de ces objets ».

 

 

 

 

 

 

L’accès à l'intégralité de l’article est réservé à nos abonné(e)s

 

 

BONUS:

 

http://www.welivesecurity.com/2016/10/24/10-things-know-october-21-iot-ddos-attacks/

 

https://www.fastcompany.com/3064904/after-years-of-warnings-internet-of-things-devices-to-blame-for-big-internet-attack 

http://www.bbc.com/news/technology-37750798

http://cyberisques.com/fr/141-mots-cles-34-business-risk/374-rapport-q4-x-force-d-ibm-malwares-et-internet-des-objets

http://krebsonsecurity.com/

 

Comment sécuriser et protéger les systèmes et environnements SSH ?

Opinions : Kevin Bocek, Vice President of Security Strategy

                                       & Threat Intelligence chez Venafi

 

 

Vulnérabilité des clés SSH et cybercriminalité :

comment sécuriser et protéger les systèmes et environnements SSH

 

 

 

La réutilisation de clés SSH (Secure Shell) n’a rien de nouveau, c’est un phénomène que nous avons déjà observé dans le passé. Pour preuve, en 2013, les médias révélaient que des cybercriminels avaient profité de la vulnérabilité d’une clé SSH pour bénéficier d’un accès root aux équipements exécutant l’EAS (Emergency Alert System) aux États-Unis.

Le protocole SSH ayant pour mission de sécuriser les communications entre les ressources numériques les plus stratégiques et les plus précieuses d’une entreprise, il n’est guère étonnant que des cybercriminels veuillent dérober, déchiffrer ou autrement compromettre les clés cryptographiques sur lesquelles il repose. Les accès SSH sont tous tributaires d’une administration et d’une sécurisation adaptées des clés SSH. En l’absence de projet sérieux en la matière, votre établissement court un risque.

La compromission d’un procédé cryptographique au travers d’une clé SSH est, de loin, l’un des pires scénarios pour une entreprise. À partir du moment où un pirate possède un accès de niveau root, autrement dit un accès privilégié, il détient les clés lui permettant de prendre le contrôle d’un réseau ou d’un système complet pour le compromettre à sa guise. La plupart des professionnels de l’informatique et de la sécurité ne prennent pas conscience que les clés SSH en plus de fournir un accès de niveau root n’expirent pas. Par conséquent, à partir du moment où un pirate a dérobé une clé SSH, il disposera perpétuellement d’un accès par un moyen ou un autre. Il est donc primordial que les entreprises agissent aujourd’hui pour protéger leurs clés SSH.

Une étude(1) révèle que 3 acteurs du classement Global2000 sur 4 ne disposent d’aucun système de sécurité pour le protocole SSH, ce qui laisse ainsi la porte ouverte aux piratages, accès de niveau root et compromissions de données, et près de la moitié de l’ensemble des entreprises n’opèrent jamais de rotation ni ne changent leurs clés SSH. Ce faisant, leurs réseaux, serveurs et systèmes cloud deviennent la proie d’acteurs malveillants dès l’instant où ces clés SSH sont dérobées et utilisées de manière abusive.

Parce que le protocole SSH joue un rôle essentiel dans la sécurisation de l’accès administratif et automatisé à un large éventail de systèmes au sein d’établissements de toutes tailles, il est essentiel de disposer d’un ensemble très complet de chartes, processus et contrôles techniques pour gérer et superviser la configuration et les clés SSH. Il est donc important de sensibiliser à l’importance de sécuriser et de protéger ces clés SSH. Première action décisive que doivent engager les entreprises : maîtriser les clés dont elles ont l’usage – non seulement au niveau des systèmes et des logiciels installés, mais aussi des appliances réseau employées.

Le NIST(2) (National Institute of Standards and Technology) a publié récemment une nouvelle publication, «Security of Interactive and Automated Access Management using Secure Shell (SSH) » qui analyse plusieurs aspects décisifs du protocole SSH, notamment ses technologies sous-jacentes, vulnérabilités inhérentes ainsi que les meilleures pratiques appliquées à la gestion de clés SSH tout au long de leur cycle de vie. Ce rapport(3) sensibilise aux principales vulnérabilités associées à la gestion des clés SSH et de présenter des mesures concrètes pour sécuriser et protéger les systèmes et environnements SSH.

Parmi les quelques compromissions SSH notables ces dernières années figurent celles ci-après :

En 2014, Kaspersky Labs a mis au jour une cybermenace baptisée The Mask (ou Careto) qui a sévi sept années durant lesquelles un groupe criminel organisé en Espagne a multiplié les techniques pour mener des attaques de type APT visant à dérober des données à des administrations et des entreprises. Ce groupe s’emparait de clés SSH servant à l’authentification d’administrateurs, de serveurs, de machines virtuelles et de services cloud.

En juin 2015, Cisco a annoncé qu’une clé SSH autorisée par défaut était déployée sur trois de ses appliances de sécurité, exposant ainsi ses clients au risque de voir un pirate distant non authentifié intercepter du trafic ou accéder à des systèmes vulnérables au moyen de privilèges root.

La publication du NIST expose plusieurs vulnérabilités SSH courantes au sein des entreprises, à savoir :

  • Implémentation SSH vulnérable

  • Contrôles d’accès mal configurés

  • Vol, fuite, détournement et non révocation de clés SSH

  • Portes dérobées (clés utilisateurs non contrôlées)

  • Utilisation indésirable des clés utilisateurs

  • Rotation

  • Déficit de connaissances et erreurs humaines

Le NIST recommande plusieurs mesures pour gérer les clés SSH, à savoir :

  • Définir des principes et pratiques applicables au cycle de vie et à la révocation de clés SSH. La configuration de l’accès à un compte dans l’optique de faciliter les échanges avec les utilisateurs et d’automatiser les processus doit être une décision mûrement réfléchie, conciliant au mieux impératifs d’accessibilité et risques, qui doit tenir compte du niveau d’accès requis.

  • Instaurer des procédures de contrôle et de surveillance continue. La surveillance continue a pour objet de faire en sorte que les procédures d’allocation, de gestion du cycle de vie et de révocation soient observées et appliquées. Des clés SSH non autorisées et mal configurées seront détectées.

  • Inventorier les serveurs et clés SSH ainsi que les relations de confiance, et remédier aux problèmes éventuels. Les clés existantes au format propriétaire posent un réel problème de sécurité et compliquent l’analyse des risques si elles ne sont pas maîtrisées. L’emplacement de toutes les clés SSH existantes doit être inventorié, au même titre que les relations de confiance, qu’il convient d’évaluer à l’aune de politiques bien définies.

  • Automatiser les processus. L’automatisation des processus relevant de la gestion des accès à partir de clés SSH est de nature à améliorer considérablement la sécurité, l’efficacité et la disponibilité.

  • Sensibiliser la direction. Nombre de hauts responsables ne sont conscients ni du rôle central joué par les clés SSH dans le mode opératoire d’une infrastructure stratégique, ni des failles importantes susceptibles d’apparaître si celles-ci sont détournées. Sans formation suffisante des responsables opérationnels et chargés de sécurité, les initiatives de gestion des clés SSH risquent d’être évincées par des priorités de degré plus élevé, rendant ainsi l’entreprise plus vulnérable.

1 : Enquête 2015 Cost of Failed Trust Report publiée en mars dernier par Ponemon Institute et Venafi.

2 : Fondé en 1901, le NIST est une agence fédérale non réglementaire qui relève de l'administration de la technologie du département du Commerce des États-Unis.

3 : Co-signé par Venafi.

 www.venafi.com

  Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.  

 

 

 

Gemalto, Autorité de Confiance avec SafeNet ?

Epaulé par SafeNet, quels futurs marchés « clé » envisage Gemalto ?

Après l'annonce du rachat de SafeNet (1) pour 890 millions de dollars en août dernier, quelle stratégie se dessine pour le groupe français (CA de 2,4 milliards d'Euros en 2013) présent dans 44 pays ? Rencontre. 

Jean-François Schreiber, Senior Vice-President de l'entité « Identity & Security services (Accès sécurisés, chiffrement, authentification) détaille la stratégie de Gemalto sur les marchés des accès sécurisés« Coté business, SafeNet représente plus de 350 Millions de Dollars. Si l'on ajoute ces résultats au milliard d'Euros que nous réaliserons en 2017, c'est une réelle opportunité. Coté solutions, SafeNet sait gérer des boîtiers de cryptographie spécifiques en technologie HSM (Hardware Security Module) qui offrent l'avantage de mettre en place des solutions de sécurité fortes avec notamment des services de séquestre de clés de chiffrement ». Des boîtiers HSM qui sont notamment intégrés a l'offre « secure » d'IBM. Un marché « clé » pour Gemalto qui envisage de se renforcer en devenant AC (Autorité de certification) (2). Rappelons qu'une AC héberge des services de gestion de certificats et clés « séquestrées » pour ses clients. Idée intéressante si l'on considère que plusieurs « extraits » de codes sont détenus par différentes entités géographiquement séparées (AC et clients par exemple). Il faut les rassembler pour constituer la clé complète et accéder ainsi à la lecture des données chiffrées. Un procédé connu en sécurité proche des serrures anciennes de la Renaissance qui nécessitaient plusieurs clés détenues par des personnes distinctes pour fonctionner.

« Près de 400 millions de données au sens informations cohérentes ont été dérobées aux opérateurs. 37 % ont subi des cyber-attaques. La gestion des données sécurisées devient donc un enjeu économique et sociétal d'autant que les métiers évoluent avec le développement du numérique. Ainsi des banques deviennent des acteurs du eCommerce en développant leurs services WEB d’où la nécessité de renforcer le lien de confiance avec leurs clientsau moyen de services d'authenfication forte». L'utilisateur final appartient aussi au coeur de cible de Gemalto. Les paiements sans contacts (NFC) (3) développés via les cartes SIM présentes sur les smartphones démontrent la vitalité de ce marché pour le développeur de services sécurisés sur..les cartes SIM. « La tendance est au renforcement physique des composants sur les « devices ». C'est d'ailleurs ce que propose Apple et Google. » estime Jean-François Schreiber qui prédit...

Pour lire la suite et profiter de notre offre spéciale anniversaire ABONNEZ-VOUS AU SERVICE VEILLE BUSINESS RISK DE CYBERISQUES.COM:

Chaque semaine l'équipe de CYBERISQUES.COM sélectionne l'essentiel des infos stratégiques pour les membres des COMEX et IT managers: rapports études et chiffres indispensables, financement des cyber-risques, solutions de cyber-assurance, protection des actifs immatériels des entreprises, repères marché, protection et maitrise de données critiques des users VIP, veille juridique et réglementaire, interviews inédites, tendances et revue de WEB internationale ... dans la boite mail de votre choix.


Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX

 Les cyber-menaces sont à classer en trois grandes catégories: le cybercrime, le cyberespionnage et le cyber-sabotage.  D’après la Global Economic Crime Survey du cabinet PwC, la cybercriminalité représente 28% des fraudes déclarées par les sociétés françaises en 2013. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions Business impact:

- 04/11/2014 Le fabricant de pneumatiques Michelin a été victime d'une escroquerie reposant sur de faux ordres de virement. Le groupe s'est fait dérober 1,6 million d'euros.  Quelque 700 faits ou tentatives d'escroquerie de ce type auraient été recensés entre 2010 et 2014.

Les solutions de sécurité traditionnelles comme les pare-feu et les IPS se révèlent malheureusement parfaitement inefficaces face aux cyber-menaces avancées. Elles sont d'ailleurs souvent elles-mêmes la cible d'attaques.

- 8 / 10 /2014 Des pirates informatiques ont volé 83 millions de données personnelles de la banque américaine JPMorgan Chase. Le piratage réalisé en août est devenu le plus important de toute l'histoire.Selon les spécialistes, l'élimination des conséquences de l'attaque prendra plusieurs mois.

- En 2015, les campagnes de cyber-espionnage et de cyber-sabotage financées par des États, telles que les opérations DragonFly et Turla observées en 2014, ou encore le spyware très récemment analysé et rendu public Regin, constitueront toujours des menaces Face à ces cyber-menaces visant à soutirer des renseignements et/ou à saboter des opérations, les entreprises et administrations devront revoir leur politique de cyber-sécurité et donner la priorité à la sécurité, qui deviendra un investissement stratégique plutôt que tactique.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Cadre réglementaire:

OIV opérateurs d’importance vitale: L’article L. 1332-6-1 détermine que le Premier ministre est à même d’imposer des règles en matière de sécurité informatique, notamment l’installation de dispositifs de détection, qui devront être appliquées par les opérateurs d’importance vitale à leurs frais, comme cela est déjà le cas pour les règles fixées par l’article L. 1332-1. L’Agence Nationale de Sécurité des Systèmes d’Information, l’ANSSI, peut désormais imposer aux entreprises concernées la mise en place de dispositifs matériels ou organisationnels de protection contre de futures attaques. Les incidents majeurs seront obligatoirement déclarés : l’article L. 1332-6-2. Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolution Données et Cyberassurance :

La donnée s'enrichit et devient une information à valeur ajoutée négociable. Le financement par l’assurance des cyber-dommages suppose d’être en mesure de fixer la valeur de l’information. Le financement des cyber-dommages portant atteinte à l’information suppose que l’on appréhende et quantifie cette information comme une nouvelle classe d’actifs.

Les cyber-polices adressent l'ensemble des cyber-risques assurables liés aux technologies de l’information :
- dans le secteur des Technologies, Médias, Télécom (TMT)
- le secteur financier et des banques (en appui des régulations Bale et Sovency)
- le secteur de la dématérialisation (public, privé)
- le secteur industriel (M2M, SCADA)
- les domaines soumis à l’exposition des nouveaux risques d’atteinte aux données (cyber risques, régulation autour des données personnelles, de santé et des données de cartes bancaires PCI DSS)  quels que soient les secteurs.

Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Evolutions de la perception des cyber-risques, le facteur humain:

Maillon faible dans la chaine des risques, le facteur humain doit se situer au coeur de tiutes les réflexions en matière de cyber-prévention. Selon étude réalisée par Vanson Bourne pour NTT Com Security indique que seuls 38% des dirigeants français considèrent la sécurité informatique comme "vitale" pour leur entreprise (contre plus de 50% en Allemagne ou Grande-Bretagne). Le service VEILLE Business Cyber Risk de Cyberisques.com vous informe et vous guide.

Pour s'abonner:

http://www.cyberisques.com/images/Bulletin-abonnement.png

CYBERISQUES.COM premier service de Veille Business Cyber Risk pour COMEX et IT Managers

-----------------------------------------------

 

 

EUROPE-REPORT-2020

McAfee, et maintenant ?

 

McAfee, et maintenant ?

 

 

Officiellement « absorbé » par Intel depuis l'acquisition le 14 février 2011, les « ex » entités de McAfee apprennent à se fondre chez le fondeur Intel. Pas évident.

 

De 2011 à aujourd'hui, mi-2015 quels événements ont marqué le développement de l'ex éditeur de solutions de sécurité AV ? A l'époque du rachat, les dirigeants des deux firmes évoquaient le projet d'installer au niveau bios (sous les OS) des mécanismes de filtrage anti malware. Visiblement le projet a échoué et chez les « ex » McAfee, Fabien Rech, qui vient de remplacer Thierry Bedos à la tête de la région France, parle plus volontiers du futur. Au sein d'une culture « transversale » chez Intel à l'opposé de celle développée en « silo » chez McAfee, les nouvelles ambitions de Intel Security visent précisément la fin du mille feuilles techno et la mort des approches en « silo ». Désormais place aux standards, fini les solutions anti-virales « propriétaires » et les stratégies « add on ». « Nos vrais competiters sont les acteurs du réseau » affirment Fabien Rech. « il nous faut désormais connecter les réponses des équipements et applications du simple clic sur un poste de travail aux couches les plus élevées en architecture Cloud ». Bref, Intel Security revendique en 2015 une place de « fédérateur » comme Intel dans le monde des composants ; Reste la question : les « ex » McAfee boys ont ils la carrure assez large pour endosser ce rôle et surtout avec quels moyens ?

 

Privacy-Control-Security

 

« La carte des standards est la première que nous jouons » affirment ils en chœur. En ajoutant discrètement « Pour Intel la sécurité est un frein pour signer certaines affaires, à Nous de faire sauter ce frein quelque soit les environnements hétérogènes que nous rencontrons ». D'où les standards. Standard du coté des environnements SCADA ? Non c'est encore trop tôt pour les éditeurs « logiciels » et tout reste à faire notamment entre objets connectés grand public (BtoC) et OC BtoB (drone industriel par exemple qui intègrent de plus en plus les environnements Scada). Seuls sur les architectures Scada existent quelques accords avec Honeywell signé en juin 2015, Siemens et Schneider (en 2014). Alors que reste t il comme piste « fédératrice » à explorer ? « Nous proposons un standard sorte de be bus de connectivité pour remontre les alarmes via notre alliance SIA. Ce standard se nomme DXL pour data exchange layer et intéresse beaucoup certaines autorités dont l'ANSSI ». Raccordé à la Threat Intelligence sorte de tour de contrôle capable de recenser les alertes des CERT et autres autorités de contrôles des vulnérabilités le protocole DXL devrait se distinguer par sa « rapidité » d’échange et de partage d'informations relatives à la sécurité des documents, applications, web… A ce jour, des premiers acteurs « secure » auraient rejoint l'alliance SIA*. L'une des questions clés de la réussite de ce nouveau challenge pour Intel security est là: combien de « concurrents » sur le marché historique de Mc Afee vont accepter de rejoindre cette alliance et avec quel intérêts?

 

CYBERISQUES NEWS premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX / CODIR

Abonnement individuel par eMail personnalisé

Renseignements Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

 

 

BONUS :

*http://www.mcafee.com/apps/partners/partnerlisting.aspx?region=fr

*http://www.mcafee.com/fr/resources/solution-briefs/sb-esm-and-threat-intelligence-exchange.pdf

 

 

 

Voir le profil de Jean Philippe Bichard sur LinkedIn

Cyber Risques News Rencontres : GlobalSign

Cyber Risques News Rencontres: GlobalSign

Ronald de Temmermann, directeur opérationnel EMEA 



Première autorité de certification à avoir été créée en Europe, GlobalSign Fournisseur, entre autres, de SSL, de signature de code et d'identités numériques est également devenu expert en technologie de sécurité mobile pour les terminaux mobiles et cellulaires. Après l'affaire Snowden, quelle position et quelles garanties apporte un tiers de confiance tel que GlobalSign ?

 

 

Quelle est la nature des relations que vous entretenez avec les Autorités US qui demandent un renforcement des contrôles sur les données ?

Alors que l'éthique change aujourd'hui, il nous faut maintenir la confiance car c’est un besoin fondamental. Nous sommes présents dans le monde entier avec des serveurs dans le monde entier, et nous comprenons totalement que les entreprises européennes se posent des questions à ce sujet et ressentent une certaine peur. Cela fait partie de l'évolution des technologies où il faut tout sécuriser « en toute transparence avec une parfaite accessibilité ». Cet équilibre doit être maintenu. Il reste néanmoins que ces mêmes personnes s'interrogent étrangement moins sur les usages de leurs informations faites par les réseaux sociaux.


Avez-vous observé un changement dans vos activités après les révélations de Snowden ? 

Nous avons toujours été reconnus comme un acteur d'expérience. L'affaire Snowden a démontré qu’il est nécessaire d'améliorer plusieurs points : identification à plusieurs niveaux avec une PKI ouverte au plus grand nombre et un double contrôle comme sur les services hybrides des fournisseurs de services Cloud. Le paradoxe est qu’en recherchant des services externalisés, les entreprises se retrouvent en position d'acteur majeur pour conserver leur souveraineté. On assiste à un transfert de responsabilité des acteurs externes vers les entreprises.
 Les entreprises inquiètes après l'affaire Snowden peuvent avec l’aide de nos services développer leur propre gestion PKI interne ou externe, afin de sécuriser tous les accès et échanges d’informations critiques sur leurs réseaux. Fournir des services d'identités au niveau des applications et des appareils est une de nos missions principales.


Quels nouveaux services proposez-vous pour renforcer la eConfiance auprès de vos clients ?

Du côté de GlobalSign, nous pouvons nous engager en offrant des technologies telles que:

- La technologie S/MIME qui permet de signer et chiffrer les e-mails. La signature numérique et le chiffrement S/MIME garantit l'intégrité, l'authentification et la confidentialité des e-mails en chiffrant les données envoyées.

- Le protocole SSL pour sécuriser les sites web. Un protocole de sécurité très répandu qui créé un canal sécurisé entre deux machines communiquant sur Internet ou un réseau interne. Dans le cas des navigateurs, par exemple, les utilisateurs sont avertis de la présence de la sécurité SSL grâce à l'affichage d'un cadenas et du protocole « https » dans l'url, et, dans le cas du SSL à validation étendue (EV SSL), par la barre d'adresse verte. La clé du succès du SSL est donc son incroyable simplicité pour l'utilisateur final.

- Les certificats numériques pour l’authentification à deux facteurs, permettant aux entreprises de remplacer les méthodes d’accès faibles telles que l’utilisation de mots de passe.

Nous avons récemment lancé un nouveau portail de gestion automatisée des certificats numériques avec Windows Active Directory (AEG).

Le portail AEG permet de connecter l'environnement Windows d'une entreprise au service de gestion de certificats numériques de GlobalSign, en simulant certains aspects d'une Autorité de Certification interne, telle que l'AC Microsoft, tout en transférant les demandes de certificats à GlobalSign.

Grâce à l'expertise de GlobalSign en matière de chiffrement et de gestion de certificats numériques, le risque d'interruption de service et de violation de la sécurité des entreprises se voit considérablement réduit. Les entreprises bénéficient de toute l’expertise PKI de l’Autorité de Certification tout en gardant le contrôle sur les politiques de sécurité et privilèges des utilisateurs.

GlobalSign est également soumis à un bon nombre d’audits par an, ce qui nous permet de non seulement améliorer notre propre infrastructure, mais aussi d’être très innovants par rapport à nos services vis-à-vis des clients.

 

Travaillez-vous avec des OIV en France ? 

Nous travaillons avec certains centres hospitaliers, des mairies et des conseils généraux, Banque de France, Institut Curie, Institut National de l'Audiovisuel, Ordre National Infirmier. Sur le plan international, nous travaillons avec la Commission Européenne, l’Otan, des télécoms dans divers pays …


Quelles évolutions pour GlobalSign en 2015 ?

GlobalSign se prépare à répondre à une envolée des demandes pour des identités de confiance pour les entreprises, ainsi que pour les transactions mobiles et les appareils portables dans l'Internet des objets (IdO).


Quelles différences avec les offres de vos concurrents ?

Créée en 1996, GlobalSign a été la première Autorité de Certification établie en Europe et compatible avec le protocole IPv6 et est accréditée WebTrust depuis 2001. Sa longévité prouve sa loyauté, sa crédibilité et sa fiabilité. GlobalSign est la seule Autorité de Certification véritablement internationale. Nous avons des bureaux régionaux à travers le monde.

Propos recueillis par Jean Philippe Bichard @cyberisques

http://www.cyberisques.com/images/Bulletin-abonnement.png

 

 

BONUS:

 

https://www.globalsign.fr/

Les dossiers de Cyber Risques News

CYBERISQUES.COM premier service de Veille "Business & Cyber Risks" pour les dirigeants et membres des COMEX/CODIR

Renseignements   Cette adresse e-mail est protégée contre les robots spammeurs. Vous devez activer le JavaScript pour la visualiser.

 

 

Informations supplémentaires