http://www.secuobs.com Observatoire de la securite Internet fr webmaster@secuobs.com 2011-10-24 05:33:14 - Fr Orange Business Sécurité : Le morceau de bravoure des réseaux de switches, c est le Spanning Tree Protocol STP ou plutôt, les divers avatars de ce protocole Il s agit de régler un problème banal Comment construire un réseau de switches redondant et qui fonctionne En effet, si on tente de construire par exemple un triangle ou un carré de switches, on constate qu il devient très rapidement inutilisable, parce qu on crée ainsi une boucle de niveau 2, dans laquelle certaines trames tournent infiniment en consommant une bonne partie des ressources Le réseau ne fonctionne plus C est ce qu on appelle une tempête de diffusion Il est toujours possible qu une boucle soit créée suite à un câblage intempestif encore Gaston Il s est mis à quatre pattes sous les bureaux et il a relié entre elles deux prises murales RJ45 par un câble croisé Sur le terrain, la meilleure façon d éviter les problèmes, c est encore d appliquer la bonne pratique déjà citée empêcher que les PC puissent communiquer entre eux au niveau 2 Le STP à la rescousse ou presque Mais cela ne permet pas de relier des switches pour former un carré Pour que cela fonctionne, on a créé STP Au sein du réseau de switches, STP établi et calcule dynamiquement un arbre en désactivant les liaisons redondantes Si la forme du réseau change, l arbre est recalculé, cela prend quelques secondes mais pendant ce temps, le réseau ne marche pas bien STP fonctionne en échangeant des informations à l aide de trames spéciales, les BPDUs Tant que cela marche, c est parfait Mais au cas où quelque chose irait de travers, le réseau devient instable et il est très difficile de faire un diagnostic Il est donc recommandé de documenter avec la plus grande précision l état normal du réseau, en repérant l état de chaque liaison, de façon à savoir où intervenir Et il est nécessaire d instaurer des procédures strictes de câblage Laissez-moi vous conter un fait réel sur un site, suite à la demande insistante des utilisateurs, j ai autorisé la mise en œuvre de STP Eh bien, ce site est devenu indisponible pendant plus d une heure suite à une erreur humaine non, ce coup ci, ce n était pas Gaston Et on ne compte pas les réseaux qui se sont effondrés parce que quelqu un avait branché un vieux switch de récupération Ceux-ci ont de fortes chances de devenir la racine de l arbre calculé par STP Le STP les choses à retenir Première leçon le STP ne résiste pas aux erreurs humaines Deuxième leçon la maintenance de STP demande une connaissance précise du réseau Ce que j'en ai retenu heu je préfère éviter Du côté des menaces Maintenant, du point de vue des nuisances volontaires, STP offre de nombreuses possibilités En premier lieu, un sniffer permet d apprendre beaucoup de choses comme les VLANs utilisés, et l adresse mac du switch root On peut très facilement perturber le protocole, avec des BPDU créées de toutes pièce Les effets vont du banal déni de service l attaquant fait en sorte de se faire perpétuellement élire en tant que racine de l arbre à des effets plus subtils, comme le détournement du trafic à des fins d observation ou de substitution Conclusion ne pas utiliser STP Pour ma part, je recommande d utiliser des mécanismes beaucoup plus simples Par exemple, chez CISCO, le Flex Links qui repose sur une décision locale du switch il réagit typiquement en 800ms ou le Resilient Ethernet Protocol , un peu plus complexe, qui gère les topologies en anneaux Si l'on doit absolument utiliser STP, il faut en limiter l usage au strict nécessaire, mais cela demande une configuration soigneuse De nombreuses personnes pensent que STP empêche les boucles C'est loin d'être le cas Il faut observer deux choses d'une part, une boucle, ce n'est pas si fréquent, et d'autre part, ce qui est génant, ce ne sont pas les boucles, mais les tempêtes de diffusion Ma recommandation est de mettre en place une limitation de la bande passante BUM Broadcast, Unknown unicast et Multicast de façon à limiter l intensité d une éventuelle tempête de diffusion ou d'une éventuelle attaque basée sur des trames broadcast, saturation de la table des adresses mac, etc Vos remarques, questions et autres interventions sont les bienvenues Pascal Bonnard Tasosk - Fotoliacom http://www.secuobs.com/revue/news/336446.shtmlhttp://www.secuobs.com/revue/news/336446.shtml Secuobs.com : 2011-10-21 14:37:45 - Fr Orange Business Sécurité - Voir cette vidéo sur YouTube Lorenzo Rapido, notre chef de projet n'est jamais en manque d'idées quand il s'agit de faire avancer son projet Revenons sur les techniques utilisées par un Chef De Projet CDP pour enfouir les actions portant à la sécurité Pour ceux qui suivent et oui, il y en a , nous avions déjà fait connaissance de Lorenzo Rapido lors de l'épisode 1 de CaméraSécu les choses avaient été comment dire un peu trop vite torchées Comme dans CaméraSécu on aime bien le travail bien propret, on remet une couche - Miniature de l'image pour Miniature de l'image pour Miniature de l'image pour Miniature de l'image pour Caméra Sécu - la photo de famille nouvelle versionJPGLa technique du on a pas le temps Cette technique est classique et la plus directe on écarte les actions sécurité dès le départ, sans même évaluer les charges et préciser l'objectif L'objectif de toute personne étant de se simplifier la vie, les personnes de l'équipe projet vont rester silencieuses et laisser le CDP faire le tri Si les personnes de la sécurité disent il faut faire , alors la technique de la patate chaude vient à la rescousse c'est celui-ci qui l'ouvre qui s'y colle La technique du on savait pas Cette technique est surtout du fait des chefs de projet bordéliques ils ne traçent pas tous les besoins pas de suivi du tout, aucun compte-rendu, ou alors des comptes-rendus de réunions qui se remplacent les uns après les autres Une action listée dans le CR d'il y a trois mois sera naturellement oubliée si une personne de la sécurité se dit mais il manque quelque chose et remet le sujet sur la table, le CDP dira on savait pas, c'est un nouveau besoin, on verra plus tard La technique du c'était pas ce qui avait été convenu est très similaire personne n'a envie de relire les 25 derniers comptes-rendus de réunion Sauf que de temps en temps, c'est le cas Et là, c'est paf le chien Le chef de projet est mis devant la réalité pas de problème, il se confondra en excuses et utilisera une autre technique pour, in-fine, ne pas réaliser l'action La technique de faut prioriser les actions ou la dilution homéopatique Un classique que cette technique de priorisation des actions à la base, il y a tellement de choses qui ne vont pas en termes de sécurité que l'équipe projet est désemparée D'une trentaine de points on va se cantonner aux plus urgentes , à ce qui est réaliste Dehors toutes les actions de fond Illustration c'est un peu comme aller voir son médecin Celui-ci vous dit vous êtes malade, il faut réagir , son ordonnance est sans appel médicaments, activité physique régulière Bref, un changement de style de vie Que va faire le malade Il va se cantonner à acheter ses médicaments il aura bonne conscience et se dira j'ai fait l'essentiel Un projet et la sécurité c'est parfois un peu pareil Un beau firewall ici, un bel antivirus là, et ça roule L'éventail des techniques est vaste Très vaste même Après, il y a aussi les techniques dites de la saucisse , du bu bac à douche ou celle du on m'a forcé la main celles-ci sont pas mal aussi mais ça sera pour une prochaine fois Les remerciements Un merci Martine mais aussi à Françoise, elle est juste à coté pour leur soutien logistique mais aussi pour les retours du genre le son il est pas bon, on entends rien normal vu leur âge - alors là je cherche les noises La mention légale pas de souffrances ni de brutalités dans CaméraSécu Il est important que tous nos lecteurs sachent, soient bien au courant, bref qu'il l'impriment aucun animal ni personne n'a été brutalisé ni n'a souffert dans le cadre de CaméraSécu Bref, on est PETA-ready - A noter que ce 4ème épisode a été auto-produit de A à Z par une seule et même personne Aucun nom ne sera livré à la foule, cette personne souhaite conserver son anonymat le plus strict je suis en phase avec elle http://www.secuobs.com/revue/news/336182.shtmlhttp://www.secuobs.com/revue/news/336182.shtml Secuobs.com : 2011-10-19 05:23:45 - Fr Orange Business Sécurité - Les vacances sont terminées depuis quelques semaines Les analystes sécurité ont donc repris le collier comme la plupart d entre nous et les rapports sur l activité du premier semestre commencent à être publiés Je vous propose d aborder rapidement celui de Microsoft qui a officiellement été communiqué lors de la conférence RSA d octobre Le rapport complet peut être téléchargé ici Quelques chiffres Les chiffres qui vont maintenant être évoqués ont été établis au travers des remontées fournies par l outil Malicious Software Removal Tool MSRT sur le premier semestre 2011 Environ 600 millions de machines le font tourner tous les mois, il s agit donc d un échantillon plus que représentatif pour pouvoir établir des tendances 45pourcents C est la proportion des cas de compromission demandant une action effective de l utilisateur installation, lien web, ouverture de pièce jointe, Les campagnes de sensibilisation sont donc plus que jamais d actualité pour réduire les risques 43pourcents L exploitation des autoruns USB ou réseau représentent 43pourcents des incidents relevés Un travail de fond pour continuer à maîtriser les postes de travail au travers du renforcement des OS est donc plus que jamais d utilité public La suppression des lancements automatiques est naturellement l une des fonctions à mettre en place, les environnements les plus strictes supprimant tout simplement les accès à des périphériques externes de type USB 6pourcents des incidents auraient pu être évités si les machines avaient été mises à jour 1pourcents Les exploits de type zero day dont on parle pourtant beaucoup représente moins de 1pourcents des incidents sécurité relevés par Microsoft Les failles applicatives Les environnements Java Flash HTML JScript représentent toujours la grande majorité des failles, immédiatement suivi par les OS La mise à jour des navigateurs et l activation des quelques fonctions de sécurité disponibles sont des actions simples qui peuvent participer à réduire le risque représenté par ces technologies que nous utilisons tous les jours Chacun peut être un membre actif de la lutte Les failles applicatives restent donc très largement en tête Les formations de Secure coding et les outils de d analyse de code sont donc un domaine qui devrait continuer à s imposer peu à peu et qui, espérons le, permettrons à terme de diminuer les vulnérabilités dans les applications Une ouverture sur l avenir Le déport de certaine fonctions et responsabilités dans le cloud , concept à la mode actuellement, pourrait permettre une amélioration du niveau de sécurité de certaines entreprises En effet, en externalisant et centralisant ce type de responsabilité sur un acteur expérimenté et soumis contractuellement à une obligation de résultat, il est possible que les processus sécurité de base soient mieux suivis Est-ce pour autant une déresponsabilisation de l entreprise Non Cette dernière devra malgré tout suivre ses prestataires de service et auditer régulièrement le niveau de service rendu pour s assurer que tout est en ordre et répond à ses besoins Des conclusions Bien que les nouvelles tendances annoncent l inutilité et la mort prochaine des outils traditionnels de la sécurité, il semblerait malgré tout que les updates, antivirus antimalware et autres hardening aient encore une utilité et réduisent les risques de façon significative Pour ouvrir le débat et ne pas rester sur l analyse d un éditeur, je ferai référence à mon précédent post où le directeur de l ANSSI a fermement porté un message assez proche Par ailleurs, pour ceux qui souhaiteraient approfondir le sujet antivirus, le dernier numéro du magasine Global Securit Mag titre en couverture que reste-t-il de nos antivirus - un moyen simple de croiser les informations et de nourrir les réflexions Un dernier chiffre pour la route 13pourcents C est l augmentation, selon Microsoft, des incidents détectés sur le territoire français entre H1 et H2 par l outil MSRT Les acteurs de la sécurité ont encore une longue route à parcourir Cédric http://www.secuobs.com/revue/news/335627.shtmlhttp://www.secuobs.com/revue/news/335627.shtml Secuobs.com : 2011-10-18 17:30:33 - Fr Orange Business Sécurité - La triade sécurité peut prendre différentes formes il y a la classique triade CIA Confidentiality, Integrity, Availablity mais il existe aussi la triade globale rappelant les 3 composantes fondamentales d'une défense dite en profondeur In-depth security Prévention, Détection et Réaction 1 - Prévention La première composante de cette triade a pour objectif de prévenir l'apparition d'un risque on retrouve ici toutes les mesures visant à segmenter les réseaux déploiement de firewalls, mise en place de zones DMZ, durcir les systèmes désactivation des services inutiles, application des correctifs de sécurité utiliser les techniques de développement sécurisé filtrage des données en entrée, requêtes SQL préparées, La prévention se matérialise tant via la mise en place d'équipements de sécurité, de principes d'architecture mais aussi de processus comme c'est notamment le cas pour le déploiement des correctifs de sécurité ou des campagnes de sensibilisation et de formation à la sécurité 2 - Détection Cette seconde composante de la triade a pour objet de détecter un événement que la première composante Prévention n'aura pas été en mesure bloquer Encore une fois, les moyens que l'on retrouve ici peuvent être technique ou organisationnel En ce qui concerne le volet technique, nous avons par exemple les sondes de détection d'intrusion IDS positionnées à des endroits stratégiques ou encore la collecte et l'analyse de logs Du coté organisationel, on retrouve le bon vieux coup de téléphone de la part des équipes du support technique, l'annonce dans la presse mais aussi les remontées d'infos de la part des personnes en charge de l'administration, alertées par un brusque arrêt de certains équipements une consommation de bande passante soudainement dix fois supérieure à la normale 3 - Réaction La dernière composante de la triade est une suite logique de la précédente une fois une anomalie ou attaque détectée il s'agit d'y apporter le plus rapidement une réponse Ici le coté organisationnel est roi mais la technique a quand même le droit de cité Coté organisationnel, une équipe de personnes spécialisées apportera son soutien pour comprendre, circonscrire et donc limiter l'étendue de l'attaque Au-delà des équipes spécialisées dans la sécurité, c'est l'ensemble des processus opérationnels qui seront sollicités dont ceux liés à la communication interne et externe En ce qui concerne le périmètre technique, une base de signatures pourra être déployée rapidement sur les antivirus ou un port sera temporairement bloqué au niveau d'un firewall, etc Autres types de défense en profondeur Nombre d'entre-vous auront très surement déjà mis en place, ou tout du moins déjà entendu parler d'une stratégie de défense en profondeur La plupart du temps il s'agit d'une défense basée sur la mise en place de mesures techniques venant se renforcer les unes les autres, un peu comme des briques venant s'empiler aka deux ou trois couches de firewalls de marques différentes Dans tous les cas, ces deux approches de défense en profondeur , qu'elles soient basées sur une vision globale Prévention, Détection et Réaction ou classique via empilement de technologies restent valides et doivent être appliquées car elles sont complémentaires De la théorie à la pratique De ce que je peux voir, l'empilement de technologies est l'approche classique, celle basée sur la triade globale Prévention, Détection et Réaction est très souvent limitée à une mise en place de la première composante et très peu des deux dernières Quel est votre retour d'expérience Merci de vos retours commentaires http://www.secuobs.com/revue/news/335436.shtmlhttp://www.secuobs.com/revue/news/335436.shtml Secuobs.com : 2011-10-17 05:06:29 - Fr Orange Business Sécurité - Dans l optique plug and play , l idéal, c'est que tous les VLANs soient connus du switch Mais cela n est pas possible pour cause de limitations liées au matériel d entrée de gamme Du coup, il faut quand même définir les VLANs que l on veut utiliser Par défaut, la description des VLANs est stockée dans une zone spéciale, la VLAN DATABASE Et c est ici qu intervient VTP VLAN Transfert Protocol Ce protocole propriétaire a un équivalent normalisé MRP L idée est simple dans un réseau local, un seul switch le serveur connait les VLANs utilisés, les autres switches vont apprendre ces VLANs grâce au protocole VTP Si on veut par exemple ajouter un VLAN, il suffit de mettre à jour la VLAN DATABASE dans le switch serveur C est très bien, tant que le switch serveur fonctionne Mais s il est en panne je fais quoi Et bien, dans ce cas, je configure un serveur de secours Oui, mais s'ils marchent tous les deux, lequel a raison Ah, mais c est qu on a pensé à tout il y a un numéro de version de la VLAN DATABASE qui sert à choisir la plus à jour Tout cela est très bien, sauf que Si Gaston branche un switch dont la VLAN DATABASE porte un numéro de version supérieur à celle du serveur, le LAN récupère la VLAN DATABASE du switch de Gaston On peut parier que le LAN ne va plus bien marcher Du coup, VTP utilise un paramètre vtp domain , assorti d un vtp password , qui permet d éviter un tel accident Certes, cela devrait éviter beaucoup d accidents mais ce n est pas suffisant pour prévenir une attaque Conclusion avec VTP, pour éviter les accidents, il faut définir un domain name Seuls les naïfs feront confiance au vtp password Une bonne pratique est de ne pas utiliser VTP Pour cela, il faut configurer VTP en mode off si disponible , ou sinon en mode transparent En l absence de VTP, il faut bien sûr configurer les VLANs dans chaque switch du LAN Nota avec le mode transparent, les extended VLAN sont accessibles En clair, on peut utiliser des numéros de VLAN entre 1 et 4095 Vos remarques, questions et autres interventions sont les bienvenues Pascal Bonnard Les articles de la série Ethernet Ethernet, un niveau à ne pas négliger Les attaques classiques interception de trafic, dénis de service A éliminer d urgence DTP Les VLANs pour les Nuls je configure les VLANs de mes trunks bien propres Les VLANs pour les Nuls VTP MRP Les boucles et les tempêtes STP et comment s en dispenser L art d en dire trop CDP et LLC Incroyable, mais vrai CTP loopback A utiliser sans trop d illusions LAG PaGP, LACP Conclusion, la configuration ultime pour mes switches http://www.secuobs.com/revue/news/335098.shtmlhttp://www.secuobs.com/revue/news/335098.shtml Secuobs.com : 2011-10-14 14:36:13 - Fr Orange Business Sécurité - CamilleLaBille elle travaille au marketing produit c'est elle qui connait le marché, quels sont les besoins des entreprises et qui en conséquence lance les projets pour développer les services qui seront commercialisés La sécurité c'est pour les paranoïaques ou les hyponcondriaques du bit de droite Pour CamilleLaBille, la sécurité, c'est des conneries Enfin presque C'est ce qu'elle pense dans s on fort intérieur CamilleLaBille, elle connait le marché, les besoins et attentes des clients, etc Si d'un coté elle comprend des choses que d'autres ne peuvent même pas appréhender, dans le cas de la sécurité, comme elle ne comprend pas grand chose, c'est que ça vaut pas le coup, c'est que ça n'est pas intéressant La sécurité, les hackers et tous ces trucs, CamilleLaBille elle ne saisit pas Et oui, CamilleLaBille elle capte rien dans la sécurité informatique alors quand LorenzoRapido lui parle de sécurité elle fait style de comprendre OK, OK, OK Elle pose 2 ou 3 questions histoire de montrer qu'elle touche mais en fait, elle est paumée Surtout en bonne société lire réunions avec des chefs La sécurité ça fait bien dans les slides et les fiches produit Elle ne dit pas complètement non à la sécurité La raison est simple la sécurité, ça pète sur les slides, ça fait bien dans les descriptions de services La sécurité, ça permet de maintenir son niveau de prix, de se démarquer de la concurrence, etc Le saint-graal c'est de mettre un super logo marqué certification ISO27K ou Critères Communs Une certification sécurité, ça rassure le client, ça balance la concurrence dans les bas-fonds et ça donne des arguments massue aux commerciaux En plus, pour CamilleLaBille, une certification c'est bon pour se faire mousser auprès de son chef car lui, il capte encore moins de quoi il s'agit Marquer sécurité tout en ne faisant pas grand chose de concret OK Donc faut pouvoir mettre sécurité ceci ou sécurité cela dans les slides et le contrat Comment on va faire Simple on va laisser LorenzoRapido le chef de projet discuter avec SecuNinja l'expert sécurité de la maison et il nous montent un plan de la mort qui tue Le truc, c'est que le plan sécurité de LorenzoRapido et SecuNinja, il est bien mais il implique de faire des choses en plus que CamilleLaBille, elle n'avait pas prévu Donc ici, CambilleLaBille, elle va chercher à édulcorer le plan pour faire que des choses pas compliquées aka celles qui coûtent pas cher ou alors elle va botter en touche aka son sport favori vers un projet transverse ou un plan d'action à venir L'important c'est que le mot sécurité soit présent le reste, elle s'en tamponne La certification sécurité élastique Le truc de la mort qui tue L'autre technique de CamilleLaBille, c'est de récupérer le travail que les autres ont pu faire Allez, on va prendre un exemple simple dans la boîte, on a des SOC Security Operating Centers qui ont été certifiés ISO27001 Et comme le service de CamilleLaBille est supervisé par ce SOC, elle va jouer sur le flou elle va laisser trainer des certifié ISO27001 dans les slides et support de présentation du service Et paf C'est gagné Jackpot Le prospect un peu bonnet et n'y connaissant pas grand chose, par agglomération d'idées, va se dire le service de CamilleLaBille il est certifié IS27001 Elle est forte CamilleLaBille En tout cas, on peut dire qu'elle sait tourner les choses à sa sauce, bref tout l'art d'un bon marketing produit http://www.secuobs.com/revue/news/334789.shtmlhttp://www.secuobs.com/revue/news/334789.shtml Secuobs.com : 2011-10-10 14:41:15 - Fr Orange Business Sécurité - Mais pourquoi la première keynote doit-elle avoir lieu à 8h30 Je soupçonne un mauvais génie de vouloir tester la motivation et la résistance des participants Première keynote de la journée, donc, qui donne finalement le ton de la vision opérateur sur la question sécurité capitaliser sur les infrastructures existantes et les équipes expérimentées pour ouvrir des services à fortes valeurs ajoutées et accompagner les clients finaux sur un périmètre élargi Les courants sous jacents Certaines thématiques n ont été que peu abordées de façon frontale dans les ateliers mais ont été citées à de nombreuses reprises La nécessité de fournir des indicateurs fiables aux équipes en charge de la gouvernance fait partie de ceux-là Ce sujet a été abordé sous tous les angles possibles de la collecte des données, jusqu à l introduction des techniques de business intelligence pour extraire le maximum d informations pertinentes La création de dashboards sécurité adaptés aux différents niveaux de hiérarchie, de l expert technique au CEO, a été un motif récurrent qui devrait s imposer peu à peu pour affiner le pilotage et les décisions Et la téléphonie Un sujet plus inhabituel abordé durant cette dernière journée a été les problématiques de sécurité et plus spécifiquement de fraude dans les environnements de téléphonie Ces interventions visaient à sensibiliser l auditoire sur les spécificités de ce domaine qui se traitent autant par des équipements dédiés à la sécurité que par des configurations adaptées finement sur le PABX lui même L héritage des risques de la téléphonie semble désormais reconnu et les réflexions pour proposer des solutions adaptées se généralisent Nous allons peut être vers la naissance d une nouvelle spécialité à moyen terme Une chose est sûre, le montant des fraudes économiques - de 1 000 à environ 600 000 - à fait réagir la salle Sécurité et économie Evoquer le ROI de la sécurité est un sujet qui fait sourire ou qui provoque une réflexion intense, douloureuse et la plupart du temps n arrivant pas à un résultat satisfaisant Conscient de cette difficulté, un groupe de travail a lancé une réflexion sur un axe alternatif en cherchant plutôt des outils de mesures pertinents Il ressort de ces premiers résultats une classification des entreprises, une première série de ratios concrets et adaptés à l activité, des pistes inattendues et une bonne nouvelle En effet, Il est désormais prouvé que la sécurité devient moins onéreuse lorsque les spécialistes de la fonction achat accompagnent les experts que nous sommes dans les phases de négociations Indéniablement, cette professionnalisation devrait permettre d optimiser les budgets serrés pour investir dans les trop nombreuses solutions qui sont aujourd hui nécessaires Un travail très intéressant dont les évolutions seront à suivre lors des prochaines assises Une vision de l avenir Un axe de présentation de ce qui nous attend dans l avenir assez différent dans cette présentation et collant au plus près aux actualités le monde change, économiquement, géographiquement et techniquement à une allure encore jamais rencontrée Quelques chiffres à la clé pour illustrer ces bouleversements qui impose également une dynamique toujours plus importante dans nos métiers 10 milliards de tweets en 5 mois 2012 33pourcents de solutions achetées sur un mode As a Service 2012 cinq fois plus de données crées en 5 mois que sur l année 2008 complète 2013 14 les smartphones sont désormais le mode d accès prédominant au web 2015 les réseaux sociaux remplacent l usage du mail pour 20pourcents des utilisateurs professionnels 2015 50pourcents des entreprises auront plus de 80pourcents des fonctions IT en mode As a Service Comment faire face à cette montagne En continuant avec une vigueur renouvelée la sensibilisation de nos utilisateurs, en assurant une veille, en embrassant les innovations qui se présentent, et surtout, surtout, en créant de l échange entre l ensemble des acteurs sécurité pour que les informations essentielles soient connues de tous Cette conférence c est terminée avec la présentation de l excellent rapport Data breach investigation report pour 2011 et une citation de Darwin It s not the strongest who survives, nor the most intelligent, but the ones most adaptable to change A méditer Pour conclure Pour finir, il est impossible de ne pas évoquer la conférence de clôture, réalisée par le directeur de l ANSSI, qui a été un rappel des grands risques actuels mais aussi et surtout, que les risques encourus sont démultipliés par le non respect du strict minimum touchant la sécurité qui a parlé des fessées morales De trop nombreuses attaques réussissent en exploitant des mots de passe faibles ou par défaut, des machines non mises à jour, des droits d accès mal gérés, etc L empilement des outils n est pas en soit une réponse à l éclatement des périmètres traditionnels et à la démultiplication des périphériques L échange entre les équipes des différents domaines, le ciblage précis de certains problèmes, la communication autour des alertes sont des points qui font toujours défaut et doivent être traités S il est nécessaire d affronter l avenir, cela ne signifie pas pour autant que les enseignements du passé doivent être oubliés Ai-je oublié ou manqué quelque chose Bien sur Les ateliers et stands étaient trop nombreux pour pouvoir être couvert en seulement trois jours Ainsi, si vous n avez pas vu évoqué la gestion des périphériques mobiles ou d autres sujets d actualités, c est simplement que le temps a manqué, mais absolument pas leurs absences Je vous renvois vers le site des assises pour avoir le détail des ateliers et partenaires de cette édition 2011 Bien entendu, si vous voulez parler de ce que vous avez vu ou vouliez voir en commentaire, n hésitez pas Vivement les assises 2012 Cedric http://www.secuobs.com/revue/news/333813.shtmlhttp://www.secuobs.com/revue/news/333813.shtml Secuobs.com : 2011-10-07 15:06:30 - Fr Orange Business Sécurité - Voir cette vidéo sur YouTube SecuNinja est l'un d'entre-eux SurfMachine, dans un accès soudain et violent de conscience, rencontre SecuNinja est évoque avec lui le projet de Lorenzo-Rapido, notre chef de projet Au sein des entreprises, les personnes de la direction sécurité et leurs acolytes répartis ici et là sont perçues comme des personnes complétement à coté de la plaque, vivant sur une planète bizarre peuplée de pirates violents usant de stratagèmes tordus C'est pas du vaudoux mais presque l'usage est de fuir ces personnes, de les éviter à tout prix CameraSecu_PhotoFamilleJPGLes gars de la sécurité des bêtes serviles A contrario, on les aime, on est prêt à leur donner la lune dès qu'un auditeur externe débarque, qu'un client commence à poser des questions ou qu'un incident de sécurité a lieu Aux personnes de la sécruité de se charger de ces sujets et que l'on en parle plus En plus, ils aiment ça et ça leur permet de montrer qu'ils servent à quelque chose Une fois sous contrôle, le feu provoqué par une intrusion, ils perdent de facto leurs appuis le plan d'action correctif est politiquement enterré sous une chappe de plomb Médiateur conjugal un boulot en tant que tel SurfMachine est anormalement constitué il est rare, rarissime même, qu'une personne aille contacter de façon proactive une personne de la sécurité afin d'obtenir des conseils quant à la sécurité d'un projet Grâce au médiateur conjugal ou médiateur sécurité , les préliminaires entre parties en présence se dérouleront à priori dans de meilleurs conditions la mise en contact des corps entre-eux sera progressive pour déboucher ensuite sur une union Ce médiateur doit idéalement être positionné du coté du marketing produit mais doit en être indépendant Il est force de proposition et force gentillement ou incite pour rester politiquement correct les parties à se parler et travailler ensemble SecuNinja un concentré de communicant maitre dans la course de fond Pour beaucoup de personnes, la sécurité est un domaine obscur Un bon SecuNinja doit être maître dans l'art de la communication et exceller dans l'éducation et l'illustration par analogies Exit le verbiage technique et les mots bizarres quand on explique pourquoi il est important de mettre en place telle ou telle mesure de sécurité Un SecuNinja devra savoir aller progressivement vers l'objectif en intégrant des notions liées à la conduite du changement rares sont les entreprises qui savent faire volte-face en quelques semaines ou mois Pour faire vraiment de la sécurité, il faut être champion en course de fond et pas un sprinter http://www.secuobs.com/revue/news/333336.shtmlhttp://www.secuobs.com/revue/news/333336.shtml Secuobs.com : 2011-10-06 17:21:54 - Fr Orange Business Sécurité - Les 11ème assises de la sécurité sont désormais commencées depuis deux jours Pour un œil neuf, le lieu géographique, Monaco, a un air de vacances et l ensemble donne parfois l impression d une réunion d amis de longues dates Néanmoins, et pour être un peu plus sérieux, il faut également indiquer que tous les grands acteurs de la sécurité sont présents et qu il est possible d assister à un grand nombre d ateliers Cisco et IBM deux concurrents pour une vision finalement assez proche de l avenir Les Keynotes de Cisco et IBM, bien que prenant des formes très différentes, ont confirmés les grandes directions identifiées ces deux dernières années nécessité de prendre en main le phénomène du Bring Your Own Device , éclatement des sources de données et des infrastructures comme moyen de réconcilier usages et sécurité Par ailleurs, il ne faudra pas oublier la nouvelle formule magique des marketings anywhere, anytime, anydevice L utilisateur à désormais pris les rennes et nous devons l accompagner Il est aussi intéressant de noter la conclusion des experts de la XForce d IBM anticipez l avenir mais n oubliez pas les enseignements du passé La plupart des attaques se déroulant aujourd hui continuent à exploiter des mots de passe simples, des machines non mises à jour ou encore des applications web n ayant jamais été auditées Un listing de 10 points au total qui permet de se remettre en cause et de vérifier que les fondations sont solides Cloud et datacenters Très logiquement, les sujets du cloud et des datacenters, ont été traités dans différents ateliers Un planning construit de façon progressive sur cette thématique permettait d avoir une approche globale et bien structurée sur ce sujet Je retiens en particulier quelques éléments ciblés que j ai trouvés assez représentatifs des problèmes actuels En 2011, 60pourcents des serveurs virtualisés sont moins bien sécurisés que leurs homologues physiques Il est nécessaire de retravailler de façon proactive l émulation et la sécurité du réseau dans les couches virtuelles pour renforcer l étanchéité, action qui devrait être de plus en plus facilitée avec l adaptation des solutions aux hyperviseurs La mise en œuvre d une gouvernance sérieuse, basée sur des indicateurs fiables, est indispensable Elle devra fournir des rapports adaptés aux différents interlocuteurs, soit des équipes techniques jusqu aux responsables et preneurs de décisions Ces rapports devront permettre de valider le maintien en condition opérationnel du système et les SLA associés aux infrastructures La réflexion du RSSI de Casino lors du retour d expérience un bon moyen de tester la maturité d un partenaire potentiel est de mesurer sa proactivité dans le traitement du sujet sécurité Il me semble aussi nécessaire de citer l exposé réalisé par les équipes R D de la société Sogeti Une approche pratique des risques liés à la virtualisation, avec une démonstration à l appui, pour bien mettre en évidence que la sécurité doit être considérée depuis les éléments physiques, comme la carte réseau, jusqu à l applicatif Un exposé trop court qui aurait mérité de pouvoir descendre plus avant dans les détails techniques IP V6 Pour finir cette note rapide, l exposé sur IP V6, sujet transverse et colonne vertébrale de tout ce qui communiquera dans l avenir, a permis de bien mettre en évidence que nous sommes désormais entré dans une phase de transition Ce sujet discuté depuis des années est désormais une réalité Fini les exposés théoriques Cette présentation a abordé les différents modes de transition d un point de vue technique, les impacts sur les services réseaux, les niveaux de sécurité d IP V6 avec des retours pratiques et fortement sensibilisé sur la disparité des applicatifs existants face à cette problématique Une solution pour aborder sereinement cette problématique lancer un projet interne qui couvrira l ensemble des éléments infrastrure, SI et endpoints et allant de l audit de démarrage jusqu à la planification globale des phases de migration ou de remplacements Pour conclure, cet évènement est donc l une des très trop rares occasions ou les professionnels de la sécurité peuvent se rencontrer pour croiser leurs perceptions de l évolution du métier, des nouvelles données à prendre en compte et cela en oubliant parfois la relation client fournisseur Une bouffée d air permettant de prendre du recul et de repositionner certains sujets sur l échelle des valeurs Cédric http://www.secuobs.com/revue/news/333106.shtmlhttp://www.secuobs.com/revue/news/333106.shtml Secuobs.com : 2011-10-05 12:17:01 - Fr Orange Business Sécurité - Fotolia_22814625_S 2 jpg Si les médias se font de plus en plus l'écho des menaces informatiques auprès du grand public, les conséquences de ces dernières restent dans l'esprit de beaucoup, cantonnées à des problèmes informatiques infection d'un ordinateur entrainant des pertes de performances ou des pertes de données Hors, nous savons depuis quelques années que les conséquences sont parfois plus lourdes, avec notamment le vol de données personnelles L'explosion du Black Market L'explosion des logiciels malveillants à peine 5000 en 2007, 40000 en 2009 et environ 60000 en 2010 a permis le développement tout aussi rapide du Black Market numérique un marché noir dédié aux nouvelles technologies Une récente étude de la société Panda Security, The Cyber-Crime Black Market Uncovered , publiée début 2011, décortique les mécanismes de ce marché parallèle, notamment une classification des acteurs et de leur rôle, ainsi que les processus de vente des produits et services associés A titre d'exemple, voici quelques chiffres relatifs aux prix des produits et services sur ce marché Données d'une carte de crédit de 2 à 90 dollars numéro de carte et date d'expiration, ainsi que les nom, adresse, numéro sécurité sociale et date de naissance du titulaire Carte de crédit vierge à partir de 190 dollars pour une commande minimum de 5 cartes plastique blanc ou impression couleur avec hologramme bancaire et piste magnétique Vous devrez acheter en complément les données présentées plus haut Copieur Duplicateur de cartes physiques de 200 à 1000 dollars suivant les modèles Vrai-faux distributeur bancaire jusqu'à 35000 dollars Vous pouvez également opter pour un module Skimmer à intégrer à un distributeur officiel et permettant la copie de pistes magnétiques Identifiants bancaires pour une somme allant 80 à 700 dollars, vous pouvez disposer d'identifiants de connexions aux services d'une banque en ligne nom d'utilisateur, mot de passe et réponses aux questions de sécurité Les comptes vendus sont garantis avec un solde positif Blanchiment de transferts bancaires de 10 à 40pourcents du montant total nettoyé Identifiants pour plates-formes de paiement pour une somme allant de 80 à 1500 dollars, des identifiants de connexions à un service de paiement rapide exemple PayPal vous sont fournis avec une garantie de solde positif Les comptes à solde positif non garantis se négocient autour de 10 dollars seulement Vrai-faux site marchand les prix sont ici en fonction de votre projet et incluent la conception du site, son développement et sa mise en ligne Commande et livraison de produits une commission de 30 à 300 dollars est ici demandée pour assurer la commande à vous de fournir les données bancaires à utilisées et la livraison de produits achetés en ligne Les réseaux sociaux ne sont qu'une menace secondaire Comme cela a été évoqué plus haut, la principale source d'informations du Black Market est constituée du vol d'informations au travers de logiciels malveillants, couplée éventuellement avec le vol de données de manière physique Néanmoins, il est intéressant de se poser la question concernant un certain nombre d'informations disponibles sur le Black Market, qu'il s'agisse des numéros de sécurité sociale ou des dates de naissance par exemple Les réseaux sociaux sont aujourd'hui souvent montrés du doigt car ils centralisent de nombreuses informations sur les utilisateurs et cristallisent ainsi les peurs Beaucoup d'utilisateurs des réseaux sociaux sont en effet peu soucieux de la confidentialité des données et s'aperçoivent incrédules que le nom de leurs enfants, de leur chien ou leur lieu de domicile sont accessibles à tout un chacun Les agrégateurs de données personnelles sont également avertis, comme le rappelle la CNIL qui vient d'adresser un Carton rouge pour les Pages Jaunes la CNIL a considéré que l aspiration de ces informations sur les sites des réseaux, à l insu des personnes concernées, était déloyale et donc contraire à la loi Informatique et Libertés Un risque également alimenté par la multiplication des données administratives en ligne En dehors du poste utilisateur, si les réseaux sociaux ne sont pas les principaux conteneurs d'informations, où se trouvent les informations Il est théoriquement possible de collecter des informations sur les sites web personnels ou les petites annonces, mais cela ne représente qu'une infime partie de la collecte En revanche, la multiplication ces dernières années des bases de données administratives en ligne, participe fortement à l'exposition de données fortement personnelles Si ces données sont publiques du point de vue de l'administration, leur consultation sur Internet a permis de réduire les temps de consultation il n'est plus utile de se rendre à un guichet de l'administration et d'augmenter la volumétrie de consultation la recopie d'un microfilm sur un carnet papier étant nettement moins rapide qu'une copie d'écran Si de nombreuses organisations sont vigilantes quant aux données personnelles des internautes dans leur ensemble, elles n'ont que peu de marge de manœuvre sur le contrôle des données relatives aux chefs d'entreprises Ainsi, parce qu'un certain nombre de ses informations personnelles sont rendues publiques, et parce qu'il est souvent assimilé à une source de richesse, le chef d'entreprise se retrouve particulièrement exposé Exemple au travers d'un commerçant de proximité Afin d'illustrer le propos, je me suis livré à un exercice de collecte d'informations selon les contraintes suivantes collecter des informations sur un chef d'entreprise dont l'activité est locale n'accéder qu'à des informations publiques, légales et gratuites ne pas utiliser de données issues des réseaux sociaux optimiser le coût temps de recherche richesse de l'information Etape 1 à la suite d'un achat avec une carte bancaire, vous êtes en possession d'un ticket client sur lequel apparait clairement le nom de la banque du commerçant ainsi que la raison sociale de son établissement Etape 2 une rapide recherche sur un site d'informations sur les entreprises nous dévoile rapidement les noms, prénoms, date de naissance et lieu de naissance des dirigeants Etape 3 une recherche élargie sur les annuaires téléphoniques en ligne, en partant du lieu du commerce, nous révèle généralement l'adresse et le numéro de téléphone personnels de ces mêmes dirigeants Etape 4 certains sites spécialisés non détaillés ici vous permettront également d'obtenir des adresses supplémentaires comme les résidences secondaires éventuelles En moins de 30 minutes, les informations collectées hors réseaux sociaux , de manière légales et gratuites, sont certes peu nombreuses mais assez sensibles Quand la collecte d'informations publiques rejoint le Black Market Pour les motifs évoqués plus haut, le chef d'entreprise est donc une cible particulière pour le Black Market La nature des informations publiques le concernant couplée à l'étendue des offres disponibles sur le Black Market permettent de déterminer rapidement et au plus juste l'utilisation de ressources frauduleuses Les combinaisons possibles entre les informations recueillies et leur utilisation via des services illégaux ne seront naturellement pas détaillées dans cet article mais le lecteur amateur de romans policiers et autres films d'espionnage trouvera sans doute dans ces derniers des éléments de réponse Avertissement Cet article n'a pas pour objectif de promouvoir les activités liées au Black Market, ni d'inciter les lecteurs à des activités illégales Il s'inscrit dans une démarche d'information et son auteur ne saurait être tenu responsable de préjudices, matériels ou moraux quels qu ils soient, découlant de l utilisation ou de la non-utilisation des informations présentées Maxim_Kazmin - Fotoliacom http://www.secuobs.com/revue/news/332798.shtmlhttp://www.secuobs.com/revue/news/332798.shtml Secuobs.com : 2011-10-03 14:46:40 - Fr Orange Business Sécurité - Miniature de l'image pour padlock_openpng Un peu d histoire L algorithme de chiffrement AES Advanced Encryption Standard est la référence utilisée dans un grand nombre de domaines applicatifs depuis une dizaine d année Sa présence est notamment très forte dans le monde des communications unifiées, où il est utilisé avec le protocole RTP pour sécuriser les flux media C est donc lui qui permet notamment d assurer la confidentialité des conversations téléphoniques chez la plupart des grands éditeurs Son développement a été initié à la fin des années 1990 pour remplacer le DES 3DES qui était considéré comme trop fragile En effet, non seulement de nombreuses solutions mathématiques avaient été trouvées pour casser ces algorithmes, mais en plus, des mises en œuvre pratiques avaient été réalisées avec des résultats plus que probants la possibilité de déchiffrer les contenus avec du matériel standard et des temps raisonnables L AES est aujourd hui mis à mal AES est donc devenu le nouveau standard defacto, avec jusqu à ce jour, une résistance plus qu honorable à tous les travaux de recherche Néanmoins, une équipe de chercheurs Andrey Bogdanov, Dmitry Khovratovich, Christian Rechberger semble avoir trouvé une voie prometteuse pour briser sa sécurité Ces derniers ont réussi à trouver une méthode permettant de réduire par quatre la complexité pour trouver la clé de chiffrement utilisée Ma conclusion ne pas tomber dans l extrême Doit-on désormais considéré ce dernier comme n étant plus fiable Cela serait sans doute basculer dans l extrémisme En effet, bien que la difficulté ait été réduite d un coefficient 4, les estimations actuelles montrent qu il faudrait environ deux milliards d années pour un milliard de machines, éliminant un milliard de possibilités par seconde, pour identifier la bonne clé En d autres mots, le niveau de sécurité d un AES 128 est plutôt proche d un AES 126 Aussi, déclencher un niveau d alerte élevé ne semble pas d actualité, par contre, mettre en œuvre une veille pour suivre les travaux autour de l AES semble désormais une nécessité Une fois de plus, il a été démontré que tout algorithme peut être fragilisé voir brisé Il n y a pas d exception à cette règle, seules des durées plus ou moins longues pour arriver à ce résultat Si vous souhaitez avoir le détail complet du travail réalisé sur AES, la publication réalisée sur le sujet peut se trouver ici Cédric http://www.secuobs.com/revue/news/332299.shtmlhttp://www.secuobs.com/revue/news/332299.shtml Secuobs.com : 2011-10-03 05:21:51 - Fr Orange Business Sécurité - cablejpg Rappelez-vous que, par défaut, un trunk laisse passer tous les VLANs Cela a permis à Gaston de faire de sacrés gags Bonnes pratiques du VLAN Une bonne pratique est de décrire explicitement les VLANs permis Par exemple switchport trunk allowed vlan 10, 20-29 En plus, un trunk laisse passer les trames Ethernet natives sans étiquette de VLAN Le switch place ces trames dans un VLAN spécial, c est le VLAN natif de l interface Par défaut, le VLAN natif est le VLAN 1 les trames natives vont dans le VLAN 1 Et le VLAN 1 est toujours actif En général, quand il y a une interface trunk, c est pour échanger des trames avec une étiquette de VLAN Dès lors, les trames sans étiquettes de VLAN doivent être écartées Pour cela, il suffit de spécifier, pour chaque trunk, un VLAN natif exclusif Quoi qu il en soit, sur un trunk, il faut toujours spécifier le VLAN natif Bien sûr, il ne faut jamais utiliser la VLAN 1 pour véhiculer le trafic de données En effet, ce VLAN est utilisé par de nombreux protocoles de niveau 2 Ah, j allais oublier aussi ISL Il s agit d un protocole propriétaire créé avant que les étiquettes de VLAN ne soient normalisées A n utiliser qu en présence d équipements CISCO obsolètes, qui gèrent uniquement ISL Certains équipements récents ne gèrent plus ISL En résumé, un trunk bien propre du point de vue des VLAN donne switchport trunk encapsulation dot1q switchport trunk native vlan 801 switchport trunk allowed vlan 10,20-29 switchport mode trunk switchport nonegotiate Vos remarques, questions et autres interventions sont les bienvenues Pascal BONNARD Articles à suivre dans la série Ethernet Les VLANs pour les Nuls VTP MRP 5 10 Les boucles et les tempêtes STP et comment s en dispenser 6 10 L art d en dire trop CDP et LLC 7 10 Incroyable, mais vrai CTP loopback 8 10 A utiliser sans trop d illusions LAG PaGP, LACP 9 10 Conclusion, la configuration ultime pour mes switches 10 10 ktsdesign - Fotoliacom http://www.secuobs.com/revue/news/332236.shtmlhttp://www.secuobs.com/revue/news/332236.shtml Secuobs.com : 2011-09-30 14:50:06 - Fr Orange Business Sécurité - CameraSecu_PhotoFamilleJPG Lorenzo Rapido, c'est le chef de projet de la boite C'est lui qui s'assure que le projet est mené à bien avec un soucis de respect des délais du respect du cahier des charges et des charges associées au développement Les bons chefs de projet, c'est dur à trouver surtout pour traiter les sujets sécurité Caractéristiques d'un bon chef de projet Il est binaire Si dans la liste des choses à faire y'a rien en terme de sécurité, c'est que c'est normal, faut surtout pas en rajouter C'est que le plus souvent les projets sont tellement charette que plus on laisse de coté des choses mieux l'équipe se porte La stratégie du j'savais pas ou du j'pensai que c'est les autres qui s'en chargaient sont des classiques La reco de Yann la SurfMachine Pour faire de la sécurité dans un projet, un chef de projet, il faut le prendre au berceau Lui expliquer dès le départ ce qu'il y a faire ou pas en terme de sécurité et s'assurer qu'il a bien tout noté Et surtout faut le suivre Ne pas hésiter à lui ré-expliquer si vous sentez qu'il capte que dale Dans la vie y'a des priorités, dans les projets c'est la même chose Un projet c'est compliqué à mener Y'a des choses plus compliquées que d'autres certains fonctions sont plus prioritaires, etc Le chef de projet, il va travailler en fonction de la pression qu'il a de la part des commanditaires Parmi les puissants on a le marketing produit Le marketing produit il pousse en prirorité pour ses fonctions les trucs de sécurité il dit pas non bon, ça arrive mais c'est pas le sujet mais c'est moins prioritaire que les super fonctionnalités de-la-mort-qui-tuent et qui-vont-ramener-plein-de-pognon Le chef de projet lambda il va donc mettre en priorté 1 le développements des fonctions du service la sécurité se retrouvant souvent reléguée à un sous-niveau de bas étage http://www.secuobs.com/revue/news/331932.shtmlhttp://www.secuobs.com/revue/news/331932.shtml Secuobs.com : 2011-09-26 13:09:00 - Fr Orange Business Sécurité - USB keyjpgLe Dynamic Trunking Protocol, c'est quoi Le Dynamic Trunking Protocol DTP est un protocole développé par CISCO Je ne connais pas d équivalent normalisé Le DTP, comme son nom l indique, permet par exemple de former un trunk dynamique sur une interface configurée en accès Dans une optique plug and play , un réseau de switch doit marcher dès qu on les branchent Le DTP est donc activé par défaut Prenons un cas concret Supposons le cas suivant une interface LAN configurée avec le strict minimum, comme suit switchport access vlan 10 Gaston prend le switch de secours dans la réserve et configure une interface comme cela switchport mode trunk Maintenant, Gaston branche son interface sur le LAN Et la magie de DTP opère Abracadabra, l humble et modeste interface axée sur le LAN devient un beau trunk Par défaut, un trunk laisse passer tous les VLANs encore le plug and play Toujours par défaut, trois protocoles très bavards sont aussi actifs, nous le verrons plus tard Connaissant la créativité débordante de Gaston, à n en pas douter, après la phase Plug , qui sait ce qu il va faire dans la phase Play Alors là, c est plus qu une faille de sécurité c est une gorge, que dis-je, un canyon, non, c est une fosse océanique RONTUDJU IL FAUT DESACTIVER LE DTP SUR TOUTES LES INTERFACES SWITCHPORT NONEGOTIATE Sur un port access switchport mode access switchport nonegociate Sur un port trunk switchport trunk encapsulation dot1q switchport mode trunk switchport nonegotiate Cerise sur le gâteau, sans DTP, l interface monte plus vite parce qu il n est plus nécessaire d attendre que le DTP ait fait sa négociation environ 2 secondes VOUS ETES MAINTENANT PREVENUS, CORRIGEZ VITE VOS CONFIGURATIONS Vos remarques, questions et autres interventions sont les bienvenues Pascal BONNARD Articles à suivre dans la série Ethernet Les VLANs pour les Nuls je configure les VLANs de mes trunks bien propres 4 10 Les VLANs pour les Nuls VTP MRP 5 10 Les boucles et les tempêtes STP et comment s en dispenser 6 10 L art d en dire trop CDP et LLC 7 10 Incroyable, mais vrai CTP loopback 8 10 A utiliser sans trop d illusions LAG PaGP, LACP 9 10 Conclusion, la configuration ultime pour mes switches 10 10 INFINITY - Fotoliacom http://www.secuobs.com/revue/news/331043.shtmlhttp://www.secuobs.com/revue/news/331043.shtml Secuobs.com : 2011-09-23 14:19:02 - Fr Orange Business Sécurité - CameraSecu_PhotoFamilleJPG La série CaméraSécu débarque sur le blog sécurité d'Orange Business Services avec un objectif simple Mettre le doigt là où la sécurité fait mal en entreprise Une série décalée, railleuse, absolument pas sérieuse dans la forme mais pleine de bonne humeur et qui fait passer de réels messages sur la sécurité Faisons les présentations de cet ovni qu'est CaméraSécurité Tout le monde va prendre cher Les CSO Chief Security Officer qui ne captent rien à la sécurité vont en prendre plein les dents, idem pour les directeurs financiers avares ou les chef de projets mollassons du slip tous vont souffrir Idem pour les super-héros que sont les experts sécurité bardés de certifications et qui demandent des trucs irréalistes tout le monde va y passer Oui, on va faire dans l'auto-dérision et on va bousculer les codes A la base du vécu, rien que du vécu Dans CaméraSécu, le trait est fortement épaissi, les situations un peu foireuses et, comme vous le verrez, la réalisation technique est digne des plus grands films d'animation c'est promis, vous aurez un making-of Mais CaméraSécu a UNE règle sur laquelle nous ne transigerons pas tous les épisodes seront tirés de situations vécues et pas de trucs inventés Obligatoirement, certains épisodes auront un goût de déjà vu à la maison normal, les travers des uns sont les travers des autres Au fait toute ressemblance avec des faits ou des situations réelles sera purement le fait du hasard donc que personne ne vienne nous chercher des noises - Saison 0 - Episode 0 - La SurfMachine Yann, connu sous le nom de SurfMachine est la mascotte de CaméraSécu Il est un peu le neuneu de service mais il est plein de bonne volonté Je ne vous en dit pas plus, je vous laisse avec lui Voir cette vidéo depuis YouTube Une expérience Monter CaméraSécu est une expérience si le succès n'est pas au rdv, ce sera sans scrupule que l'on sortira la 22 long-rifle pour lui loger une balle entre les 2 yeux Par contre, si ça marche, alors on pourra pousser le bouchon encore un petit peu plus loin La balle est donc dans votre camp - Mais ils ont que ça à faire chez Orange Pour ceux qui se poseront cette fameuse question, je leur répondrai simplement et directement non, nous n'avons pas que ça à faire Les tournages de CaméraSécu se déroulent durant la pause déjeuner et comme nous sommes des geeks nous mangeons rapidement, salement et sans discuter de trop on a donc du temps à tuer Après, les mauvais coucheurs, ils peuvent passer leur chemin car CaméraSécu c'est fait pour faire plaisir et se faire plaisir Bref, mettre de l'humain et de la bonne humeur Dénonciation ou pas Qui se cache derrière CaméraSécu Bon, je ne vais pas commencer à dénoncer mes petits camarades Tout ce que je peux dire c'est que je suis de la partie vous vous en seriez doutés à la lecture de ces mots On y retrouve aussi un autre compère dont le prénom commence par la lettre V Non, je vous rassure ce n'est pas un Anonymous mais il en connait un rayon sur le sujet J'arrête, j'en ai déjà trop dit Un rendez-vous hebdomadaire Tous les vendredi à 14h Bref, trève de bavardages Rendez-vous tous les vendredi à 14h pétantes sur ce blog Les prochains épisodes ont été tournés au menu, SQL injection, chef de projet et surtout une bombasse comme vous en avez rarement vu Bref, attention, ça va décoiffer Des idées Venez sur CaméraSécu Nous ne sommes pas dans un livre des années 80 le livre dont vous êtes le héro Folio Junior mais presque Proposez des idées d'épisodes et devenez une star - http://www.secuobs.com/revue/news/330600.shtmlhttp://www.secuobs.com/revue/news/330600.shtml Secuobs.com : 2011-09-18 05:54:38 - Fr Orange Business Sécurité - homme du milieuJPG Après des vacances bien méritées et une cure de vitamine C, le professeur Audenard Jeff pour les intimes est de retour pour une rentrée explosive La vidéo suivante explique de manière simple et efficace une attaque sur internet en prenant un cas concret, quelque chose qui vous arrive tous les jours se connecter à sa boîte gmail Jusque là tout va bien, je pense, personne n'est perdu - Le reste des explications se focalise sur un éclaircissement schématisé de l'attaque https pcp 443, adresse IP, SSL, certificat, faux serveur, connexion, chiffrage, cadenas Interessé, captivé intrigué Alors cliquez Le principe de l'attaque du man in the middle n'aura plus de secrets pour vous Vous pouvez également visualiser la vidéo via youtube Et vous, que pensez-vous de ce type d'attaque Avez-vous connu des faits similaires 謝谢 Virginie Maridav - Fotoliacom http://www.secuobs.com/revue/news/329536.shtmlhttp://www.secuobs.com/revue/news/329536.shtml Secuobs.com : 2011-09-15 12:03:10 - Fr Orange Business Sécurité - Qui n'a jamais eu la désagréable surprise de surprendre un collègue, un visiteur de son entreprise ou un voisin dans l'avion, en train de lire le bilan financier que vient de vous envoyer votre patron, ou bien encore l'email que vous êtes en train d'envoyer à votre service bureautique avec vos identifiants réseau L'écran, maillon faible de votre sécurité Depuis les débuts de l'informatique, les chercheurs des grandes organisations militaires se sont intéressés à la possibilité d'accéder à vos informations le plus furtivement possible Comment parvenir à s'emparer des données d'un utilisateur sans intervenir de manière physique ou logicielle utilisation d'un enregistreur de frappe hardware software par exemple Elémentaire mon cher Watson en analysant à distance les rayonnements électromagnétiques émis par les câbles du clavier ou de l'écran Les contre-mesures pour se protéger de ce type d'attaques sont les techniques visant à protéger ou masquer les signaux et rayonnements électromagnétiques émis par les composants d'un ordinateur, technique plus connue sous le nom TEMPEST Ces techniques sont néanmoins souvent réservées aux organisations militaires Reste cependant le délicat problème des enregistrements vidéo Que faire contre un circuit de vidéosurveillance qui pourrait s'emparer de l'ensemble des données que vous venez de consulter Les solutions de la CIA pour protéger son écran Bien loin des préoccupations de l'utilisateur lambda, In-Q-Tel est une organisation à but non lucratif, fondée en 1999, qui a pour mission d'identifier les technologies innovantes pour la CIA et la communauté nord-américaine des renseignements Selon In-Q-Tel, il existerait 400 millions de travailleurs mobiles à travers le monde dont 75pourcents aux Etats-Unis Ces travailleurs sont souvent localisés dans des environnements publics ou partagés dans lesquels ils consultent des informations sensibles ou confidentielles De plus, 89pourcents des gens admettraient lire au dessus de l'épaule de leur voisin, technique la plus simple d'espionnage ou de simple voyeurisme In-Q-Tel vient d'annoncer cette semaine un accord de partenariat avec la société Oculis Labs, spécialisée dans les logiciels de protection des informations contre les systèmes d'écoutes Ces logiciels couvrant le monde des mobiles et des stations de travail Que personne n'approche La solution PrivateEye de la société Oculis Labs est une application logicielle mêlant détection visuelle à l'aide d'une webcam, reconnaissance faciale et protection des données affichées Le principe est simple si l'utilisateur reconnu du poste s'éloigne de ce dernier, l'affichage à l'écran se brouille par un effet de flou si la caméra détecte un individu non reconnu dont l'écran est dans le champ de vision, le même processus de brouillage s'applique Voici une vidéo de démonstration du logiciel Private Eye disponible ici pour la somme de 1,99 Suivez mon regard L'autre solution innovante de Oculis Labs qui intéresse particulièrement In-Q-Tel s'appelle Chameleon Elle vise un marché de 2,9 millions d'utilisateurs accédant à des informations classifiées militaires, diplomates, forces tactiques, etc Chameleon tente de résoudre la difficile équation de la protection des données face aux techniques d'écoutes et de surveillances électroniques, ou autres outils d'espionnage moderne La solution, dont un brevet est en cours de dépôt, consiste ici à modifier en temps-réel la parallaxe associée à l'affichage Chameleon détecte et piste la position à l'écran sur laquelle se pose le regard de l'utilisateur reconnu A l'exception de la région sur laquelle se porte le regard, l'ensemble de l'affichage est rendu illisible tout en conservant une cohérence visuelle correcte Pour simplifier si vous n'êtes pas l'utilisateur légitime du système, vous avez l'impression de lire un Faux-texte visuellement correct en termes de mise en forme Par contre, l'utilisateur reconnu voit s'afficher en temps-réel le véritable contenu du document Une démonstration valant bien mieux qu'un long discours, je vous invite à jeter un coup d'oeil à cette deuxième vidéo ci-dessous pour les plus pressés d'entre vous, allez directement à la 4ème minute Un Whitepaper et une brève présentation du produit sont disponibles sur la page Chameleon de l'éditeur Bilan la tranquilité pour 2 et la célébrité pour les plus innovants A présent, vous pouvez pour un budget inférieur à 2, consulter en toute confiance les documents classifiés que votre patron vous confie, ou tout simplement épater vos collègues Néanmoins, si vous disposez d'une technologie tout aussi innovante, pouvant intéresser les espions, militaires et autres diplomates de la planète, n'hésitez pas à contacter l'In-Q-Tel ou mettez nous tous les détails dans les commentaires, nous ferons suivre http://www.secuobs.com/revue/news/329019.shtmlhttp://www.secuobs.com/revue/news/329019.shtml Secuobs.com : 2011-09-13 05:21:34 - Fr Orange Business Sécurité - Il s agit ici des quelques attaques dont on peut trouver la mention suite à une recherche sur la toile Notons toutefois que la qualité de la documentation n est pas toujours au rendez-vous Sans être exhaustif, voici celles qui me viennent en tête 1 En préalable à une attaque, il faut collecter des informations sur le réseau Sur un LAN bureautique configuré sans précautions, il suffit d écouter l activité pour récolter de nombreuses informations Un PC bureautique et un programme spécial appelé sniffer suffisent Ainsi, Gaston utilise Wireshark, un excellent sniffer gratuit qu il exécute depuis une clef USB Ceci est un moyen discret, simple et efficace pour collecter par exemple les adresses physiques et les adresses IP présentes sur le LAN D'autres informations intéressantes sur les équipements de réseaux et les serveurs présents peuvent aussi être collectées Une configuration avisée permet ainsi de réduire considérablement la moisson, tout en limitant les possibilités d attaque Il est difficile de faire mieux un sniffer est passif, et malgré tous ses efforts, l agent Lontarin ne peut espérer le détecter 2 Le vol d adresse Après avoir collecté les adresses de niveau 2 et 3 de ses victimes, l attaquant peut aisément détourner le trafic vers ses outils On trouve par exemple des programmes capables d intercepter les noms de comptes et les mots de passe associés 3 La saturation de la table d adresses physiques du switch mac flooding Cette attaque amène le switch à diffuser toutes les trames vers toutes les interfaces L attaquant peut ainsi voir tout ou partie du traffic qui traverse le switch Toutefois, il est très probable que les données récoltées seront incomplètes La parade classique consiste à limiter le nombre d adresses autorisées sur un port sur Catalyst, switchport port-security Que faire Une bonne pratique consiste à désactiver les protocoles inutiles et à empêcher que les PC puissent communiquer entre eux au niveau 2 De la sorte, le sniffer verra beaucoup moins de choses et cela réduira considérablement l impact de l attaque En ce qui concerne les dénis de service DoS attack ce sont des attaques bêtes et méchantes, puisqu il s agit de perturber une interface, voire un VLAN, ou même le fonctionnement de tout un switch Ces attaques ne sont pas discrètes et peu sélectives Quelques exemples d attaques - perturber le fonctionnement des protocoles de niveau 2 comme STP, VTP, CDP Ces points seront détaillés par la suite - générer des trames irrégulières au niveau 2 ou au niveau 3 Le switch, plein de bonne volonté, les normalise mais, pour cela, il consomme de la CPU Avec seulement 2000 mauvaises trames par secondes, on peut consommer toute la puissance CPU d un Catalyst 3750 Vos remarques, questions et autres interventions sont les bienvenues Pascal Articles à suivre dans la série Ethernet A éliminer d urgence DTP 3 10 Les VLANs pour les Nuls je configure les VLANs de mes trunks bien propres 4 10 Les VLANs pour les Nuls VTP MRP 5 10 Les boucles et les tempêtes STP et comment s en dispenser 6 10 L art d en dire trop CDP et LLC 7 10 Incroyable, mais vrai CTP loopback 8 10 A utiliser sans trop d illusions LAG PaGP, LACP 9 10 Conclusion, la configuration ultime pour mes switches 10 10 Tilio Paolo - Fotoliacom http://www.secuobs.com/revue/news/328466.shtmlhttp://www.secuobs.com/revue/news/328466.shtml Secuobs.com : 2011-09-11 00:24:52 - Fr Orange Business Sécurité - Toute entreprise utilisant les réseaux sociaux doit prendre un ensemble de précautions pour sécuriser son compte Twitter Il suffit que l'accès à son compte soit piraté pour que son image de marque en prenne un coup En effet, dès qu'un attaquant est en mesure de twitter sous le nom d'une société, les personnes qui suivent les 'followers prendront quasiment pour argent comptant les informations envoyées En Juillet 2011, Fox News a annoncé la mort de Barack Obama foxnewshackedpng En septembre 2011, c'est au tour de NBC News d'annoncer un attentat sur New-York t1largnbchackedtwitterjpg Les deux incidents seraient liés aux groupes de cyber-activistes Lutzec et Anonymous en fait, je pense qu'il est difficile de se faire une idée on ne sait jamais vraiment de qui il s'agit car se revendiquer de ces groupes semble être très à la mode Pratiques à risques Parlons franchement Quand je peux constater certaines pratiques sécurité dans le monde du 'social média en entreprise , les incidents concernant Fox News et NBC News ne sont pas étonnants En vrac, les personnes du social media teal ont souvent des pratiques du genre - Mots de passe trop simples genre nom de la société année - Le mot de passe est très rarement changé ou une fois par an, cf règle ci-dessus - Nombre important de personnes connaissant le mot de passe - Le mot de passe n'est pas changé quand une personne quitte le service - Niveau de sensibilisation faible aux attaques d'ingénierie sociale - Le sentiment du ça n'arrive aux autres qui n'ont pas de chance nous on a de la chance - Le compte Twitter n'est pas configuré pour faire du SSL par défaut - comment activer SSL - Les connexions au compre Twitter depuis des hotspots insécurisés donc attaquables via Firesheep Bref, rien que du bien classique Certains s'y retrouveront A eux de se prendre par la main et de faire le nécessaire Bref, le j'savais pas n'est pas acceptable - Imaginez deux minutes le bronx qu'un faux message du genre provoquerait Le Twitter offciel d'Orange annonce fièrement En boutique, dans les 2 heures qui viennent uniquement, orange distribue gratuitement des cartes mobicartes de 5 et 10 venez nombreux C'est l'occasion qui fait le larron Suivez-moi sur Twitter à jeffman78 Pour ceux qui recherchent qqchose d'original, Orange Timeline est fait pour vous Il y bien évidemment le Twitter orange ou orangebusiness http://www.secuobs.com/revue/news/328192.shtmlhttp://www.secuobs.com/revue/news/328192.shtml Secuobs.com : 2011-09-07 18:16:22 - Fr Orange Business Sécurité - Parmi les objectifs de la sécurité informatique, trois sujets sont particulièrement au coeur des préoccupations des utilisateurs l'intégrité non altération des données , la confidentialité autorisation d'accès aux données et la disponibilité des données Autour de ces trois thèmes, voici une proposition de 10 outils, dans un ordre arbitraire, pour vous aider à sécuriser les données de votre poste de travail La liste proposée exclut volontairement les applications de pare-feux, d'anti-virus et de lutte contre les logiciels malveillants car ces types d'applications méritent à eux seuls un article spécifique 1 KeePass La multiplication des mots de passe messagerie, interfaces web, lecteur réseau, est devenue la hantise des utilisateurs KeePass est une des solutions coffre-fort les plus simples et ergonomiques Les mots de passe sont chiffrés lors du stockage SHA-256 et l'ensemble de la base est protégée elle aussi grâce à l'algorithme AES A noter également, la protection du processus KeePass ainsi que celle des blocs mémoire utilisée Une version portable est disponible pour usage avec une clé USB en mode nomade A lire également, notre article intitulé 2 recettes simples pour gérer ses mots de passe KeePass est disponible à l'adresse suivante http kepassinfo 10-outils-securite-poste-de-travail-keepasspng 2 TrueCrypt Il est parfois utile de mettre à l'abri des regards indiscrets certaines données confidentielles de l'entreprise TrueCrypt vous offre la possibilité de créer rapidement et simplement un coffre-fort de données pour y stocker vos fichiers Outre la possibilité de créer un lecteur virtuel crypté - que vous associerez à une lettre de disque exemple Z - l'application vous permet également de crypter une partition, un disque dur ou amovible dans sa totalité Pour les plus paranoïaques, il existe également la possibilité de créer un coffre-fort caché au sein d'un coffre-fort existant voir la documentation pour plus de détails sur les avantages de cette technique TrueCrypt est disponible à l'adresse suivante http wwwtruecryptorg 10-outils-securite-poste-de-travail-truecryptpng 3 AxCrypt Dans une approche similaire à celle de TrueCrypt, l'application AxCrypt permet quant à elle d'agir unilatéralement sur un fichier ou un ensemble de fichiers pour y appliquer des opérations de cryptage décryptage Deux fonctionnalités apportent un confort particulier pour les utilisateurs la possibilité de générer un exécutable intégrant les fonctions de décryptage lors de la communication d'un fichier crypté à une personne ne disposant pas de AxCrypt par exemple , ainsi qu'une fonction de suppression sécurisée de fichiers via un algorithme d'écrasement multi-cycles des données par des données aléatoires Ne vous attendez cependant pas à faire du chiffrement homomorphique TrueCrypt est disponible à l'adresse suivante http wwwaxantumcom axcrypt 10-outils-securite-poste-de-travail-axcryptpng 4 Eraser Les personnes qui souhaiteraient utiliser des fonctions de suppression sécurisées trouveront au sein de l'outil Eraser une approche plus avancée que AxCrypt Outre la possibilité de choisir parmi un large choix d'algorithmes Gutmann, US DoD, Schneier et autres spécifications gouvernementales , l'accès aux fichiers peut être bloqué durant les opérations de suppression, le contenu issu d'autres fichiers peut également être ajouté en fin de cycle pour brouiller les pistes Autre usage apprécié la programmation des opérations de nettoyage à une heure récurrente, chaque jour de la semaine ou chaque jour du mois Eraser est disponible à l'adresse suivante http eraserheidiie 10-outils-securite-poste-de-travail-eraserpng 5 Microsoft Baseline Security Analyzer Initialement destiné aux petites et moyennes entreprises, l'outil de Microsoft s'impose aujourd'hui comme indispensable à tout utilisateur qui souhaite déterminer l'état de sécurité de son poste conformément aux recommandations de sécurité Microsoft En complément de l'état des lieux effectué, l'application apporte de nombreux conseils quant aux correctifs spécifiques à apporter Elle couvre la mise à jour et la configuration des produits Microsoft suivantes Windows 2000 XP Vista Seven, Windows Server 2003 2008 2008R2, Internet Information Services 50 51 60, Microsoft Internet Explorer 501 55 60, Microsoft SQL Server 70 2000 2005 et enfin Office 2000 XP 2003 MBSA est disponible à l'adresse http technetmicrosoftcom fr-fr security cc184923aspx 10-outils-securite-poste-de-travail-mbsapng 6 Personal Software Inspector Dans la même philosophie que l'outil MBSA, la société Secunia propose quant à elle un outil plus complet dans la mesure où son périmètre d'inspection ne se restreint pas à l'écosystème de Microsoft Pour information, le rapport 2010 de Sécunia indique que 50pourcents des vulnérabilités des 2 dernières années ont été trouvées dans les produits de 14 éditeurs majeurs Une analyse complète des fichiers éxécutables exe, ocs, dll, est croisée avec les signatures Secunia et donne lieu à l'élaboration d'un rapport indiquant à l'utilisateur la version actuellement installée aux côtés de la dernière version disponible L'outil offre également la possibilité de patcher de manière automatique les applications qui le nécessitent A lire également, notre article intitulé Secunia Personal Software Inpector Faciliter le suivi des correctifs sur un poste de travail PSI est disponible à l'adresse suivante http secuniacom vulnerability_scanning personal 10-outils-securite-poste-de-travail-psipng 7 Browser Check La société Qualys, spécialisée dans les audits de vulnérabilités, met à disposition des utilisateurs un service d'audit et de conseil limité aux navigateurs web L'outil nécessite l'installation d'un module complémentaire au navigateur, qui sera piloté via le portail Qualys Browser Check En environnement Windows, l'outil est en mesure de détecter les versions non mises à jour des applicatifs suivants mises à jours de sécurité et support du système d'exploitation, Adobe Flash Shockwave Player, Adobe Reader, FoxIt Reader, Microsoft Silverlight, moteur d'exécution Java, lecteurs multimédia Quicktime, Media Player, VLC, liste non exhaustive Browser Check est disponible à l'adresse suivante https browsercheckqualyscom 10-outils-securite-poste-de-travail-browsercheckpng 8 FullSync Les utilisateurs soucieux de la disponibilité de leurs données, trouveront sans doute dans cet outil une première réponse de solution La simplicité et l'ergonomie de l'application en font une application très simple à prendre en main Les systèmes de fichiers locaux et réseaux accessibles via les protocoles FTP, SFTP et SAMBA sont supportés Couplé à la possibilité de planification des synchronisations via paramétrage des minutes, heures, jours du mois, jours de la semaine, mois de déclenchement , il ne reste plus à l'utilisateur qu'à définir le mode de duplication écrasement ou synchronisation des sources FullSync est disponible à l'adresse suivante http fullsyncsourceforgenet 10-outils-securite-poste-de-travail-fullsyncpng 9 Backup Chunker Dans la lignée de l'application précédente, Backup Chunker est plus aboutie en terme d'ergonomie Les fonctionnalités offertes sont néanmoins comparables dans la version freeware En matière de différence avec l'outil FullSync, nous noterons les possibilités d'ajustement des paramètres plus pointues, dans les règles d'inclusion exclusion notamment, ainsi que le support du protocole WebDAV Une version professionnelle permet d'élaborer des scénarios plus complexes de synchronisation, comme par exemple des synchronisations multi-supports simultanées Backup Chunker est disponible à l'adresse suivante http wwwxarkacom chunker 10-outils-securite-poste-de-travail-backupchunkerpng 10 Le vôtre Cette liste ne serait bien évidemment pas complète sans VOTRE outil de prédilection Il est certain que vous utilisez au quotidien une application qui n'est pas listée ici Je vous invite donc à nous présenter votre outil, ses avantages particularités mais aussi son caractère original à vos commentaires 10-outils-securite-poste-de-travail-otherpng http://www.secuobs.com/revue/news/327529.shtmlhttp://www.secuobs.com/revue/news/327529.shtml Secuobs.com : 2011-09-06 15:54:36 - Fr Orange Business Sécurité - sécur cloudJPG Pourquoi tout ce buzz autour de la sécurité du cloud computing La question ne m'a pas été posée aussi directement Elle est apparue suite à différents échanges et discussions que j'ai pu avoir avec nos clients, prospects mais aussi avec les personnes d'Orange Business Services travaillant sur les projet de cloud computing En fait, nombre de personnes venant de l'informatique classique vous savez ce que l'on appelle IT ou plus basiquement les plateformes de services ou d'hébergement se disent qu'est-ce-qui fait qu'il y a tout ce buzz, ce bruit de fond autour de la sécurité du cloud computing Sans prétendre vouloir apporter toutes les réponses à cette vaste question, voici quelques-unes des réponses que je pourrais apporter à la question Un retour basé sur du vécu tel que , sans fioritures et surtout pas de marketing bull-shit c'est une maladie chronique du cloud donc stop Question 1 - La sécurité du cloud est un sujet dont on parle beaucoup Est-ce que tu pourrais nous dire pourquoi en quelques mots car on lis de tout sur le sujet Question 2 - Est-ce que cette crainte est liée à quelque chose de particulier Question 3 - Et le facteur humain dans tout cela, il a un rôle à jouer Comme il n'y a pas de bonnes ni de mauvaises réponses mais bien des réponses, je vous encourage à réagir et à partager votre avis sur le sujet commentez RTimages - Fotoliacom http://www.secuobs.com/revue/news/327255.shtmlhttp://www.secuobs.com/revue/news/327255.shtml Secuobs.com : 2011-09-05 05:35:40 - Fr Orange Business Sécurité - électricitéjpgSuite à la large médiatisation d actions nocives perpétués via l Internet, les risques associés aux niveaux 3 et au dessus sont largement identifiés et documentés Cependant, il n en va pas de même des risques associés aux niveaux inférieurs, et en particulier sur le réseau local Comme son nom l indique, le LAN est un réseau local, matérialisé par des prises murales RJ45 De ce fait, la sécurité du LAN est souvent assimilée à la sécurité des locaux Et pourtant A l intérieur des murs, le réseau local est largement exposé Pour commencer par le plus facile, qui sait combien il y a de prises murales, et où elles se trouvent Où vont les câbles qui sont branchés dessus Plus difficile maintenant, comment contrôler les équipements qui sont connectés au LAN Comment savoir si des équipements de réplication non contrôlés sont présents, quand on sait qu un switch est un produit grand public qui coûte quelques dizaines d euros A l extérieur des murs, le LAN est facilement présent à l aide d équipements d extension sans fils, par exemple en WiFi Concernant les bornes d accès WiFi officielles , les questions de sécurité spécifiques sont largement documentées par ailleurs Mais il ne faut pas oublier qu il existe aussi des équipements grand public d extension WiFi Ils sont discrets et de mise en œuvre facile Ainsi, la portée du LAN peut être étendue de manière incontrôlée C est ainsi que Gaston Lagaffe peut jouer à la dame de pique en réseau avec Jules de chez Smith en face Toujours à l extérieur des murs, on notera la montée en puissance de services de transport de niveau 2 sur des longues distances Désormais, le WAN ne transporte pas uniquement des flux IP, il transporte également des flux de niveau 2 Il est donc important de se soucier des questions de sécurité au niveau 2 Les billets qui vont suivre vont aborder ce thème, mais uniquement sur ce que je pense maîtriser On y abordera les aspects indésirables et les parades éventuelles liés à divers protocoles plus ou moins utiles Mon expérience concerne essentiellement les switches de l acteur dominant du marché CISCO, avec sa gamme Catalyst De plus, il s agit exclusivement du niveau 2 Je n ai pas suffisamment de pratique pour traiter de manière convenable des sujets à la frontière des niveaux 2 et 3, comme DHCP, HSRP ou ARP De plus, je ne vais pas non plus faire un cours sur la configuration du Catalyst Pour cela, c est beaucoup plus cher Vos remarques, questions et autres interventions sont les bienvenues Pascal BONNARD Articles à suivre dans la série Ethernet Les attaques classiques interception de trafic, dénis de service 2 10 A éliminer d urgence DTP 3 10 Les VLANs pour les Nuls je configure les VLANs de mes trunks bien propres 4 10 Les VLANs pour les Nuls VTP MRP 5 10 Les boucles et les tempêtes STP et comment s en dispenser 6 10 L art d en dire trop CDP et LLC 7 10 Incroyable, mais vrai CTP loopback 8 10 A utiliser sans trop d illusions LAG PaGP, LACP 9 10 Conclusion, la configuration ultime pour mes switches 10 10 Credit photo electriceye - Fotoliacom http://www.secuobs.com/revue/news/327048.shtmlhttp://www.secuobs.com/revue/news/327048.shtml Secuobs.com : 2011-09-04 17:33:10 - Fr Orange Business Sécurité - Mediassociauxpng Le mouvement c'est fait tout naturellement Pour être in , toute site Internet ou page web est obligée de proposer les 1 Google , les Twitter this ou les Like de Facebook C'est vrai, il faut le dire, ces petits gadgets ont de la gueule Toute de suite la page web est plus classe Et si ce qui s'y raconte est intéressant, 1 clic suffit pour propager l'info à des milliers non, dizaines de milliers de personnes qui se précipiteront pour amener du trafic, alimenter le buzz et faire péter les chiffres dans Google Analytics Des supers mouchards Le hic dans tous ces gadgets widgets c'est que ce sont de super mouchards Grâce à ces widgets les Google, Twitter et Facebook pour ne prendre qu'eux savent quels sur quels sites vous consultez et ce même si vous ne cliquer sur le Like de la page intitulée Samatha dans sa baignoire avec ses derniers toys high-tech les grandes oreilles de Google, Twitter ou FaceBook n'en perdront pas une goutte Mr Michu est démasqué - Vous aller me dire, il se fait un délire du dimanche après-midi le père Audenard et non le cri d'alarme a été lancé par le site Allemand Heisede qui s'est mis lancé en croisage contre ces widgets qui envahissent les sites et qui propose une solution permettant de conserver plus de vie privée Widgets, widgets, vous avez dit widgets Ces petits boutons permettent de partager avec vos amis et membres de vos réseaux sociaux une information le tout en 1 clic et sans se prendre la tête Effectivement c'est super pratique et nous l'utilisons souvent Mais ces widgets de part leur façon de s'intégrer dans la page web dans laquelle ils s'affichent envoient des informations sur vous, et tout cela sans que vous le sachiez ni le vouliez Le culte du je communique mes infos en connaissance de cause et uniquement avec mon consentement préalable vient de prendre un coup dans les gencives La plupart de ces widgets sont intégrés dans la page web via des balises HTML qui déclenchent leur chargement lors du chargement initial de la page dans laquelle elles se trouvent Elles vont ainsi automatiquement envoyer au site concerné Google, Facebook ou Twitter une requête contenant entre-autres votre cookie Google, Facebook ou Twitter et bien sur le referer HTTP qui va avec simple, efficace, redoutable souriez, vous êtes pistés Pour plus de détails sur comment ces widgets sont intégrés, voir la page de Facebook ICI, celle de twitter ICI et celle de Google ICI 1 clic et j'active le widget 1 autre clic et je partage La proposition du site Heise est simple et efficace Les boutons de partage via les réseaux sociaux ne sont activés que de façon explicite via un interrupteur on off ou suite à un choix par défaut que l'utilisateur aura fait lui-même préalablement Avec ce système, les widgets ne sont intégré au code source de la page web que suite à un consentement explicite de l'utilisateur tout est fait dynamiquement L'utilisateur reprends donc le contrôle Les réseaux sociaux ne seront donc informés que si l'utilisateur le souhaite Fini l'espionnage Les widgets de réseaux sociaux des chevaux de troie Le danger des réseaux sociaux va donc bien au delà des photos de soirée trop arroséés publiées sur son compte FaceBook Ces réseaux, de part leur intégration naturelle dans le paysage du web par les propriétaires des sites web, se retrouvent dans une position idéale pour collecter des informations personnelles sur un nombre croissant de personne Certains diront que les régies de bannières publicitaires font de même Oui, ils ont tout à fait raison Mais la grosse différence c'est que les widgets des réseaux socieux sont présents sur des sites sans aucune publicité et qu'ils y sont intégrés tout à fait naturellement par les webmasters Comme cheval de troie, c'est super fort, très fort Oui, ces widgets 'réseaux sociaux sont des chevaux de troie Appelons un chat un chat Intégrer les widgets 2-clics dans son site Le site Heise indique avoir reçu un très grand nombre de demandes concernant ces widgets modifiés En attendant qu'ils publient officiellement un guide de mise en place afin que d'autres sites puissent faire de même je vous encourage à satisfaire votre curiosité via ce fichier javascript social_bookmarkjs et la feuille de style CSS socialshareprivacycss Le code est clair et relativement facile à comprendre Comme cela n'est pas pour plaire aux réseaux sociaux tu m'étonnes , Facebook aurait commencé à dire que ces pratiques sont contraires à leur contrat Le débat est ouvert, on verra bien si les réseaux sociaux sont aussi sociaux que cela De toute façon, comme ce sera une démarche volontaire de chaque site, cela devrait être globalement neutre pour ces géants Le top serait d'avoir un plugin dans le navigateur Internet qui modifie à la volet le code HTML et JavaScript afin de modifier les pages web consultées et y intégre cette fonction de choix sélectif A suivre http://www.secuobs.com/revue/news/327008.shtmlhttp://www.secuobs.com/revue/news/327008.shtml Secuobs.com : 2011-08-31 14:14:13 - Fr Orange Business Sécurité - C EMAILgif Toute organisation est susceptible d'être concernée par des attaques informatiques le mail étant le moyen le plus utilisé pour rentrer en contact avec la cellule en charge de la prise en compte des incidents de sécurité Comment sélectionner cette adresse email afin qu'elle soit facile à retenir et devienne un moyen de communication efficace par quiconque et surtout des personnes étrangères à l'organisation Avec une tel adresse mail toute personne utilisateur, client, partenaire, société, hacker, journaliste, institution gouvernementale, pourra facilement envoyer des informations concernant la sécurité de l'organisation concernée Une adresse unique Tout d'abord, faire simple Ne pas multiplier les adresses emails N'en choisir qu'une et en faire le moyen privilégié Cela évitera les erreurs d'aiguillage et de s'assurer que toutes les notifications sont effectivement prises en compte et traitées sur un pied d'égalité Choisir son adresse J'irai droit au but pour le plus grand nombre d'organisation le choix de d'une adresse du type security votre-nom-de-domainenet est un très bon choix Les sociétés spécialisées dans la sécurité, celles ayant des moyens de monter un CERT ou les organisations gouvernementales pourront choisir en pleine connaissance de cause une autre adresse email Les RFC comme source de référence Si je vous recommande une adresse du genre security votre-nom-de-domainenet c'est que cela me semble être un bon choix car les RFC Request For Comments - une sorte de référence dans le domaine de l'Internet disent que c'est ainsi qu'il faut faire 1 La RFC 3013 RFC 3013 - Recommended Internet Service Provider Security Services and Procedures recommande cf 21 une adresse du genre security nom-de-domainenet , et renvoie à la RFC 2142 2 La RFC 2142 RFC 2142 - Mailbox Names for Common Services, Roles and Functions recommande aussi cf 4 une adresse du format security nom-de-domainenet Autre son de cloche dans le CSIRT handbook Le CSIRT Handbook Computer Security Incident Response Team - PDF ici - fait quant à lui d'autres recommandations cf 3714 , page 105 scc nom-de-domainenet SCC Site Security Contact et sep nom-de-domainenet SEP Security Entry Point Mais fait une référence indirecte à la RFC 2142 - Pesé, vendu et emballé, vous pouvez emporter Let's go pour security nom-de-domainenet Réseaux sociaux Les réseaux sociaux sont aussi utilisés pour contacter rapidement une société Les messages directs DM - Direct Messages de Twitter sont aussi utilisés Il est donc important de passer le message aux personnes de la communication dans le cas d'un compte classique de faire suivre ces messages pour qu'ils puissent être traités Il est aussi possible de créer un compte Twitter dédié pour collecter les notifications sécurité bien que cela soit à éviter pour des raisons de confidentialité Une page web dédiée Mais comment communiquer cette adresse email demanderez-vous la RFC 3013 toujours en 21 nous donne un indice http wwwnom-de-domainenet security - La boucle est bouclée Il reste aussi possible d'ajouter une section dans la page contact accessible très souvent via une URL du genre http wwwnom-de-domainenet contact Sur cette page, on retrouve notamment d'autrss infos utiles sur les numéros de téléphone, les clefs PGP à utiliser pour chiffrer ses messages, etc cf le la page contact US-CERT ou encore celle du CERT-SG pour quelques exemples Traitement des notifications Tous les mails envoyés à cette adresse devront être traités 24h 24 et 7j 7 C'est typiquement le job d'un CERT Computer Emergency Response Team ou plus génériquement d'un CSIRT ou encore d'un SOC Security Operations Center C'est un choix à faire Je vous renvoie l'article de SecurityVibes intitulé Créez un CERT privé pour votre entreprise La vidéo de Stéphane SCIACCO intitulée Security Operating Center à quoi ça sert fournit quelques détails sur ce qu'est un SOC tel qu'il existe au sein d'Orange Business Services Jean-François Audenard http://www.secuobs.com/revue/news/326233.shtmlhttp://www.secuobs.com/revue/news/326233.shtml Secuobs.com : 2011-08-30 11:44:02 - Fr Orange Business Sécurité - Miniature de l'image pour S ELECTRON MONEYgifUn certificat SSL frauduleux pour googlecom a été identifié hier, cf le message officiel sur le blog de Google Avec un tel certificat dans la nature, les internautes peuvent être la cible d'attaques dite de MITM Man-In-The-Middle - ou homme du milieu alors qu'ils se connectent aux services de Google comme Gmail par exemple Un attaquant serait donc en mesure de voir le contenu des communications à l'insu de la personne pour lire ses mails Selon un échange sur le forum de support de Google UK, il semblerait que cette attaque soit liée avec des écoutes illégales de communications Internet depuis l'Iran Information à prendre avec des pincettes car rien n'est sûr mais cela semble tout à fait vraisemblable En effet, l'article de l'EFF intitulé Iranian Man-in-the-Middle Attack Against Google Demonstrates Dangerous Weakness of Certificate Authorities confirme l'incident et remet une couche sur le danger que représente le système basé sur les autorités de certification Autorité de certification DigiNotar Ce certificat a été émis par l'autorité de certification DigiNotar Pays-Bas Pour le moment, on ne sait pas si leur procédures de délivrance de certificats sont en cause ou si ils ont été victimes d'une intrusion Les détails du certificat SSL frauduleux sont disponibles ici sous Pastebin La réaction de Mozilla est tranchante L'autorité de certification DigiNotar est révoquée de la liste des autorités approuvées dans Firefox, Seamonkey et ThunderBird Tous les certificats émis par DigiNotar sont donc invalidés donc celui émis pour googlecom mais aussi bien d'autres par la même occasion Visiblement, aucune info de visible sur le site web de DigiNotar Faire le ménage Il est recommandé de mettre à jour son navigateur Firefox pour bénéficier de la liste des autorités de certifications mise à jour suite à la révocation par Mozilla Pour les personnes ne pouvant mettre à jour leur navigateur il leur est possible de révoquer manuellement DigiNotar en suivant ce guide pour Firefox Pour Internet Explorer iront sous Outils puis Options Internet sélectionner l'onglet Contenus Cliquer sur le bouton Editeurs dans la section certificats et selectionneront l'onglet Autorités principales de confiance Ils pourront supprimer l'entrée DigiNotar root CA Vers un autre système Le problème du système a été une nouvelle fois pointé du doigt par Moxie Marlinspike lors de la Defcon 2011 L'une des solutions proposée s'appuie sur le système baptisé Convergence qui via une extension Firefox rends le contrôle à l'utilisateur A suivre http://www.secuobs.com/revue/news/325986.shtmlhttp://www.secuobs.com/revue/news/325986.shtml Secuobs.com : 2011-08-26 16:36:26 - Fr Orange Business Sécurité - Pour une entreprise, le cloud computing est une petite révolution dans la façon de considérer l'informatique mais c'est aussi une nouvelle source de soucis Un peu comme les infections qui se nichent entre les doigts de pieds Elles apparaissent, on les soigne, on pense avoir gagné et peu temps après elles sont de nouveau là Pour une entreprise, les applications en mode cloud computing c'est peu ou prou la même chose que ces mycoses ou autres champignons Les employés souscrivent d'eux-mêmes à des services cloud, la direction sécurité n'étant pas mise dans la boucle au contraire cette dernière est soigneusement oubliée Il ne faudrait pas qu'elle puisse fourrer son nez dans ce qui ne la regarde pas The Uptime Institute Blog-Blog Archive-Dealing with cloud computing creep in the datacenter_2011-08-26png Selon Doug Toombs, Analyste Senior chez Tier1 Research, il est nécessaire d'accompagner ce changement car il est trop tard pour l'enrailler Les motivations profondes Rapidité de mise en oeuvre, documentation et coûts Pour les directions métiers, l'amélioration de leur productivité et de leur agilité passe par une plus grande réactivité dans la mise en oeuvre des moyens et systèmes nécessaires pour atteindre leurs objectifs Depuis plusiseurs années voire décennies les directions informatiques les assomment de délais improbable allant de pair avec des coûts dignent du meilleur escroc Une autre raison réside dans le fait que des services de cloud externes n'ont pas d'équivalents en interne ou encore que ceux-ci sont tout simplement bien mieux documentés et clairs que leurs versions internes Car oui, certains services en internes sont parfois bien mais la documentation est souvent un peu trop basique, pas à jour voir quasiment obsolète et gare à celui qui osera dire tout haut ce que tout le monde pense tout bas Avant le cloud, les directions métiers étaient excusez-moi de l'expression de la baise Avec le cloud computing elles ont désormais le choix les directions informatiques doivent donc s'adapter et évoluer les directions sécurité aussi Un état de fait, une tendance qu'il n'est pas possible d'arrêter Souscrire à un service cloud est facile et rapide il suffit d'un accès Internet et de sortir sa carte bancaire corporate Les services cloud qui sont les premiers sur la liste sont ceux de type SaaS Software as a Service , les PaaS Platform as a Service ou même ceux de type IaaS Infrastructure as a Service A moins de couper les accès Internet totalement irréaliste ou de filtrer l'accès à ceux-ci à quand une catégorie Cloud Services providers dans les systèmes de filtrage d'URL , la tendance est à un élargissement du nombre de prestataires de services informatiques Les directions informatique et sécurité sont donc tenues si elles veulent rester en place et continuer à être reconnues de se mettre au gôut du jour et d'accompagner ce changement Accompagner pour préparer l'avenir et anticiper Une direction informatique, assistée de la direction sécurité, doit donc faire la part des choses et guider son organisation afin de l'accompagner vers cette transition vers le cloud computing Sans chercher à brosser dans le sens du poil, mon avis est que les directions sécurité possèdent une plus grande pratique de l'accompagnement des projets que les direction informatiques Oui, l'utilisation inconsidérée de services en mode cloud peut être dangereux pour une entreprise Illustration en deux points La conformité et la continuité Données personnelles Une entreprise française manipulant des données personnelles est tenue d'assurer la sécurité de ces données et celles-ci doivent rester dans le giron de l'espace européen ou sur le sol d'un pays reconnu comme étant suffisamment protecteur Tout le monde n'est pas au fait de ces aspects réglementaires directive Européenne 95 46 EC , une direction sécurité est donc tout à fait légitime pour guider le choix sans s'y opposer ou forcément chercher à placer d'autres solutions vers un fournisseur en mesure de répondre à ce besoin de conserver les données dans une liste de pays pré-établie De la même façon, il conviendra de s'assurer que les équipes de support techniques du prestataires sont bien localisées dans des pays connus Car oui, si les données doivent être localisées dans des datacenters précis, les personnes accédant à distance à ces mêmes données doivent aussi l'être Dans le cas conytraire, la loi indique que le client final doit être informé que des données personnelles le concernant sont amenées à quitter la zone europe ou un pays reconnu et cela doit être stipulé dans le contrat de service Continuité Utiliser des services comme le PaaS pour des applicatifs ou exécuter des machines virtuelles dans le cloud est souvent motivié pour une rapidité de mise en place, répondre à une charge ponctuelle ou encore accélérer les développements ou tests Dans chacun de ces contextes d'utlisation de services cloud, il est critique d'assurer que ces activités peuvent être déplacées vers un autre fournisseur que celui initialement choisi par exemple si celui viendrait à cesser ses activités De la même façon, une société peut initier un projet grâce aux services cloud d'un tiers pour ensuite ré-internaliser celui-ci vers un cloud privé ou communautaire Réversibilité Si ces questions relatives à réversibilité n'ont pas été abordées et instruites lors de la phase initiale de souscription du service le retour en arrière pourrait prohibitif voir même dans certains cas impossible Dans tous les cas, il est important de s'assurer que les données peut être effectivement récupérées sous un format ré-utilisable Pour de l'IaaS, cela passe via la possibilité de récupérer des sauvegardes complètes de ses machines virtuelles sous un format spécifique à l'hyperviseur ou encore sous forme de fichiers OVF Dans le domaine du PaaS, le sujet n'est pas neuf, les récents échanges de mots entre Google et Joyent Google Cloud Services Criticized by Jason Hoffman , 21 Aout 2011 au sujet de Big-Table sont un bon exemple du besoin d'utiliser des techniques standardisées ou tout du moins non propriétaires car sinon c'est le syndrome d'enfermement assuré Souplesse et accompagnement La balle est dans le camp des directions informatiques et sécurité Le cloud computing est là et sera de plus en présent car elles trouvent dans ce modèle une agilité qui leur est nécessaire Le proverbe Japonais La neige ne brise jamais les branches du saule illustre bien le comportement à adopter Souplesse et accompagnement sont les clefs d'une transition vers le cloud computing http://www.secuobs.com/revue/news/325405.shtmlhttp://www.secuobs.com/revue/news/325405.shtml Secuobs.com : 2011-08-25 07:06:36 - Fr Orange Business Sécurité - Miniature de l'image pour Above_the_CloudsjpgLe cloud computing impose d'envoyer ses données vers le fournisseur de cloud Si il s'agit d'un service de stockage les données peuvent être chiffrées préalablement à leur envoi Dans ce cas, la confidentialité des données est assurée le fournisseur ne pourra rien en faire ni les analyser Par contre, dans le cas d'un service de cloud computing du genre SaaS Software as a Service ou encore de type IaaS Infrastructure as a Service , bien que les données puissent être chiffrées lors de la phase de transfert, celles-ci se doivent d'être en clair lorsqu'elles sont dans le cloud En effet, si l'on souhaite que sa VM Virtual Machine ou Machine Virtuelle puisse se lancer il est nécessaire que le code de celle-ci puisse s'éxecuter Pour le moment, les sociétés utilisant les services de cloud computing se doivent de faire confiance au prestataire sélectionné Des techniques de chiffrement de VM ou de volumes disques existent mais ne sont que des réponses partielles A un moment, aussi court soit-il, les données sont en clair Cela peut poser problème ou tout du moins freiner l'adoption de services cloud pour les données les plus sensibles Un début de réponse Afin de répondre à ce besoin du tout chiffré tout le temps cad tant lors de la phase de transfert des données vers le cloud que durant leur utilisation dans le cloud , le chiffrement homomorphique est la réponse à la question C'est le saint-graal pour la confidentialité des données dans le cloud Le laboratoire de recherche en cryptographie cloud de Microsoft a récemment annoncé avoir fait une avancée notable vers ce saint-graal MIT Technology Review, A Cloud that Can't Leak, 8 Aout 2011 Pas d'emballement cependant car cette nouvelle façon de chiffrer les données n'en est encore qu'à ses débuts Nous sommes encore loin de pouvoir exécuter des VM dans le cloud avec un chiffrement homomorphique Peut-être que les premières applications seront plus sur des services de type SaaS ou PaaS ou les et pour des traitement de données bien spécifiques Pour ceux intéressés par les détails techniques, les papiers publiés sont accessibles via cette page Le plus intéressant ou compréhensible pour le profane que je suis dans le domaine de la crypto est celui-ci Can Homomorphic Encryption be Practical Principe de fonctionnement Le principe du chiffrement homomorphique est le suivant Les données sont envoyées chiffrées par le client vers le cloud Les données sont ensuite l'objet d'un traitement un calcul par exemple qui va être effectué sur les données chiffrées, ce traitement générant un résultat Ce résultat est lui-même chiffré, donc incompréhensible pour le prestataire du cloud Enfin le prestataire du cloud va retourner le résultat au client qui le déchiffrera pour obtenir le résultat final On peut donc dire qu'avec le chiffrement homomorphique, le résultat du traitement est le même que si les données n'avaient pas été chiffrées Avec le chiffrement homomorphique, les données ne sont jamais en clair lors de leur transmission ni lors de leur traitement Ca avance mais ce n'est pas pour demain En attendant que les travaux avancent, différentes solutions permettent d'apporter un début de réponse au besoin de confidentialité des données stockées dans le cloud Pour les VMs, il est possible de chiffrer les systèmes de fichiers via des API intégrées dans les systèmes d'exploitation BitLocker, dm-crypt, ou d'utiliser des solutions comme celles de SafeNet ProtectV ou FreeOTFE Elles ont toutes comme principal défaut de nécessiter que la clef de déchiffrement soit transmise à un moment donné typiquement au boot de la VM Le sujet de stockage et transmission des clefs de chiffrement déchiffrement est un sujet en tant que tel C'est le domaine des Virtual TPM Il s'agit donc de solutions que nous pourrons qualifier de pragmatiques bien que perfectibles Ces solutions sont donc à intégrer en attendant d'avoir mieux le chiffrement homomorphique est un sujet chaud qu'il conviendra de suivre dans les années à venir En attendant, il faudra faire avec ce que l'on peut se mettre sur la dent http://www.secuobs.com/revue/news/325101.shtmlhttp://www.secuobs.com/revue/news/325101.shtml Secuobs.com : 2011-08-24 18:26:09 - Fr Orange Business Sécurité - C SWITCHgifLa possibilité d'exécuter des programmes en l'occurence des scripts TCL directement au coeur de routeurs CISCO n'est pas sujet nouveau Nous l'avions abordé dans un précédent bulletin intitulé Cheval de Troie rootkit sur routeur CISCO IOS Le langage TCL incriminé, 5 Mai 2010 Après le rootkit, il s'agit cette fois de contrôler un routeur CISCO via un canal IRC Internet Relay Chat Le routeur CISCO va se connecter directement et automatiquement à un canal IRC afin de prendre ses instructions pour ensuite les exécuter L'article Controlling a Cisco IOS device from an IRC channel, August 6, 2011 publié sur le site du SANS ISC explique que ce type d'attaque est tout à fait réaliste Un cocktail détonant En mixant ces deux techniques, Manuel Humberto Santander Pelaez nous explique qu'un administrateur réseau ne pourra que très difficilement détecter une compromission grâce à la fonction rootkit et perdra le contrôler de son infrastructure réseau dangeureux, très dangeureux même En l'état le script TCL du client IRC n'implémente que la fonctionnalité de Ping sa structure étant cependant très simple il pourra être facilement enrichi avec de nouvelles fonctionnalités Si IRC semble barbare, les communications pourraient tout à fait être basées sur le protocole HTTP CISCO IOS Hints and Tricks, Generate HTTP S requests from Tcl shell L'un des scénarios serait de monter une armée de routeurs zombies cad un botnet qui seraient pilotés à distance par un attaquant Rien de bien nouveau me direz vous, des routeurs basés sur un noyeau Linux ont déjà été ciblés par ce type d'attaque Des box Internet et des routeurs infectés par le ver psyb0t, 25 Mars 2009 Protéger l'accès à ses routeurs D'un coté, il est essentiel de sécuriser l'accès à ses routeurs, donc d'utiliser des protocoles d'accès sécurisés donc pas de Telnet et de préférer des protocoles sécurisés comme SSHv2 en faisant attention aux attaques de downgrade le tout allié à l'utlisation de mots de passe forts La présentation de Manuel décrit de façon claire les risques liés à l'utlisation de protocoles non sécurisés et liste les techniques et outils d'attaque Plus d'excuse pour prêcher l'ignorance Signer numériquement les scripts De l'autre coté, les scripts TCL peuvent être signés numériquement Un script dont la signature ne peut être vérifiée ne sera pas lancé par le routeur La démarche et sa mise en place est décrite sur la page Security in Tcl Scripts for Cisco IOS du site CISCOPress Oui, sur le papier cela semble marcher Après dans la vraie vie c'est assez rare de voir une PKI de déployée au coeur d'une infrastructure réseau http://www.secuobs.com/revue/news/324984.shtmlhttp://www.secuobs.com/revue/news/324984.shtml Secuobs.com : 2011-08-23 18:26:08 - Fr Orange Business Sécurité - Toute personne travaillant dans le domaine de l'informatique et encore plus dans celui de la sécurité a suivi le feuilleton concernant l'attaque ciblée à l'encontre de RSA en début de cette année L'interview vidéo Lab Matters - Anatomy of the RSA targeted attack, 18 Aout 2011 entre Ryan Naraine Expert sécurité chez Kaspersky et de Uri Rivner Responsable des nouvelles technologies chez RSA Security nous permet de revenir sur cet incident pour en retirer 10 recommandations Je dois reconnaitre que la démarche est plutôt inhabituelle car suite à une attaque c'est souvent le silence radio très peu de détails sinon aucun ne filtrent Au fond ce n'est ni rassurant ni productif pour personne car l'expérience acquise reste cantonnée à un cercle de personnes très limité bravo donc à RSA de bousculer les codes et partager ainsi leur expérience Au commencement était le social engineering L'un des employés de RSA a reçu un mail de phishing ciblé spear phishing intitulé plan de recrutement 2011 avec un fichier attaché Celui-ci a ouvert le fichier attaché et c'est une faille zéro-day pour Adobe Flash Cette faille a permis d'installer un malware un RAT Remote Administration Tool permettant à l'attaquant de prendre à distance le contrôle de la machine et du réseau local connecté à celle-ci Cibler les sous-traitants et fournisseurs et se donner les moyens de détecter La cible ultime des attaquants n'était pas RSA en tant que tel mais plutôt certains de leurs grands clients dans des secteurs sensibles comme la défense, les infrastructures critiques, les systèmes financiers, etc Selon Uri Rivner, cette attaque aurait pu rester totalement indétectée pour un très grand nombre de sociétés Dans le cas de RSA Security, ils auraient détecté l'attaque via un très petit nombre d'actions anormales provenant de certaines de leurs machines Hormis l'utilisation d'outils spécifiques comme les sondes de Netwitness , il est essentiel de surveiller le réseau interne 10 points à retenir de l'intrusion contre RSA 1 L'utilisation croissante des réseaux sociaux comme LinkedIn, FaceBook, Google , facilite le ciblage des employés 2 Le facteur humain est un élément critique d'une stratégie de sécurité Sensibiliser et former régulierement les employés est donc essentiel et complémentaire à de la sécurité technique 3 Le niveau de compétence et d'entrainement des attaquants est d'un très très bon niveau Il s'agit de professionnels motivés et entrainés développant leurs propres outils et techniques 4 Les attaquants ne cherchent plus à pénétrer les défenses périmètriques de façon directe mais ciblent les employés localisés sur le périmètre interne 5 Il faut partir du principe que le périmètre de sécurité interne est compromis 6 Une fois au sein du réseau local, il est aisé pour les attaquants de passer au travers du périmètre de sécurité car celui-ci est plus perméable dans ce sens 7 Le niveau de sécurité de ses fournisseurs, partenaires et sous-traitants est un sujet à ne pas négliger car ils peuvent être des vecteurs d'attaque très puissants si ils sont eux-mêmes compromis 8 La détection d'attaque nécessite une surveillance très fine du périmètre interne et des actions des différents utilisateurs sur celui-ci 9 L'utilisation en amont de systèmes de type enregistreurs de trafic réseau permet de reconstruire le fil de l'intrusion et de déterminer l'étendue des données et informations qui ont été dérobées 10 Utiliser la virtualisation en tant qu'outil de sécurité via des zones de sécurité plus fines et l'application facilité des correctifs de sécurité ou une supervision renforcée http://www.secuobs.com/revue/news/324712.shtmlhttp://www.secuobs.com/revue/news/324712.shtml Secuobs.com : 2011-08-18 23:58:12 - Fr Orange Business Sécurité - Crystal_Clear_app_virus_detectedpngLa dernière étude de Google portant sur les sites web malicieux indique que rien n'est gagné contre ces sites cherchant à infecter ou à prendre le contrôle des machines des internautes L'étude de Google Trends in Circumventing Web-Malware Detection PDF, 12 pages porte sur l'analyse de près de 8 millions de sites web sur une période de 4 ans et des remontées d'alertes effectuées via leur service SafeBrowsing intégré aux navigateurs Internet Cette étude met l'accent sur les techniques utilisées par les sites malicieux pour éviter toute détection Le service SafeBrowsing Le service SafeBrowsing de Google permet d'alerter un internaute dès qu'il tente de se connecter sur un site web considéré comme malicieux par Google La base de données SafeBrowsing est alimentée par Google dès qu'un site web a été identifié comme propageant des codes malicieux Grâce à SafeBrowsing, c'est près de 3 millions d'avertissements qui sont quotidiennement affichés aux internautes ayant fait le choix d'un navigateur utilisant compatible Fuir à tout prix d'être dans cette liste noire Cette base SafeBrowsing contenant les URLs des sites malicieux, l'objectif de Google est évidemment de s'assurer qu'elle soit la plus exacte et complète possible Si une URL est absente, l'internaute ne sera pas pas prévenu faux négatif au contraire si une URL s'y retrouve par erreur alors il sera avertit sans que cela ne soit nécessaire faux positif Pour les attaquants c'est l'inverse Ils souhaitent à tout prix que les sites web malicieux ne soient pas dans cette liste ils vont donc user de stratagèmes divers et variés pour la détection par les outils de Google Pour rester sous le radar des systèmes de Google, diverses techniques d'évasion sont utilisés Systèmes de Google Des pots de miel clients Gardons à l'esprit que les systèmes utilisés par Google pour détecter les sites web malicieux sont basés sur des machines virtuelles VM - Virtual Machines dans lesquelles s exécutent des navigateurs Internet et des émulateurs de navigateurs il s'agit de programmes mimant le fonctionnement d'un navigateur et donc aussi leurs failles de sécurité connues Tout est fait pour faciliter la détection Ni les systèmes d'exploitation Microsoft Windows ni le navigateur Internet Explorer et ses extensions ne sont pas patchés google-systempng En plus de cet environnement particulièrement propice aux attaques , tous les flux réseaux sont capturés, enregistrés et analysés par des antivirus et les évènements systèmes eux aussi sauvegardés Pour finir, ces données sont analysées De la sorte, une URL sera classée ou non comme étant ou non malicieuse Techniques d'attaques Les techniques d'attaques ne sont guère variées 98pourcents d'entre elles exploitent des failles de sécurité au niveau du navigateur web, de l'une de ses extensions ou d'un plugin Pour ce qui concerne les 2pourcents restants les attaquent s'appuient sur l'ingénierie sociale principalement via la demande d'installation d'un faux logiciel antivirus La conclusion est donc que sécuriser son environnement de navigation est donc une précaution de base Un point intéressant sur ce 2pourcents résiduel Les chiffres montrent une nette explosion de ces antivirus frelatés passage de 1 site en Janvier 2007 à 4230 sites en Septembre 2010 tendance à surveiller car il n'existe pas de correctif patch pour le type de faille qu'est la naïveté, l'ignorance ou la précipitation à cliquer sur la première pop-up affichée - De plus, cette technique d'attaque ne peut être détectée via des outils automatisés Techniques d'évasion Pour éviter qu'un site web malicieux ne soit détecté comme tel par les systèmes de Google, les attaquants déploient des trésors d'ingéniosité Passons en revue quelques uns d'entre-eux pour en tenter d'en ressortir quelques recommandations utiles Attendre un premier clic avant de lancer le code malicieux Utiliser les dernières vulnérabilités Obscurcir le code pour contrer les émulateurs Un premier clic avant d'attaquer L'une des techniques pour éviter d'être détecté est de n'envoyer le code malicieux que si la page est consultée par un internaute bien réel et non pas via des outils L'une des techniques utilisées est de n'envoyer le code malicieux qu'une fois reçu le premier clic Google ayant identifié cette techniques ils ont fait évoluer leurs outils et c'est 40pourcents de plus de pages qui ont pu être ainsi détectées Dernières vulnérabilités et du code tordu L'analyse de Google indique que les failles utilisées pour prendre le prendre le contrôle d'un internaute sont parmi les toutes dernières La raison est évidente Cela permet aux attaquants de forcer un plus grand nombre de systèmes possibles L'effet de bord est de rendre encore plus complexe le travail de détection via les émulateurs de navigateurs car en effet ils doivent sans cesse être actualisés Comme indiqué dans la figure suivante, l'utilisation de vulnérabilité non encore publiées publiquement n'est pas marginal google-days-after-exploitpng Le code source des attaques généralement du javascript est lui aussi l'objet de techniques visant à le rendre difficile à analyser L'objectif final étant que les antivirus ou IPS ne puissent détecter facilement une chaîne de caractère connue le chiffrement via RSA ou RC4 étant aussi couramment utilisé Toutes ces techniques font que les codes des malwares sont complexes à émuler et donc à détecter de façon automatique Alors que l'utilisation de vulnérabilités fraîches n'a pas vocation première et directe à rendre les attaques moins visibles lors d'une analyse, les techniques d'obscurcissement le sont clairement Les antivirus restent peu efficaces Le niveau de détection des antivirus est globalement assez faible, et ce malgré les efforts des éditeurs de logiciels antivirus Cependant, une fois les codes rendus lisibles via un passage dans les émulateurs de navigateurs Internet , la qualité de la détection par les antivirus s'améliorant de près de 40pourcents Les techniques d'obscurcissement de code et de chiffrement utilisés sont donc efficaces De plus, il est clair que les attaquants utilisent eux-mêmes les antivirus des éditeurs pour vérifier que leurs codes d'attaques ne sont pas détectés lorsqu'ils sont mis en production Noms de domaines multiples et blocage d'adresses IP Pour finir, deux autres techniques sont utilisées pour éviter qu'une URL ne se retrouve dans la base SafeBrowsing La première est de déposer un très grand nombre de noms de domaines et d'aiguiller ensuite le trafic via des points de redirection système basé sur le principe de rotation Les infections étant ainsi réparties sur un grand nombre de noms de domaines, celles-ci ont moins de chance de se retrouver prises dans les filets Une autre technique apparentée à la première est de faire passer le trafic via des sites tiers tunneling Enfin, une technique dite de IP cloaking vise simplement à servir une page totalement vierge de toute attaque dès que la requête provient des serveurs de Google SafeBrowsing Ainsi, les serveurs de Google ne voient aucun code malicieux simple et efficace Sur la période de 2009-2010, cette technique a été utilisée pour environ 130000 noms de domaines La progression par rapport aux années précédentes indique clairement que cette technique ou la capacité de la détecter est en plein boom google-ipcloakingpng Quelques recommandations L'étude de Google confirme qu'il est important de ne pas baisser la garde et que la menace posée par les infections via des sites web n'est que trop présente Si je devais en ressortir quelques recommandations de mon couvre-chef Sécuriser son environnement de navigation sur Internet Système d'exploitation, navigateur Internet, extensions doivent impérativement être complètement à jour des correctifs Ce n'est pas une sinécure mais c'est le point le plus important C'est peut-être le bon moment de considérer un passage vers du desktop virtualisé Un antivirus actif et mis à jour toutes les heures, voir en temps-réel Il y a peut-être des choses à trouver du coté d'une approche service de sécurité en mode cloud de ce coté Renforcer son programme de sensibilisation des personnes pour qu'elles restent vigilantes face aux demandes d'installation d'extensions ou de logiciels antivirus Bref, rien de bien nouveau me diront certains Ils auront raison Le hic, c'est que c'est assez rarement le cas dans beaucoup de sociétés Celles-ci se retrouvent donc rapidement avec un nombre important de machines infectées au sein de leur réseau privé PS Au risque que certains trouvent cela un peu surfait, il n'est pas nécessaire de surfer sur des sites pornos pour chopper la petite vérole numérique Oui, ce mythe est encore coriace http://www.secuobs.com/revue/news/323974.shtmlhttp://www.secuobs.com/revue/news/323974.shtml Secuobs.com : 2011-08-16 17:57:54 - Fr Orange Business Sécurité - Les réseaux sociaux comme Facebook, Twitter, LinkedIn ou Google permettent de partager aisément des informations entre personnes de ses différentes sphères personnelles ou professionnelles L'accès à ces réseaux sociaux se fait autant depuis une machine standard que depuis une application spécifique s'exécutant sur un smartphone ou encore une tablette Internet Comment vérifier simplement quels sites ou applications ont le droit d'accéder à vos comptes Facebook, LinkedIn, Twitter ou Google Le maître mot transparence Afin de rendre ce partage le plus simple et intégré possible, ces différents réseaux sociaux mettent à disposition des widgets genre de petites applications à intégrer sur un site web D'un simple clic, il est possible de twitter une page ou d'indiquer un Like This sur son compte Facebook Certains sites spécialisés proposent même de consolider tous vos comptes pour envoyer un message vers plusieurs comptes, ce en une seule opération Une autorisation initiale et c'est fini Lors de la première connexion ou lancement de l'application, il vous est demandé d'autoriser l'accès à telle ou telle application avec tels ou tels droits sur votre compte Facebook, Twitter, LinkedIn ou Google Une fois cela fait, tout est transparent L'application se connecte automatiquement à votre compte et l'utilise à votre place Les dangers d'une prolifération non contrôlée Le hic C'est qu'au fil du temps ces applications vont s'accumuler il est donc important de périodiquement passer en revue les autorisations données et de faire le ménage le cas échéant De la même façon, un intrus pourrait aussi se rajouter à votre issu dans la liste des applications autorisées Ce qui est particulièrement dangereux c'est que ces accès sont indépendants du changement de votre mot de passe principal En effet, ces applications ou sites tiers n'ont heureusement pas connaissance de votre mot de passe principal La recette magique à ce tour de passe-passe s'appelle OAuth Vérifier la liste des applications, sites ou services autorisés Pour vérifier la liste des applications autorisées et droits, chaque service met une page spécifique à disposition - Facebook Paramètres des applications - Twitter Settings Applications - LinkedIn Account settings Authorized Applications - Google Mon compte - Sites, applications et services connectés Faites le ménage sans risque Ne pas hésiter à supprimer les accès qui sont trop anciens ou inconnus Et n'ayez crainte si vous supprimez par erreur une application que vous utilisez il sera toujours temps de la rajouter lors de la prochaine fois que vous l'utiliserez Traçabilité des accès Facebook est le seul bon élève Un petit bravo à Facebook qui est l'unique service proposant de visualiser l'historique des accès effectués via ces comptes accès applicatifs Cela permet en effet de détecter toute anomalie éventuelle ou de détecter les abus source Lenny Zeltser, Which Apps Are Authorized to Access Your Social Networking Accounts http://www.secuobs.com/revue/news/323460.shtmlhttp://www.secuobs.com/revue/news/323460.shtml Secuobs.com : 2011-07-22 15:53:28 - Fr Orange Business Sécurité - La NSA National Security Agency a bien compris que la sécurité de l'information devait aller au delà du périmètre de l'entreprise En effet, alors les entreprises et gouvernements mettent en place des systèmes de défense de plus perfectionnés, les attaquants attaquent aux endroits ou cela fait mal Le contexte personnel, c'est-à-dire à la maison Le maillon faible Les réseaux et systèmes personnels Les adversaires ont bien compris que leurs cibles sont plus vulnérables lorsqu'elles sont dans un contexte personnel que professionnel La raison est assez simple Beaucoup moins, voire absence totale, de rigueur dans les moyens de protection ou de maintenance du niveau de sécurité des réseaux et systèmes L'environnement personnel est donc une cible de choix pour les attaquants cr les mécanismes de défense sont très trop souvents en deçà du minimum suffisant Protéger ses proches et sa société Sécuriser son réseau et les systèmes présents à son domicile permet de protéger tant ses données personnelles, les membres de sa famille que les données de sa société Cette dualité protégez vous et protéger nous est très judicieuse Protéger ses proches et sa famille des menaces est quelque chose qui est ancré dans nos gènes alors que protéger les biens d'un tiers ici l'entreprise employant une personne c'est moins instinctif, surtout quand on est la maison Un guide de recommandations Via le message protégez votre famille la NSA fait d'une pierre deux coups Elle aide les personnes à protéger leur famille tout en protégeant les entreprises de ces mêmes personnes Très bien vu Le guide de la NSA intitulé Best Practices for Keeping Your Home Network Secure PDF - 8 pages - en anglais est plutôt clair et donne des conseils pleins de bon sens Sont couverts tant les systèmes d'exploitation Windows Mac , les applications Adobe, Microsoft Office, que les tablettes iPad mais aussi les équipements d'infrastructure modem ADSL, bornes wifi, et la partie usage réseaux sociaux, outils de messagerie, gestion des mots de passe, Si j'avais une critique à apporter, c'est qu'il reste un peu trop générique et ne guide pas assez le lecteur vers des logiciels permettant de mettre en œuvre certaines des mesures Ceci étant, il est bien fait et pleins de bons tuyaux Une déclinaison en entreprise Les structures comme les petites PME ou entreprises de quelques salariés pourront aussi retirer bénéfice de mettre en œuvre les recommandations présentées sur leur réseau local car la frontière devient floue entre les équipements et systèmes qui se trouvent au domicile d'une famille connectée et ceux présents dans une petite PME Les plus grandes, pourront elles aussi en prendre de la graine en reprenant pour elle cette démarche et en encourageant leurs employés à sécuriser leur réseau et machines personnelles Certaines entreprises mettant à disposition de leurs employés des licences de logiciels antivirus à des prix préférentiels ou parfois même à titre gracieux Combien d entreprises font cette démarche volontaire Mystère et boule de gomme Oui, cela a un coût pour l entreprise rédaction diffusion des guides de recommandations, licences supplémentaires mais les bénéfices sont multiples Pour aller plus loin et compléter Je vous rassure, la France n'est pas complètement à la bourre Cocorico L'ANSSI la NSA à la française met à disposition un très grand nombre d'informations sur le site http wwwsecurite-informatiquegouvfr - Le guide Partir en mission avec son téléphone mobile, son assistant personnel ou son ordinateur portable propose de façon claire et simple des conseils pour sécuriser ses données lors de voyages à l'étranger - Pour les personnes souhaitant avoir plus de détails sur la mise en œuvre de certaines des recommandations présentes dans le guide de la NSA, cette page du même site propose des guides de mise en œuvre http://www.secuobs.com/revue/news/318714.shtmlhttp://www.secuobs.com/revue/news/318714.shtml Secuobs.com : 2011-07-12 18:21:01 - Fr Orange Business Sécurité - Ciel-soleil-nuages-thumb150908jpg par Aveix L idée que vos informations confidentielles se trouvent entre les mains d un autre vous angoisse-t-elle L une des conséquences du cloud computing peut en effet être une perte de contrôle Transférer le traitement de vos données vers un tiers, c est transférer également un peu de la responsabilité qui leur est associée en matière de sécurité et de conformité Il n est donc pas étonnant que les professionnels de la sécurité soient nerveux Par conséquent, il est capital que vous ayez entièrement confiance en votre fournisseur de services de cloud computing pour le traitement sécurisé de vos données En février 2011, l International Information Systems Security Certification Consortium ISC 2 a publié sa Global Information Security Workforce Study étude mondiale auprès des spécialistes de la sécurité de l information Elle révèle que 92 pourcents des 10 413 professionnels de la sécurité interrogés désirent acquérir une compréhension détaillée du cloud computing avant d être suffisamment satisfaits pour le mettre en œuvre Des organismes industriels consacrent déjà leurs efforts au développement de meilleures pratiques en termes de sécurité du cloud computing La version 21 du guide de la Cloud Security Alliance sur la gouvernance et la gestion des risques d entreprise dans le cloud fournit des conseils sur la façon dont surmonter les problèmes de sécurité du cloud Elle recommande notamment qu une partie des coûts économisés grâce aux contrats de cloud soit réinvestie dans l examen minutieux de la sécurité du fournisseur du cloud La gouvernance en matière de sécurité des informations doit résulter d une collaboration entre les clients et les fournisseurs afin d atteindre des objectifs fixés qui permettent la mise en œuvre de la mission de l entreprise et du programme de sécurité des informations, explique le guide La responsabilité du client englobe la définition des tolérances de risques pour les services basés sur le cloud L une des premières mesures que les entreprises doivent prendre est d acquérir une véritable compréhension de la nature des données de leur organisation Si la règle habituelle concernant la confidentialité est appliquée à la classification des données, 85 pourcents seront publiques et prêtes à passer au cloud , 10 pourcents seront internes et par conséquent moins adaptées aux clouds publics , et uniquement 5 pourcents seront confidentielles et donc totalement inadaptées à un quelconque régime de sécurité ouvert discrétionnaire , affirme Rolf von Roessing, vice-président international de l ISACA et membre du Comité de gestion de la sécurité de l ISACA L astuce est ici de comprendre quelle donnée entre dans quelle catégorie Pour cela, les entreprises doivent mettre à jour leurs politiques d achats afin de s assurer que les experts de la sécurité font partie de chaque équipe de projet Elles peuvent effectuer une analyse des risques afin d évaluer les aspects relatifs à la sécurité et la confidentialité des solutions de cloud computing avant de faire appel à un fournisseur de services Une fois celui-ci engagé, les entreprises doivent définir soigneusement un ensemble d objectifs de sécurité que ce fournisseur doit atteindre Il convient alors d intégrer ces objectifs et les indicateurs associés au contrat de service et de les surveiller régulièrement tout au long du cycle de vie du service Ces indicateurs de sécurité informatique devraient fournir aux entreprises, d une manière prédéfinie et mesurable, l assurance que le fournisseur de service protège efficacement leurs informations En tant que post-scriptum de ce blog sur la sécurité, il est intéressant de regarder cette interview avec Peter Block, expert Orange en cloud computing, filmée lors du Orange Business Live de l année dernière Il y explique comment la sécurité du cloud computing doit répondre aux trois problèmes clés que sont la confidentialité, l intégrité et la disponibilité confidentiality, integrity and availability, CIA ainsi que la vie privée, et suggère des approches sur la façon dont les entreprises peuvent les surmonter avec succès Qu'en pensez-vous Anthony Plewes http://www.secuobs.com/revue/news/316515.shtmlhttp://www.secuobs.com/revue/news/316515.shtml Secuobs.com : 2011-06-27 22:34:37 - Fr Orange Business Sécurité - Miniature de l'image pour S FILTERINGgif Quitte à apporter un vent froid chez certains, quelques jours après le passage à l'été, analysons les enjeux et les besoins d'une stratégie de supervision des logs Que faisiez-vous dans la nuit du 30 septembre au 1er avril demande l'inspecteur de police à l'administrateur système inuit pétrifié Si vous me le permettez, je dirai que vous pointez là du doigt seulement la partie immergée de l'iceberg lui répondit l'administrateur Regards sur l'iceberg La gestion des logs au sein d'une infrastructure informatique est avant tout fortement liée à la vision que nous nous en faisons Pour reprendre l'analogie qu'ont employé deux collègues récemment merci Eric Stéphane , l'observateur aguerri devrait apercevoir ceci Log-Management-1png Au premier étage, bien en vue de tous, un joli système de supervision Plus bas sur la couche de glace, à peine visible, un système de rémédiation Au fond de l'océan enfin, un merveilleux système de communication Pourquoi cette glace aux 3 parfums Les trois couches vues à l'instant correspondent aux besoins bien réels et contemporains associés à la gestion des logs 1 Supervision inutile de mettre en oeuvre une infrastructure de collecte des logs sur vos systèmes serveurs et ou réseaux si vous n'êtes pas en mesure de les superviser Ceci a pour effet immédiat de vous pencher sur la question des solutions logicielles adéquates, car à partir d'un certain volume, il devient difficile à un opérateur de calculer rapidement que l'adresse IP abcd a tenté 1396 fois de se connecter en ssh au compte root de la machine wxyz durant les 3 dernières minutes 2 Rémédiation une fois les informations collectées et pré-analysées, un mécanisme analyse-action serait le bienvenu mais rien ne pourra se faire sans l'apport notable de ressources humaines dans votre équipe Le système a repéré que quelqu'un essayait de se connecter en SSH au compte root du système le plus critique de votre infrastructure Très bien, quelle action entreprendre à présent Il est fort probable que vous souhaitiez qu'un humain réponde à cette question, afin de ne pas voir votre dernier système automatisé se faire blacklister automatiquement sous prétexte que le mauvais mot de passe a été configuré 3 Communication vous avez dépensé des fortunes pour vous équiper des firewalls, IDS, IPS dernières génération malgré leur prix élevés A présent, vous souhaitez sans doute obtenir un minimum de retour sur investissement au mieux un arrêt notable des intrusions sur vos systèmes, au pire un joli tableau de bord, en couleur et en 3D, qui vous réconforte chaque jour sur vos choix et vous permet d'aborder le comité technique suivant avec un sourire ravageur Déchantez immédiatement, le module Reporting n'était pas inclus et vous découvrez que tout ceci nécessite une bonne dose de processus à mettre en place La chaine du froid Vous l'aurez compris, 3 étapes ne suffiront pas à mettre en oeuvre une gestion complète des vos logs, car bien des éléments sont susceptibles de modifier vos coûts matériels et humains Log-Management-2png Sans rentrer dans le détail de chaque brique, vous trouverez ici quelques étapes importantes à mettre en oeuvre pour la gestion de vos logs Journalisation si vos composants matériels, logiciels ne stocke rien, la chaine se brise dès le premier maillon Inutile de préciser que si rien n'est loggé, l'objectif de gestion est immédiatement atteint Collecte un tri et un étiquetage des logs originaux est nécessaire pour pouvoir identifier la source de ces derniers nom du composant ou du sous-composant, Centralisation l'étape primordiale d'un point de vue sécurité consiste à externaliser en un point unique tous vos logs si vous ne souhaitez pas lire des pages blanches après attaque Archivage certaines autorités obligent, sous certaines conditions, les professionnels à stocker les activités de leurs services informatiques De même l'analyse d'une attaque vous demandera peut-être de fouiller dans les logs d'il y a 6 mois Restitution inutile d'inonder votre équipe de supervision sécurité avec un ensemble d'informations redondantes ou sans réel apport pour leur activité les logs concernant le changement de résolution d'écran d'un utilisateur est rarement analysé Corrélation c'est une étape que nous avons abordé plus haut Un système permettant de calculer en temps-réel les occurences d'apparition de certains logs rappelez-vous les 1396 tentatives en 3 minutes vous simplifiera grandement la vie Analyse voir également plus haut, c'est à cette étape que votre retour sur investissement sera le plus important car votre capacité à prendre une décision en fonction des informations en votre possession est capital Reporting que vous soyez RSSI ou pas, la consultation des indicateurs de sécurité sera grandement améliorée si vous mettez en oeuvre un reporting régulier et pertinent sur les étapes précédemment décrites Questions au marchand d'iceberg Vous vous sentez à présent prêts à lancer un projet de gestion de logs pour votre infrastructure Voici quelques questions à se poser pour quelques-uns des étapes abordées Journalisation Disposons-nous de services NTP pour l'horodatage de nos logs Chaque log comporte-il bien le nom du composant émetteur Chaque log comporte-il bien l adresse IP du composant émetteur Chaque log est-il bien caractérisé par une notion de priorité info, warning, debug, Collecte Nos fichiers de logs sont-ils archivés quotidiennement et compressés Nos fichiers de logs sont-ils conservés sur une période de X jours glissants Disposons-nous d'un système d'émission de logs en temps-réel ex syslog Disposons-nous d'un système d'émission de logs en différé pour les logs Windows par ex Avons-nous mis en place un mécanisme de supervision des envois de logs Avons-nous mis en place un mécanisme de supervision des espaces disques utilisés pour les logs Centralisation Quelle est l'estimation de la volumétrie journalière de logs Le système de centralisation est-il accessible via une adresse DNS ou IP Le système de centralisation offre-t-il un mécanisme de répartition de charge Quel est le protocole utilisé par le système de centralisation syslog, port UDP 1514 par ex Archivage Les logs centralisés sont-ils archivés quotidiennement et compressés Les logs centralisés sont-ils conservés sur une période de N mois glissants Les logs centralisés sont-ils stockés dans une arborescence unique Quels sont les niveaux d'arborescence mise en place pour les logs centralisés Conclusion En espérant avoir pu vous aiguiller dans votre réflexion sur le sujet, je vous conseille pour aller plus loin la lecture du document Guide to Computer Security Log Management publié par le NIST National Institute of Standards and Technology http://www.secuobs.com/revue/news/313864.shtmlhttp://www.secuobs.com/revue/news/313864.shtml Secuobs.com : 2011-06-20 10:19:26 - Fr Orange Business Sécurité - Nous consacrerons 3 épisodes sur la certification de sécurité ISO 27 001 Voici le dernier épisode Stephane SCIACCO, coordinateur de la sécurité globale chez Orange Business Services, nous donne les indicateurs de sécurité à mettre en place lors d'une ISO 27 001 Il cite notamment les indicateurs les plus importants tels que -A5 policy nombre de dérogations -A8 ressources humaines nombre de formation -A9 sécurité physique nombre de tests et nous parle également d'autres indicateurs que vous découvrirez en cliquant sur la vidéo ci-dessous http://www.secuobs.com/revue/news/312274.shtmlhttp://www.secuobs.com/revue/news/312274.shtml Secuobs.com : 2011-06-16 10:35:03 - Fr Orange Business Sécurité - Nous consacrerons 3 épisodes sur la certification de sécurité ISO 27 001 Voici le 2ème épisode Stephane SCIACCO, coordinateur de la sécurité globale chez Orange Business Services, nous parle de son retour d'expérience sur l'implémantation de la certification ISO 27 001 Dans cette vidéo, il évoque l'importance des scopes à mettre en place -scope physique -scope humain -scope logique Puis, il termine en parlant de l'analyse de risque et de la SOA Pour visualiser l'interview, cliquez ci-dessous http://www.secuobs.com/revue/news/311568.shtmlhttp://www.secuobs.com/revue/news/311568.shtml Secuobs.com : 2011-06-14 10:10:12 - Fr Orange Business Sécurité - Nous consacrerons 3 épisodes sur la certification de sécurité ISO 27 001 Voici le 1er épisode Dans cette interview, Stéphane Sciacco, coordinateur de la sécurité globale chez Orange Business Services, nous explique ce qu'est une certification de sécurité 27 001 Il répond notamment aux questions suivantes -Pourquoi est-ce important de mettre en place ce type de certification -Quelles sont les grandes lignes pour implémenter une ISO 27 001 -Quels sont les facteurs clefs de succès -Est-ce qu'une veille est faite par rapport aux normes de sécurité futur Pour visualiser la vidéo, cliquez ici http://www.secuobs.com/revue/news/310992.shtmlhttp://www.secuobs.com/revue/news/310992.shtml Secuobs.com : 2011-06-10 10:52:40 - Fr Orange Business Sécurité - Dans cette vidéo, Stephane SCIACCO, coordinateur de la sécurité globale chez Orange Business Services, traite des grands principes de cyberdéfense et accentue son analyse en évoquant les liens entre les principes de résilience et la cyberdéfense Il nous parle notamment de 3 parties principales -la partie formation sensibiliser les gens, les adapter aux phénomènes de crise -la partie durcissement audit de sécurité -la partie organisation organisation centralisée ou transverse et de la gestion de risques quels experts dois-je contacter , mise en place d'une cellule de crise Pour visualiser l'interview, cliquez ci-dessous http://www.secuobs.com/revue/news/310374.shtmlhttp://www.secuobs.com/revue/news/310374.shtml Secuobs.com : 2011-06-09 09:58:31 - Fr Orange Business Sécurité - Stéphane Sciacco, coordinateur de la sécurité globale chez Orange Business Services, nous parle du Security Operating Center SOC Il nous explique ce que c'est, l'organisation nécessaire et les types d'outils utilisés L'interview se termine par une énumération des facteurs clefs de succès utiles pour mettre en place ce type de service Il évoque notamment l'importance du facteur humain, de l'élaboration du cahier des charges avec MOA MOE et la partie outillage Pour visualiser la vidéo, cliquez ci-dessous http://www.secuobs.com/revue/news/310108.shtmlhttp://www.secuobs.com/revue/news/310108.shtml Secuobs.com : 2011-05-31 09:47:15 - Fr Orange Business Sécurité - Miniature de l'image pour C EMAILgifDébut mai se tenait en République Tchèque la conférence Security and Protection of Information avec en ouverture une conférence intitulée Denial of Service attacks using the white horse systems new proof-of-concept DoS against the DNS server La présentation concernait une nouvelle méthode d'attaques en déni de service de serveurs DNS, via l'utilisation de campagnes de spam Principe Voici l'architecture de principe qui a été présentée par les chercheurs Jakub Alimov Sez nam cz et Minor Zone - h org dans leur article disponible ici DDoS-over-Spamjpg Amuse-bouche Toast DNS La mise en bouche est somme toute standard puisque l'attaquant va enregistrer modifier la zone DNS d'un nom de domaine pour y enregistrer le serveur cible comme serveur NS ex foobarcom NS 1234 Ainsi tout serveur SMTP souhaitant envoyer un email à destination du nom de domaine, devra récupérer les informations adéquates telle que le précise la RFC2821, en interrogeant le serveur DNS autoritaire ici 1234 Entrée Salade de Spam L'entrée en matière d'attaque relève alors des techniques habituelles de spam en utilisant comme adresse s d'expédition une ou des adresse s appartenant au domaine préalablement déclaré sur le serveur DNS exemple user123 foobarcom, user456 foobarcom Il est également possible d'utiliser des sous-domaines ex user789 dummyfoobarcom Note lors de leurs observations, les chercheurs ont recensé plus de 14000 adresses IP uniques, issues apparemment du même botnet, pour l'opération de spam Plat principal Steak de cheval blanc L'astuce consiste ici à utiliser sur que les chercheurs nomment des White Horses , à savoir des serveurs disposant d'une important capacité en terme de bande passante A noter que les gros hébergeurs de serveurs SMTP tels Yahoo Mail, Microsoft ou Google sont par définition des cibles favorites Dotés d'une force de frappe importante, ces serveurs sont en mesure de lutter efficacement contre les attaques de type spam, mais dans de nombreux cas de figure, une analyse concernant la légitimité de l'expéditeur est requise Conformément à la RFC en vigueur, les serveurs SMTP vont vérifier, pour chacun des messages, les informations associées au nom de domaine ici une requête DNS de type MX RR ou A RR sur la zone foobarcom Les chercheurs précisent qu'il est envisageable d'utiliser un botnet de 50000 machines, envoyant chacune des messages à destination de 100 systèmes White Horse différents Dessert Farandoles de DNS sauce DDoS Pour réaliser la tâche qui leur incombent, les serveurs SMTP vont directement ou indirectement sollicités le serveur DNS autoritaire sur le nom de domaine Ils vont donc propager un volume important de requêtes DNS à destination du serveur DNS cible ici 1234 Ce dernier n'ayant par forcément les capacités à absorber la volumétrie, il est victime d'un déni de service Pour rappel, les serveurs demandeurs d'informations font partie des White Horses qui eux, bénéficient de ressources importantes En reprenant les chiffres plus haut, nous arrivons vite ici à 50000 machines x 100 White-Horses x 1 message 5millions de messages, soit autant de requêtes MX RR auprès du serveur DNS cible Remèdes anti-indigestion La protection des zones DNS est bien évidemment la première des protections à mettre en place Malgré cela, rien de vous garantit qu'une zone cyber-squattée ne déclare pas votre serveur DNS comme cible Le black-listage des domaines concernés reste également une protection simple, mais peu efficace dans la mesure où l'attaquant à toute liberté à varier les plaisirs en utilisant plusieurs noms de domaines durant l'opération adaptant ainsi sa campagne de spam au fur et à mesure des blacklists Seuls les mécanismes de protection mis en place du côté des White-Horses peuvent être efficaces protection anti-spam, limitation des flux de requêtes DNS, etc Une autre solution reste la mise en oeuvre de protection anti-DDoSau sein ou en amont de votre infrastructure http://www.secuobs.com/revue/news/308072.shtmlhttp://www.secuobs.com/revue/news/308072.shtml Secuobs.com : 2011-05-17 16:24:32 - Fr Orange Business Sécurité - Il y en quelques semaines, je vous faisais partager certaines rencontres faites dans le cadre de l'IT Press Tour auprès d'acteurs du cloud à Miami et à San Francisco Retour sur ce que j'ai pu apprendre concernant la sécurité et le cloud Tout d'abord, avant de parler de sécurité, j'ai voulu savoir ce qu'est pour ces acteurs le cloud , car j'ai l'impression que ce terme est un véritable fourre-tout Une définition intéressante et succinte provient d'Arkeia, spécialiste du back up en ligne Pour son PDG, William Evans, le cloud c'est ailleurs très loin ailleurs En effet, c'est l'impression que cela me donne, un ailleurs que nous ne maîtrisons pas Une autre définition très intéressante provient du PDG de Scality cfinterview où le cloud est pour lui une ressource, comme l'eau ou l'électricité le sont actuellement Pas besoin de savoir comment cela est produit, vous avez juste à demander combien vous en voulez, vous vous branchez dessus et payer votre consommation Ce concept est très intéressant, et nous incite à repenser complétement la structure de notre SI Alors donc le cloud c'est ailleurs, vous vous y branchez sans vous souciez de ce qui s'y passe, ça rend plus efficace votre SI et vous ne payez que votre consommation Parmi les entreprises rencontrées Zoho et Scality suivent clairement cette tendance Intéressant, mais branchez quelque chose sur mon SI sans savoir d'où ça vient ça me dérange un petit peu, d'autant plus quand on envoie des données dans ce nuage Alors maintenant que vous m'avez dit ce qu'est le cloud, quid de la sécurité Tout d'abord, ce qui m'a frappé, c'est quand je parle sécurité, on me répond oui notre service est hautement disponible C'est le première chose qui m'a choqué lors de ces rencontres, c'est la chasse à la haute-disponibilité et aux temps de réponse extrêmement bas afin de vous faire préférer un datacenter à San Francisco qu'à côté de chez vous C'est notamment ce que vend une des sociétés rencontrées CDNetworks , des solutions vous permettant de croire que votre datacenter est à vos pieds Tout cela est très bien, mais pourquoi quand je parle sécurité au sens large, on ne me parle que de disponibilité Qu'en est-il de la confidentialité et de l'intégrité de mes données Mais avant continuons un peu sur le jeu de la disponibilité Ces rencontres intervenant après le séisme qui a frappé le Japon, la question fut simple quel est votre plan de continuité d'activité en cas de sinistre majeur en Californie La réponse fut majoritairement la solution S3 d'Amazon Une autre question est-que qu'Amazon sera capable de répondre à toutes les sollicitations en cas de sinistre majeur si tout le monde se replie dessus Nos interviewés ne savaient pas Malheureusement, la récente panne d'Amazon nous donne certains indices Concernant la confidentialité et l'intégrité des données, certains ne comprennent pas le problème les seuls à pouvoir déchiffrer vos données sont les services gouvernementaux américains donc pas de problème certes mais sauf dans le cas d'entreprises françaises hébergeant des données sur les serveurs US, n'est-ce pas Certains fournisseurs de cloud font tout de même des efforts dans le domaine de la confidentialité comme boxnet ou Backblaze qui proposent des solutions de chiffrement mais cela reste grand-public où la simplicité d'usage prime sur l'efficacité et la gestion fine des paramètres de sécurité Ces offres grand-public, au passage très utilisés par vos employés pour échanger plus facilement des données professionnelles, sont majoritaires dans les offres de cloud En effet, les très trop nombreuses jeunes entreprises se lançant dans ce domaine sont valorisées au nombre de comptes et de clients et non au prestige du même client Le tableau dressé semble assez sombre Cependant, je pense que si nous voyons le cloud comme Scality le définit, à savoir une ressource favorisant l'efficacité de votre SI, ce cloud peut nous rendre de nombreux services On l'a compris, ces fournisseurs travaillent dur pour améliorer la disponibilité et les temps de réponse de leurs services Comme les vrais nuages, il y a plusieurs cloud de par les différents services rendus et les différents types de clients adressés C'est dorénavant à vous de définir quelle sera la ressource la plus appropriée à votre contexte et aux fonctions de votre SI Etant donné que le cloud restera toujours ailleurs et principalement hors de nos frontières, le problème de la confidentialité des données ne sera jamais résolu Certains fournisseurs concèdent installer des serveurs en France ou en Europe afin de respecter notre réglementation en matière de stockage des données à caractère personnel, pour le reste c'est à vous de ne pas envoyer de données sensibles dans le cloud Le PDG de Datacore indiquait qu'il n'utilisait pas lui-même le cloud pour ses données strictement privées, et que c'est aux entreprises d'être responsable n'utilisant pas le cloud pour traiter, archiver, partager etc des données sensibles Ainsi, le problème de la sécurité et du cloud est simple Les fournisseurs de service cloud assurent la disponibilité de la ressource tout comme des fournisseurs d'eau ou d'électricité en n'oubliant pas les PCA en cas de sinistre majeur mais ce n'est pas à eux de garantir la sécurité et l'intégrité de vos données mais à vous de maîtriser vos données en amont avant de décider de les mettre dans le cloud ou d'externaliser une partie de votre SI Cela suppose donc une véritable réorganisation de la gouvernance de la sécurité et de l'infrastructure de votre SI http://www.secuobs.com/revue/news/305350.shtmlhttp://www.secuobs.com/revue/news/305350.shtml Secuobs.com : 2011-05-05 14:31:16 - Fr Orange Business Sécurité - Quels sont les grands modèles d'intégration de la sécurité dans le contexte des technologies de virtualisation C'est à cette question je tenterai d'apporter quelques éléments de réponse en présentant 3 façons différentes telles que nous pouvons les rencontrer sur le terrain Les contraintes et atouts de chaque solution ne seront que brièvement présentés Le contexte Prenons le cas d'une petite entreprise ayant pris la décision de migrer son site Internet sur les plate-forme d'un fournisseur de service cloud Le choix c'est rapidement orienté vers une offre de type IaaS Infrastructure as a Service Le système est assez simple Deux frontaux web de type Apache un moteur et un troisième serveur sur lequel tourne une base de données MySQL Rien que du très classique OBS_BlogSécurité_IntegrationSecuritéVirtualisation_Figure1_vDC_5-Mai-2011_Fig1PNG Outre un service performant et facile d'utilisation, cette entreprise a besoin de protéger ses machines contre les connexions réseau non-autorisées Elle sélectionnera donc un prestataire lui offrant des fonctions de filtrage de flux réseau firewalling Bien évidemment, d'autres mesures de sécurité pourront être souhaitées comme par exemple la prévention d'intrusion Intrusion Prevention Systems ou encore des fonctions d'équilibrage de charge Load-Balancing , etc Firewalling Dans cet exemple, nous nous limiterons aux fonctions de filtrage de flux réseaux firewalling permettant de définir les flux autorisés à aller et venir entre machines virtuelles et autres parties comme par exemple des internautes Cela passe via la définition de zones démilitarisées ou DMZ, De-Militarized Zones Je renvoie les personnes à cette vidéo des 5 minutes du professeur Audenard pour ceux qui souhaiteraient se rafraîchir les idées sur la notion de DMZ Ces modèles d'intégration restent globalement identiques pour des fonctions de type IPS 1er modèle Appliance de firewalling physique avec firewalls virtualisés Dans ce premier modèle, les fonctions de firewalling sont rendues par un équipement spécialisé et dédié à cet usage Sur un même chassis matériel, ce sont plusieurs centaines de firewalls virtuels qui vont s'exécuter de façon simultanée OBS_BlogSécurité_IntegrationSecuritéVirtualisation_Figure2_FirewallsVirtualisés_5-Mai-2011PNG Chaque client aura donc, en plus de ses machines virtuelles, un firewall lui aussi virtuel Via l'interface de gestion mise à sa disposition par le fournisseur de service, il configurera les connexions et les règles Pour lui tout est transparent L'un des atouts de ce modèle réside dans l'utlisation de fonctions de firewalling éprouvées car s'appuyant sur des équipements ayant faits leurs preuves D'un autre coté, cela implique que toutes les connexions et flux réseau repassent obligatoirement via la couche réseau physique 2ième modèle Une machine virtuelle servant de firewall Dans ce modèle, les fonctions de firewalling vont s'executer dans une machine virtuelle ddiée à cet usage Il peut s'agir d'une VM construite par le client lui-même au même titre que les autres VM web et serveur de base de données ou alors une VM mise à sa disposition par le prestataire pour un coût mensuel OBS_BlogSécurité_IntegrationSecuritéVirtualisation_Figure3_VM-Firewall_5-Mai-2011PNG En plus de gérer les règles, l'entreprise devra gérer une VM supplémentaire C'est un modèle très souple pour l'entreprise car elle à ainsi le choix de la technologie de firewalling D'un autre coté, tout tourne sur l'hyperviseur, une VM reste une VM avec tous ses besoins et contraintes de sécurité La contrainte particulièrement importante d'un tel modèle réside dans le fait qu'il faut tout configurer à la main et maintenir dans le temps cette configuration Pas simple dans le cas d'un datacenter virtuel réel avec plusieurs dizaines de zones ou de VM Dans ce mode, les communications entre VM restent cantonnées au niveau de l'hyperviseur La couche réseau physique n'est sollicitée que pour les connexions avec l'extérieur Internet dans le cas présent 3ième modèle L'hyperviseur intégre la fonction de firewalling Ce dernier et troisième modèle est celui qui tire le plus grand bénéfice de la virtualisation Ici, l'hyperviseur intègre les fonctions de firewalling au niveau des interfaces réseau des VM Toute VM a donc de facto un firewall d'attaché directement à sa carte réseau, ce firewall est capable de suivire la VM lorsqu'elle migre d'un hyperviseur à un autre, etc OBS_BlogSécurité_IntegrationSecuritéVirtualisation_Figure4_Hyperviseur-Firewall_5-Mai-2011PNG Tous les flux inter-VM restent évidemment au niveau de l'hyperviseur, donc l'infrastructure réseau physique reste disponible pour les connexions avec l'extérieur La contrainte de ce type de solution c'est que l'hyperviseur doit collaborer Soit il propose des interfaces pour connecter un firewall virtuel cf les API VMSafe de VMware ou alors il doit intégrer ces fonctions nativement Dans les deux cas, cela génère une dépendance vis-à-vis d'une technologie ainsi qu'aux choix effectués par le prestataire En conclusion Via l'un de ces trois modèles, l'entreprise est donc en mesure de déployer ses machines virtuelles et de les isoler en zones de sécurité une zone Front-Office pour les serveurs web une autre dite Back-Office pour le serveur de base de données Les différences entre ces trois approches sont multiples, chacune ayant des atouts mais aussi des faiblesses Dans un prochain article, nous tenterons de faire une synthèse de ces différents points afin d'y voir un peu plus clair http://www.secuobs.com/revue/news/302823.shtmlhttp://www.secuobs.com/revue/news/302823.shtml Secuobs.com : 2011-05-03 11:27:49 - Fr Orange Business Sécurité - Miniature de l'image pour S PROXYgifAPT, trois lettres qui semblent faire trembler de nombreux responsables de sécurité à travers la planète depuis quelques mois L'acronyme APT signifie Advanced Persistent Threat , que nous pouvons littéralement traduire en français par Menace Persévérante Avancée Certes, vous n'êtes pas mieux informés après cette courte définition, mais sachez qu'à l'évocation de ces simples mots, vos anti-virus, firewalls et autres système de détection d'intrusion ont déjà des sueurs froides APT menace du 3ème type Rassurez-vous, les petits bonhommes verts ne vont pas attaqués vos réseaux car il ne s'agit pas d'une suite donnée au célèbre film Rencontres du troisième type S'il fallait définir les types d'attaques, nous pourrions aisément dire que le 1er type exploite les faiblesses de l'utilisateur chevaux de Troie par exemple et que le 2nd type exploite les faiblesses des programmes exploitation d'une vulnérabilité par exemple Le 3ème type d'attaques n'est que le savoureux cocktail des deux premiers, auquel vous ajoutez 1 3 de marketing sécurité, 1 3 de gros titres dans la presse et enfin 1 3 de petits mensonges Association de malfaiteurs Quitte à parler d'un sujet qui est censé faire peur, autant mettre un titre accrocheur au paragraphe C'est pourtant bien la notion de groupe d'attaquants qui caractérise la définition commune de l'APT voir Wikipedia En synthèse, dans cette même définition, vous apprendrez qu'une APT est reconnaissable comme suit elle est menée par un groupe, de préférence l'officine d'un état étranger elle est menée avec des moyens et une volonté à la hauteur de la cible visée elle est menée dans le cadre d'une opération d'espionnage d'internet de préférence elle ne peut être menée par un individu, même hacker, motivé ou pas Il est néanmoins précisé que pour les professionnels de la sécurité, ainsi que les médias, le terme APT se réfère à des attaques sophistiquées se déroulant sur de longues périodes En synthèse, ou bien la dernière attaque dont vous avez été victime est le fruit d'un groupe d'espions venus d'un état qui n'est pas ami avec le votre, ou bien les attaquants ont réussi à rentrer dans vos systèmes à la vitesse d'un octet par heure et que cela fait des mois que ça dure La naissance du monstre Si le terme APT apparait durant l'année 2009 dans certains livres que lisent les administrateurs système et réseaux avant de se coucher, il n'est massivement repris par la presse que durant les premiers mois de 2010 Début 2010, les échanges par voie de presse d'enflamment quelque peu entre le géant Google et l'état chinois, le premier accusant le second de piratage de ses systèmes Celui qui a réussi à pirater les systèmes du géant de l'Internet ne peut alors être qu'aussi gros que lui en convertissant le nombre de serveurs de l'un en nombre de bras de l'autre , politiquement motivé sinon, qui voudrait du mal à un annuaire mais aussi très expérimenté Suivront ensuite des attaques contre des groupes pétroliers, puis dernièrement de nouvelles attaques dont la presse s'est largement fait écho Bercy, RSA, Sony, Principes généraux Fin janvier 2011, la société Mandiant, spécialisée dans les prestations de sécurité informatique, a publiée le rapport M-Trends 2010 , disponible en téléchargement ici Sur la base de centaines d'études d'attaques, elle dresse un portait robot de étapes clés d'une attaque APT 1 Reconnaissance de l'écosystème de la victime scan, ingénierie sociale, 2 Intrusion furtive dans les systèmes cibles envoi de mail ciblés avec cheval de Troie, 3 Mise en place d'une backdoor sur le réseau pénétré 4 Obtention de droits d'accès vers d'autres systèmes internes 5 Installation d'un ensemble d'outillage nécessaire à la furtivité, l'exfiltration de données, 6 Obtention de privilèges plus importants après sniffage de données par exemple 7 Exfiltration furtive de données avec encryption et utilisation de canaux licites, HTTP par ex 8 Adaptation à l'écosystème et ses détecteurs pour préserver les acquis de l'attaquant Même si ce rapport révèle quelques détails sur les techniques employées, il est difficile d'en conclure que les attaques APT soient l'aboutissement ultime des techniques d'attaques car si cela était le cas, autant d'articles sur le sujet ne seraient pas publiés Difficile également d'évaluer le niveau d'estimer le niveau d'excellence atteint par les attaques déclarées APT par les victimes, tant il est tentant pour ces dernières de se réfugier derrière une incroyable opération d'espionnage pour justifier une absence de communication ou un aveu de faiblesses sur ses lignes de défense Avertir, Prévenir, Traiter Que les APT soient considérés comme le type de menaces ultime qui va s'abattre sur les systèmes informatiques du monde entier par les uns, ou tout simplement l'enchainement intelligent d'attaques moins abouties pour les autres, elles représentent ce dont un responsable sécurité en entreprise ne souhaiterait pas être victime l'intrusion, le vol et la fuite de données L'acronyme APT peut sans doute être rapproché des trois règles fondamentales suivantes Avertir et informer ses utilisateurs des risques liés à l'ingénierie sociale et aux mails Prévenir tout incident en équipant ses infrastructures de systèmes de protection et de supervision Traiter le moindre incident avec la même priorité et le même sérieux, quelque soit sa nature En choisissant une stratégie basée sur la sensibilisation, la protection et l'action, vous ne vous mettrez certes pas à l'abri de toute attaque, mais augmenterez vos chances de stopper celles qui veulent plus persistantes que vous Pour aller plus loin Voici une petite liste d'articles en anglais qui vous apporteront d'autres éléments de compréhension sur les APT et la manière dont ils sont analysés Report Details Hacks Targeting Google, Others Hackers Targeted Oil Companies for Oil-Location Data Advanced Cyber-Attack Claims Are Usually False, Overhyped Advanced Persistent Threats APT APT attacks a real threat to business, says security panel http://www.secuobs.com/revue/news/302203.shtmlhttp://www.secuobs.com/revue/news/302203.shtml Secuobs.com : 2011-04-26 09:38:04 - Fr Orange Business Sécurité - Eric Wiatrowski, responsable sécurité chez Orange Business Services, nous définit ce qu'est la certification sécurité en nous expliquant son processus, les normes qui existent, les avantages et les difficultés Pour visualiser la vidéo, cliquez ici http://www.secuobs.com/revue/news/300767.shtmlhttp://www.secuobs.com/revue/news/300767.shtml Secuobs.com : 2011-04-18 09:34:47 - Fr Orange Business Sécurité - Eric Wiastrowski, responsable sécurité chez Orange Business Services, nous parle de MICE, une méthodologie mise au point par les services de renseignements britanniques pour évaluer les menaces qui pèsent sur le système d'information de l'entreprise Il nous décrit notamment les différents critères qui constitue le MICE Money Ideology Compromission Eggo Il termine en nous donnant les mesures à prendre pour réduire les risques Pour visualiser l'interview, cliquez ici http://www.secuobs.com/revue/news/299043.shtmlhttp://www.secuobs.com/revue/news/299043.shtml Secuobs.com : 2011-04-13 09:44:25 - Fr Orange Business Sécurité - Eric Wiatrowski, responsable sécurité chez Orange Business Services traite du sujet relatif aux contrats fournisseurs Face à une sous-traitance de plus en plus accrue de l'information aux partenaires, il nous explique le lien qui existe entre la sécurité et les contrats fournisseurs, nous donne des conseils pour traiter un bon contrat entre le fournisseur et le partenaire Pour visualiser la vidéo, cliquez ici http://www.secuobs.com/revue/news/298052.shtmlhttp://www.secuobs.com/revue/news/298052.shtml Secuobs.com : 2011-04-12 07:18:40 - Fr Orange Business Sécurité - Internet Explorer 6-LogopngIl aura été l un des navigateurs les plus attendus au début de ce siècle et aura également été l un des plus décriés Fer de lance de Microsoft dans sa conquête du web, le navigateur web Internet Explorer 6 sera également source de tracas pour de nombreuses entreprises gestion des vulnérabilités sur les postes utilisateurs, gestions de compatibilités sur les hébergements web Historique Sorti fin aout 2001 quelques mois seulement avant Windows XP, le navigateur Internet Explorer 6 intègre notamment un premier support des feuilles de style CSS Livré en standard avec les systèmes Windows XP, il est également compatible avec NT4, Windows 98, Windows Me et Windows 2000 Durant les années 2002 et 2003, la part de marché de cette version est proche des 90pourcents A ce jour, Microsoft a livré 9 versions d Internet Explorer Internet-Explorer-6-Historique-Versionspng Parts de marché Sur le marché français, la famille Internet Explorer hors version 9 sorti ce mois-ci concède ces 12 derniers mois plus de 12pourcents de parts de marché - Internet Explorer 6 -2,69pourcents - Internet Explorer 7 -10,12pourcents - Internet Explorer 8 0,78pourcents Il est cependant intéressant de constater que Internet Explorer 6 aura su résister aux assauts de ses deux successeurs IE7 et IE8en préservant une part de près de 2pourcents Internet-Explorer-6-Parts-Marche-Francepng Sur les marchés européen et mondial, Internet Explorer occupe encore 4,6pourcents du marché selon Stat Counter et 12pourcents selon Microsoft Internet-Explorer-6-Parts-Marchepng Riposte de Microsoft Quelques mois seulement après la sortie d Internet Explorer 8, durant l été 2009, le géant américain Microsoft prépare la riposte et dépose le nom de domaine ie6countdowncom S en suit alors un plan de communication auquel Microsoft n avait pas habitués ces utilisateurs l organisation de la disparition d un de ses navigateurs web, Internet Explorer 6 Souhaitant sans doute offrir à IE6 une campagne médiatique de fin à la hauteur de celles qui pointaient du doigt ses lacunes en matière de sécurité d une part et son manque de respect des standards HTML notamment d autre part Objectif de Microsoft réduire la part de marché d'Internet Explorer 6 à moins de 1pourcents Compte à rebours Près de 10 ans après sa sortie, Microsoft met donc en place un site web dédié The Internet Explorer 6 Countdown le compte à rebours d Internet Explorer 6 , et à la manière des lancements de navettes spatiales par la NASA, le public retient son souffle avant le dernier soubresaut du célèbre navigateur Internet-Explorer-6-Microsoft-Countdownpng En complément d une sympathique interface graphique mettant en exergue les populations encore récalcitrantes, l éditeur propose à tout un chacun les actions suivantes - Parlez-en à vos amis Twitter à l appui, communiquez auprès de vos amis sur l évènement - Eduquez les autres explications sur le pourquoi d une nécessaire migration - Rejoignez la cause participez vous-même en appliquant sur vitre site web le bandeau suivant comme le font près de 115 partenaires listés sur le site Internet-Explorer-6-Microsoft-Bannerpng Internet Explorer est mort, longue vie à Internet Explorer http://www.secuobs.com/revue/news/297722.shtmlhttp://www.secuobs.com/revue/news/297722.shtml Secuobs.com : 2011-04-11 08:41:01 - Fr Orange Business Sécurité - Philippe Conchonnet, Business Developper Sécurité, nous parle de la sécurité en entreprise Il évoque notamment -les outils utilisés Infra, poste, applicatifs -les nouvelles menaces parefeux nextgen, protection de données, nouvelles applications téléphonie, base de données , nouveaux usages réseaux sociaux, mobilité -des cas d'entreprises -les nouvelles techniques de sécurité étudiées par les experts Regardez la video http://www.secuobs.com/revue/news/297473.shtmlhttp://www.secuobs.com/revue/news/297473.shtml Secuobs.com : 2011-04-07 09:08:59 - Fr Orange Business Sécurité - Jean-François Audenard nous parle des grands changements quant au cloud computing dans le domaine de la sécurité Dans cette interview, il évoque 4 points principaux les données dynamiques et répartis la mutualisation et la dépendance l'adoption non-contrôlée de services l'exploitation dans le cloud Pour en savoir plus, regardez cette interview vidéo http://www.secuobs.com/revue/news/296782.shtmlhttp://www.secuobs.com/revue/news/296782.shtml Secuobs.com : 2011-04-05 10:26:18 - Fr Orange Business Sécurité - Les sondes de détection et de réaction contre les intrusions sont des équipements fréquemment controversés dans de nombreuses entreprises Dans le cadre de la migration vers des services de Cloud Computing, la situation se complexifie encore plus du fait des caractéristiques même du cloud Qu'en est-il et en quoi le cloud computing vient-il noicir le tableau Une technologie déjà controversée en entreprise Tout acteur de la sécurité pourra vous le confirmer Déployer un boitier IDS IPS à un endroit stratégique de son réseau ou de serveurs ce n'est pas compliqué Le plus complexe reste d'en assurer la gestion dans le temps Mise à jour des bases de signatures, actualisation de la configuration et surtout collecte et analyse des évènements Les coûts d'un projet IDS IPS sont très souvent plombés par la gestion des équipements quand cela est fait souvent les équipements sont achetés, déployés et configurés pour ensuite être oubliés Bref Ce n'est pas une technologie simple à opérer , loin de là Mais revenons à nos moutons Focus Infrastructure as a Service IaaS Les techniques de détection et de prévention d'intrusions peuvent être adadtées à différentes couches ou composant d'un système d'information Couche réseau NIDS NIPS - Network IDS IPS , à la couche système d'exploitation HIDS - Host IDS ou encore aux couches applicatives ou middleware Database IDS, Web Application Firewall En fait, on peut implémenter des fonctions de type IDS à partir de tous types de logs informations générés par une application quelconque Analyser les logs de son serveur Web Apache pour détecter les tentatives d'intrusion ou de découverte est une forme d'IDS Pour cet article, nous limiterons notre propos à des services de cloud computing de type IaaS Infrastructure as a Service Ce type de service propose des ressources informatiques pour executer des machines virtuelles, de la connectivité réseau et des espaces de stockage de données Le tout étant accessible à distance Caractéristiques du cloud computing Selon la définition du NIST, les caractéristiques essentielles du cloud computing sont La mutualisation colocation multi-tenancy la capacité à répondre à une demande très importante massive scalability l'elasticité elasticity ou capacité d'adapter simplement les ressources aux besoins l'auto-activation de ressources self-provisioning et enfin la facturation à l usage pay as you go Nous mettrons de coté la caractéristique pay as you go car elle n'a que très peu d'impact sur les les systèmes IDS IPS Elle ne sera donc pas couverte dans cet article Mutualisation colocation multi-tenancy La mutualisation des ressources entre utilisateurs du cloud et une utilisation simultanée de ressources communes est une caractéristique fondamentale du cloud computing Un même client du cloud va donc utiliser les mêmes accès réseaux, les mêmes machines ou les mêmes systèmes de stockage que d'autres clients, le tout étant rendu transparent via des technologies de virtualisation et d'isolation Dans le monde physique ou normal , ou encore Pas dans le cloud , le déploiement d'un IDS IPS est lié à un environnement physique donné Un lien ou un accès réseau, un serveur ou un groupe de serveurs physiques, une plateforme, etc Dans le cloud, cette approche est vaine Tout est virtuel et immatériel Un client souhaitant protéger ses VM Virtual Machines ou Machines Virtuelles devra changer sa façon d'approcher le problème L'un des classiques c'est comment superviser le trafic entre deux VM localisées sur le même hyperviseur Si chaque client active une VM intégrant un moteur IPS IDS, il reste le challenge de la gestion de celle-ci Capacité à répondre à une demande très importante massive scalability Dans un environnement de cloud computing, le nombre d'instances de VM tournant simultanément peut être virtuellement énorme de plusieurs milliers à plusieurs dizaines de milliers de machines Dans un tel contexte, le nombre d'évenenements de sécurité générés par les IDS IPS peut être tout simplement gigantestque C'est peut-être le challenge le plus difficile à relever Elasticité et et auto-activation Avec le cloud computing, il est possible d'ajuster dynamiquement les ressources aux traitements à réaliser Ainsi, on peut passer de 3 VM à 10 ou 20 VM en quelques secondes ou utiliser une capacité de stockage variant fortement entre 2 jours d'une même semaine Dans un tel contexte, faut-il reconfigurer à chaque fois son IDS IPS Comment lui attribuer plus de ressources afin qu'il puisse faire son travail dans de bonnes conditions, ce dès le démarrage d'une nouvelle VM Conclusion Effectivement, le cloud computing pose de sérieuses questions pour les IDS IPS La transposition des techniques et pratiques utilisées en entreprises sont inadaptées De nouvelles approches doivent donc être proposées tant par les fournisseurs de services de cloud computing que les éditeurs de solutions de sécurité Certains en sont encore à proposer des appliances virtuelles de leurs équipements physiques ce n'est clairement pas adapté Les approches basées sur l'intégration de fonctions au coeur des hyperviseurs et des fonctions dites d'introspections permettront peut-être de répondre au besoin de sécuriser en profondeur les infrastructures de cloud computing http://www.secuobs.com/revue/news/296274.shtmlhttp://www.secuobs.com/revue/news/296274.shtml Secuobs.com : 2011-04-04 09:08:38 - Fr Orange Business Sécurité - paloaltonetworksjpgCette nouvelle étape nous conduit chez un fournisseur de firewalls de nouvelle génération Palo Alto Networks Cette société a été créée en 2005 par Nir Zuk, actuel CTO et référence en matière de firewall et de sécurité des applications sur le Web ex-ingénieur principal chez Checkpoint, ex-CTO de Netscreen Technologies et de OneSecure Elle possède plus de 3500 entreprises clientes et connaît une croissance record depuis 2007 Elle se spécialise, comme d'autres sociétés essaient de le faire, dans le filtrage des applications web Sa vision de choses est intéressante Malgré une explosion du nombre d'applications web et de leur utilisation en masse par les employés via leurs devices mobiles, les firewalls actuels ne font, selon Nir Zuk, rien de plus que ce qu'ils faisaient dans les années 90, c'est à dire du filtrage d'email et du web Le problème est que le fonctionnement en white black list ne permet pas un filtrage intelligent des applications web de type Webex, Facebook, linkedin etc Soit l'entreprise interdit, soit elle autorise et dans ce cas elle autorise tout La ligne de défense est donc incomplète un peu comme, s'amuse à le dire Nir Zuk, la ligne Maginot Pour Nir Zuk, l'utilisation de ces applications web est incontournable pour le développement des entreprises innovate or die C'est pourquoi Palo Alto Networks développe des firewalls dits Next Generation Firewalls permettant de filtrer de façon intelligente ces applications et d'étendre la sécurité à l'ensemble du traffic réseau Cette politique permet d'autoriser de façon sécurisée vos forces vives à utiliser les applications web safely enable your workforce to use applications La technologie de Palo Alto Networks s'appuie sur une étude de plusieurs dizaines de milliers d'applications qui leur a permis d'identifier leurs empreintes biométriques Ces empreintes permettent également d'identifier chaque fonctionnalité de l'application utilisée Par exemple dans le cas de Facebook, ils déclarent être capable de reconnaître les fonctions publication, lecture, chat, mail, utilisation d'application etc Cette base de données leur permet d'alimenter le moteur d'analyse de leur firewall qui se reportera à la politique de l'entreprise et appliquera les actions de filtrage nécessaires Couplé avec votre AD, Palo Alto Networks peut donc configurer ces firewalls pour autoriser certains utilisateurs à lire les murs Facebook, d'autres à publier des choses ou encore d'autres à jouer aux applications pendant la pause déjeuner quelque soit le terminal mobile utilisé PC nomades, Smartphones et itablette les plus répandus etc Cette technologie permettrait également de détecter les applications non connues, ainsi que les menaces de type Koobface La technologie ne peut pas à elle seule réduire l'ensemble des risques, mais à l'heure de l'explosion des applications Web et des médias sociaux, ce type de filtrage est intéressant et intelligent car il préserve le développement de l'entreprise tout en réduidant les risques http://www.secuobs.com/revue/news/295990.shtmlhttp://www.secuobs.com/revue/news/295990.shtml Secuobs.com : 2011-04-01 07:08:26 - Fr Orange Business Sécurité - Une page du blog se tourne aujourd'hui Certains d'entre vous se diront dommage , d'autres tant mieux mais il est trop tard, le professeur Audenard tire sa révérence Retrouvez en vidéo son dernier témoignage et la présentation de ses futures activités Téléchargez le bulletin d'inscription en cliquant sur ce lien http://www.secuobs.com/revue/news/295584.shtmlhttp://www.secuobs.com/revue/news/295584.shtml Secuobs.com : 2011-03-28 13:54:18 - Fr Orange Business Sécurité - Ce 7ième épisode des 5 minutes du professeur Audenard a pour thème les zones démilitarisées DMZ - De-Militarized Zone Le terme zone de sécurité est une notion essentielle dans la sécurité Ce terme est utilisé dans de très nombreux contextes que ce soit pour la sécurité des applications, des bâtiments ou des réseaux C'est peut-être dans le monde des réseaux que le terme est le plus fréquemment rencontré Qu'est-ce-qu'une zone Une zone, c'est un regroupement logique de ressources ou d'éléments ayant un profile de sécurité commun Par profile de sécurité , il faut comprendre des éléments ayant des mêmes niveaux de confiance, d'exposition au risque, une même politique de sécurité ou des besoins de sécurité identiques Un serveur web sur Internet aura un niveau d'exposition différent d'un serveur web Intranet De même, l'ordinateur portable d'un utilisateur en mobilité connecté sur un hotspot wifi public aura un niveau de sécurité et de confiance différent d'un ordinateur connecté directement sur le réseau local de l'entreprise Dans ces deux cas, les serveurs et portables devront être considérés comme étant dans des zones différentes Passage d'une zone à une autre Permettre la communication entre les zones est très souvent nécessaire Dans le cas d'un accès à l'Internet pour une entreprise, nous aurons à minima deux zones Une première zone ou se trouvent les postes de travail et les serveurs nous l'appellerons zone interne et une autre zone dans laquelle nous retrouverons l'Internet celle-ci sera appelée zone externe Les communications entre zones sont gérées ou orchestrées via des équipements de type firewall ou pare-feu Ils permettent de définir quelles sont les communications autorisées et quelles sont celles qui sont interdites C'est la politique de filtrage Afin de permettre aux personnes d'accéder à Internet depuis leur poste de travail, le passage d'une zone à une autre pourra être mis en place de deux façons différentes Ce qui différenciera une solution de l'autre c'est le niveau de sécurité, ou plus précisément le niveau d'exposition aux risques pour la zone interne Connexions sortantes directes Dans ce mode, un système interne appartenant à la zone interne communique directement avec un système externe situé dans la zone externe C'est le cas d'un utilisateur accédant à un site Internet via son navigateur Internet depuis son poste Cette interconnexion avec connexions sortantes directes est très simple à mettre en oeuvre et ne demande que peu d'équipements Cependant, elle comporte des risques importants Risque 1 Exposition via le chemin de retour Lors de la communication sortantes zone interne -- zone externe , il est nécessaire d'autoriser la réponse à rentrer zone externe -- zone interne Il se peut que cette réponse soit une attaque un exploit , un virus, Le poste de travail va donc être directement exposé aux éventuelles attaques transitant via ce flux rentrant Risque 2 Exposition d'une machine interne Comme les machines situées sur la zone interne peuvent se connecter directement à des machines localisées sur la zone externe , il y a une augmentation du risque que ces communications puissent être détournées C'est typiquement le cas quand une machine est infectée par un logiciel espion ou un logiciel zombie et qu'elle se connecte à son serveur de commande Les données sortent de l'entreprise sans aucune forme de contrôle ni d'analyse Connexions sortantes via un relais Des serveurs relais en zone DMZ Afin de permettre des connexions entre une zone de confiance et une zone non-contrôlée tout en évitant d'exposer directement la zone de confiance zone interne , un point de relais entre les deux zones est requis Ce point de relais se matérialise sous la forme d'un serveur d'un type particulier spécialement conçu dans ce but Ce serveur relais va servir de mandataire obligatoire ou proxy mandatory proxy entre les machines localisées sur la zone interne et les serveurs situés sur la zone externe La DMZ La DMZ est une zone dont le niveau de confiance est moyen D'un coté, on maîtrise aussi bien les serveurs présents dans celle-ci ainsi que les communications autorisés à y entrer et à en sortir De l'autre, on ne maîtrise pas les machines pouvant s'y connecter ou le contenu des échanges dans notre exemple d'accès à l'Internet depuis des postes de travail, on ne maîtrise pas le contenu des réponses envoyées par les sites Internet Une autre caractéristique d'une DMZ c'est qu'elle sert de point de passage ou de dénominateur commun entre des zones de niveau de confiance différents Dans une DMZ, on va positionner un ou plusieurs serveurs relais Tout dépendra des communications qui seront autorisées entre les zones et des besoins d'analyse ou de contrôle des communications Le serveur de relais Étant le point de passage obligé de toutes les communications, le serveur de relais va être en mesure d'analyser les demandes de connexions ainsi que les réponses à celles-ci Ainsi, il pourra filtrer toute demande illicite par exemple, accès à un site de jeu en ligne ou bloquer d'éventuels attaques ou virus empruntant les flux retours Comme le serveur relais est l'unique point de contact avec les serveurs situés sur la zone externe ici Internet , il sera plus aisé de réaliser sa sécurisation renforcement, application des correctifs de sécurité, afin de protéger les machines localisées sur le réseau local ici la zone interne DMZ et zones de sécurité Des concepts essentiels Le concept de DMZ, et plus globalement celui de zones de sécurité sont des concepts essentiels dans la sécurité des systèmes d'information On retrouve ces zones tant entre des réseaux privés et l'Internet mais aussi au sein même de grands réseaux et plate-formes privés En effet, il peut-être facile et encore de maîtriser complètement la sécurité de 15 machines sur un seul réseau, cela relève du challenge sur un réseau de 800 sites avec plusieurs dizaines de milliers de machines dans un tel contexte, la création de sous-zones internes permet une meilleure gestion de la sécurité zone serveurs , zone points de vente , zone laboratoire R D , zone Internet , zone comptabilité et gestion , http://www.secuobs.com/revue/news/294524.shtmlhttp://www.secuobs.com/revue/news/294524.shtml Secuobs.com : 2011-03-25 16:31:49 - Fr Orange Business Sécurité - C WIFIgif En fin de semaine, il est souvent d'usage de jeter un coup d'oeil à ces petits outils qui vous simplifient la vie lorsque vous êtes en charge de l'administration de ressources informatiques Si vous avez la responsabilité du bon fonctionnement du réseau local de votre petite entreprise et que vous êtes à la recherche d'un outil simple pour vos problématiques Wifi, voici un outil simple et efficace InSSIDer, le scanneur multi-fonctions Le logiciel InSSIDer est une application Open Source pour plates-formes Windows et Linux, permettant de scanner les réseaux Wifi Pourquoi scanner les réseaux Wifi si vous souhaitez cartographier les réseaux à votre portée si vous souhaitez mesurer la puissance de réception de votre réseau si vous souhaitez optimiser les canaux d'émission de votre réseau si vous souhaitez contrôler les points d'accès émettant autour de vous Et InSSIDer répond à ces besoins de façon simple et ergonomique Les fréquences WIfi Comme toute infrastructure de communication sans-fil , l'ensemble des protocoles que nous appelons Wifi utilise un ensemble de bande de fréquences dédiées En France, il s'agit de la bande de fréquence étroite dite Industrielle, Scientifique et Médicale Or cette bande de fréquence, qui est composée de 13 canaux, est partagée pour de nombreux usages Canaux-Wifipng Radioamateurs fréquences utilisées pour des émissions Radio ou TV amateurs Transmetteurs fréquences souvent utilisées par les équipements vidéo Wifi ex Caméras Micro-ondes fréquences utilisées par l'ustensile qui permet de réchauffer votre café Cartographie de réseaux Avant de vous lancer dans une optimisation folle de votre paramètres Wifi et de chercher les zones de collision avec vos voisins, vous souhaitez sans doute obtenir une vision large de ce qui se passe autour de vous en terme de Wifi Regler-Wifi-Cartographiepng En un clin d'oeil, InSSIDer vous permet d'obtenir la liste des points d'accès Wifi qui sont à la portée de votre poste ce dernier devant bien entendu être équipé d'une carte Wifi et leurs caractéristiques, entre autres Adresse MAC Nom du réseau ou SSID Canal d'émission Modèle de l'équipement Protocole de codage des communications Mesurer la puissance de réception En principe, les pilotes de votre système d'exploitation sont livrés avec des outils permettant d'obtenir facilement la puissance de réception d'un signal Wifi Sous Windows XP, le commun des mortels se contentera d'une jolie série de barres colorées Regler-Wifi-Puissance-XPpng Grâce à InSSIDer, vous allez obtenir une information quantifiée, avec historique et comparée Regler-Wifi-Puissance-InSSIDerpng Optimiser les canaux d'émission C'est sur cet objectif que l'outil me parait le plus intéressant pour un administrateur qui a détecté des lenteurs dans ses connexions Wifi et qui souhaite rapidement voir quel est le niveau de collision de son réseau avec celui des voisins Regler-Wifi-Canauxpng Une fois de plus, un non-initié comprend rapidement que son réseau Wifi jaune émettant sur le canal 6 est en collision avec un autre réseau dont la puissance n'est que légèrement plus faible Décaler l'émission de son réseau sur le canal 8 lui permettait d'être hors-collision, sauf si le micro-onde de la caféteria se trouve à 2 mètres du routeur Wifi, qu'il a plus de 20 ans et qu'il fuit hypothèse hautement improbable Contrôler les points d'accès Qui n'a jamais eu d'alerte de la part de son système d'exploitation avec un point d'accès qui devient subitement inaccessible Ceci entraine une perte de connexion réseau et nouvelle tentative d'accès du système au point d'accès Wifi Et si cela était dû à une personne malveillante qui soudainement innonderait les ondes à forte puissance avec une identification réseau ayant le même nom que le votre dans ce cas là, votre système renverrait gentiment sa clé de codage En cas de doute, une fois de plus, InSSIDer permet de rapidement voir quelle adresse MAC est associée au point d'accès qui porte le nom de votre réseau Certes, l'adresse MAC peut être spoofée mais vous pouvez rapidement comparer les données récupérées à celles que vous avez habituellement Conclusion Un outil simple, efficace, ergonomique et OpenSource qui a de quoi séduire Si vous souhaitez passer au niveau supérieur en terme de fonctionnalités, un autre outil vous intéressera sans doute NetStumbler http://www.secuobs.com/revue/news/294197.shtmlhttp://www.secuobs.com/revue/news/294197.shtml Secuobs.com : 2011-03-23 06:10:14 - Fr Orange Business Sécurité - Miniature de l'image pour S FILTERINGgif Est-il bien raisonnable de surfer sur la vague de l'audience en abordant les stratégies en matière d'Internet de l'industrie du X A première vue, la réponse semble négative si nous considérons que la plupart des professionnels de la sécurité ne sont pas forcément en relation directe avec l'industrie du divertissement pour adultes La réponse est tout autre au regard des ressources engagées par les entreprises pour limiter les accès à des contenus illicites et trop divertissants pour leurs collaborateurs Un nouveau Top-Level-Domain L'ICANN Internet Corporation for Assigned Names and Numbers est une société à but non lucratif, en charge de la régulation de l'Internet Son principal rôle consiste est d'allouer l espace des adresses de protocole Internet, d attribuer les identificateurs de protocole IP , de gérer le système de nom de domaine de premier niveau pour les codes génériques gTLD et les codes nationaux ccTLD , et d assurer les fonctions de gestion du système de serveurs racines source Wikipedia Après bientôt une décennie de négociations, l'ICANN a annoncé cette semaine, par communiqué de presse, l'extension dans les mois qui viennent des domaines de premier niveau et la prise en charge des domaines xxx Un bureau d'enregistrement dédié Comme il est déjà d'usage pour l'ensemble des domaines de premier niveau, l'ICANN devra s'adjoindre les services d'un bureau d'enregistrement des nouveaux domaines xxx, qui complètera la liste des partenaires existants Même si ce dernier n'apparait pas encore dans la liste, le partenaire ICANN semble être la société ICM Registry, basée en Floride, USA Le site de la société permet d'ailleurs de pré-réserver dès maintenant les noms de domaines et annonce plus de 330000 domaines en pré-réservation Charte d'utilisation d'un domaine xxx Ne vous inquiétez pas, ICM Registry vous explique tout ce que vous avez toujours voulu savoir sur le xxx sans jamais oser le demander Pour cela, une belle Foire Aux Questions aborde les questions administratives et contractuelles des futurs possesseurs de domaines Quelques 10 dollars annuels alimenteront l'IFFOR Internation Foundation for Online Reponsablity , qui a pour mission d'animer la communauté du divertissement en ligne pour adultes, en publiant notamment des chartes de bonnes conduites Une de ces chartes alimente directement une annexe aux contrats d'ICM Registry en définissant les règles de base En y regardant de plus près, certains paragraphes font alors directement allusion aux contenus qui seraient associés aux domaines xxx F Consent to Monitoring All registrants in the sTLD must agree to permit automated monitoring of their sites for compliance with IFFOR policies, including without limitation, IFFOR policies requiring site labeling, prohibiting child pornography, and prohibiting content or conduct designed to suggest the presence of child pornography Registrants must agree not to employ technological or other means to defeat or prevent such monitoring Traduction les possesseurs de domaines devront autoriser le contrôle de leurs sites pour compatibilité avec les chartes IFFOR qui requiert la labellisation des sites, interdit la pornographie enfantine, et ne devront pas employer de moyens technologiques ou autres qui empêcherait ces contrôles H Prohibition on Malicious Conduct No registrant shall use or permit use of a XXX domain name for or in connection with email spoofing, phishing, spam, or other forms of malicious behavior, in accordance with specifications and policies issued by IFFOR from time to time Traduction les possesseurs de domaines ne devront pas utiliser ceux-ci pour des actions de phishing, spam ou autres formes de comportements malicieux, en accord avec les chartes IFFOR Les services DNS, modérateurs de contenu Selon les règles IFFOR énoncées ci-dessus, les services DNS proposés autour des xxx s'éloignent un peu plus de leur mission d'origine, à savoir transformer une adresse IP en nom et vice-versa Ils stigmatisent une industrie sectorielle et garantissent le contenu utilisé par leur biais Il est vrai que nous pouvons aussi considérer que les domaines de premier niveau tel ou travel stigmatisent également une industrie sectorielle, mais ces secteurs là regroupent de nombreux domaines d'activités tels que des équipementiers, des distributeurs, des sociétés de services, des sites d'informations, des forums utilisateurs etc Cependant les autres domaines de premier niveau ne positionne aucun système de contrôle du contenu associés à leurs domaines En exploitant un site web sous domaine xxx, vous adoptez également les règles de contrôle de contenu qui pourraient être mises en place par le bureau d'enregistrement Rassembler pour mieux régner A l'opposé de l'adage diviser pour mieux régner , la stratégie de certains états seraient donc de rassembler les contenus qui leur semblent scandaleux sous la même bannière, en utilisant le système d'extension xxx Ainsi poussés vers des domaines sectoriels, sous couvert de chartes de bonne conduite et de respectabilité nouvelle aux yeux de leurs détracteurs, les industriels se retrouveront enfermer au sein d'un enclos numérique Un récent article de Clubic fait état de l'organisation d'une probable manifestation des acteurs de l'industrie du divertissement pour adultes aux Etats-Unis Ces derniers dénoncent en effet le risque de censure et de blocage des sites, le filtrage au niveau DNS devant de fait un jeu d'enfants pour les professionnels de la sécurité Politique, Argent et Sexe Comme le révèle cet article de l'Express, le débat se déroule autour de pressions de la part des gouvernements qui souhaitent réguler le réseau et son contenu , de la part d'investisseurs le propriétaire de ICM Registry a investi 10 millions de dollars et souhaitent en récupérer 200 millions par an et de la part des défenseurs de libertés Nous n'en sommes pas encore au marquage des paquets TCP malicieux, comme l'annonçait le 1er avril 2003, la RFC The Security Flag in the IPv4 Header , mais l'adoption des domaines xxx donne de l'espoir aux professionnels en charge du filtrage de contenu Si les responsables de l'ICANN nous lisent, je souhaiterai moi aussi proposer quelques nouveaux domaines de premier niveau pour faciliter encore plus le travail quotidien des responsables sécurité du monde entier Domaines food pour tous les contenus associés à l'alimentation Domaines games pour tous les contenus associés au jeu Domaines music pour tous les contenus associés à la musique Domaines sport pour tous les contenus associés aux sports Je vous laisse ensuite adopter vos politiques de filtrage en fonctions de ces nouveaux domaines Egalement à propos des services DNS Les services DNS, talon d'Achille des cyber-criminels http://www.secuobs.com/revue/news/293526.shtmlhttp://www.secuobs.com/revue/news/293526.shtml Secuobs.com : 2011-03-17 12:08:29 - Fr Orange Business Sécurité - C'est officiel Depuis quelques jours, Twitter propose de chiffrer l'ensemble des connexions via le protocole SSL Secure Socket Layer Vous allez désormais pouvoir twitter en tout tranquillité et vous protéger d'attaques de vol de sessions Une fois connecté sur votre compte Twitter, 4 étapes suffisent pour activer cette option HTTPS uniquement 1 Cliquez sur Profil OBS_TwitterPasseAuSSL_1_Profilpng 2 Ensuite selectionnez Editez votre profil -- OBS_TwitterPasseAuSSL_2_EditerProfilpng 3 Tout en bas de la page, cochez la case Toujours utiliser HTTPS puis cliquez sur Enregistrer OBS_TwitterPasseAuSSL_2_HTTPSUniquementpng Des sessions Twitter sécurisées contre les écoutes Avec cette fonction d'activée, c'est l'ensemble de vos connexions et échanges qui seront sécurisées Jusqu'ici, seule la phase d'authentification était sécurisée via SSL Bien sur, il restait possible de se connecter à Twitter via une URL en https https wwwtwittercom Cela n'était ni naturel ni très convivial donc peu de personnes l'utilisaient Cette option vient simplifier grandement les choses Protection contre les écoutes sur réseaux Wifi ouverts Une fois la reconfiguration effectuée, toutes les connexions à Twitter basculeront automatiquement en HTTPS une fois passée la phase d'authentification Simple efficace Vous serez protégé d'attaques même lorsque vous serez connecté sur un réseau wifi ouvert comme celui d'un café ou d'un restaurant Les attaques via des outils comme FireSheep seront donc contrées En situation de mobilité Les applications officielles Twitter pour iPhone et iPad intégrent déjà le support et l'utilisation du protocole SSL Cette nouvelle fonction HTTPS uniquement n'est donc utile que pour les connexions effectuées depuis un portable ou un ordinateur de bureau Une limitation cependant à cette fonction Elle ne fonctionne pas les connections au portail mobile de Twitter http mobiletwittercom Dans ce cas de figure, il faut se connecter explicitement au site via une URL en HTTPS donc https mobiletwittercom Restez donc vigilant Mettez à jour vos bookmarks pour rendre ce détail transparent http://www.secuobs.com/revue/news/292246.shtmlhttp://www.secuobs.com/revue/news/292246.shtml Secuobs.com : 2011-03-17 07:34:31 - Fr Orange Business Sécurité - Les donneés stockées dans le Cloud doivent être protégées contre les accès et les modifications non-autorisées Plus le niveau de protection proposé sera élevé et complet, plus le volume et la variété des données qui iront en croissant La littérature sur le sujet est abondante mais parfois un peu confuse et souvent parcellaire Je vous propose de partager avec vous quelques idées sur ce thème http://www.secuobs.com/revue/news/292212.shtmlhttp://www.secuobs.com/revue/news/292212.shtml Secuobs.com : 2011-03-15 15:24:49 - Fr Orange Business Sécurité - Les récents évenements ont démontré la dangerosité des fichiers PDF Ils ont été directement mis en cause comme l'un des moyens utilisés pour attaquer le ministère de l'Economie et des Finances Les fichiers PDF ont la faveur des cybercriminels Ils sont un moyen particulièrement efficace pour attaquer au cœur même d'un réseau d'entreprise Décryptage de cette tendance et recommandations http://www.secuobs.com/revue/news/291722.shtmlhttp://www.secuobs.com/revue/news/291722.shtml Secuobs.com : 2011-03-09 10:56:40 - Fr Orange Business Sécurité - Miniature de l'image pour C PADLOCKgif Que vous soyez responsable d'un projet, d'un service bureautique, d'une mission de développement ou de tout autre activité en lieu direct avec les utilisateurs, vous avez sans doute au moins une fois entendu ces derniers vous dire Pourquoi tant de contraintes sur les mots de passe La réponse tient en un mot Robustesse Plus le mot de passe sera robuste et plus il résistera à une tentative de cassage A la manière d'un cadenas ou d'un antivol à code, la robustesse déterminera bien souvent le temps que mettre l'attaquant à en venir à bout La notion de robustesse dépend du type de menaces Ici nous adresserons les menaces liées à l'attaque ou cassage de mot de passe par force brute Attaque par force brute L'objectif d'une attaque par force brute est de tenter de découvrir un mot de passe en essayant toutes les combinaisons possibles - dans le cas d'une application ou d'un système en ligne, l'attaquant tente sa chance en espérant obtenir un écran différent de la mire d'authentification ce qui lui indiquera le succès de son opération - dans le cas où des données cryptées auraient été volées, l'attaquant tente là aussi sa chance en espérant obtenir un contenu clair fichier crypté ou un mot de passe crypté identique attaque par comparaison des résultats Note qui n'a jamais tenté une attaque par brute force sur le vieux cadenas à code de sa valise après avoir oublié le code configuré Critères de robustesse Dans le contexte choisi, trois critères sont à prendre en compte pour assurer la robustesse de vos mots de passe - la longueur du mot de passe plus il est long et plus le nombre de combinaisons est grand - la taille de l'alphabet utilisé plus l'alphabet est grand et plus les combinaisons sont nombreuses - la durée de vie du mot de passe moins longtemps il est exposé et moins il est vulnérable Il est essentiel de préciser ici que nous écartons l'hypothèse d'attaques de type Social Engineering car il exploite d'autres faiblesses que celles inhérentes à la robustesse d'un mot de passe Outillage De nombreux outils disponibles publiquement, permettent de générer un mot de passe, qu'il s'agisse d'une interface pour les utilisateurs ou d'une librairie pour les développeurs Néanmoins, il est judicieux de constater que la multiplication des mots de passe session système, boîtes aux lettres, interfaces web, sites de eCommerce, sites des réseaux sociaux ne permet pas aux gestionnaires de comptes d'imposer une politique visant à générer un mot de passe pour l'utilisateur La tendance, la plus naturelle par ailleurs, consiste à laisser l'utilisateur définir lui-même son mot de passe en appliquant lors de cette procédure des contraintes de robustesse utilisation d'un majuscule au moins, d'un caractère spécial, d'un chiffre Comment définir alors la politique de robustesse et les contraintes à appliquer Voici 4 outils en ligne permettant à tout un chacun d'aborder cette question de manière ludique et pédagogique comme dit le proverbe inutiles donc indispensables How Secure Is My Password A quel point mon mot de passe est-il sûr le site http howsecureismypasswordnet tente d'y répondre de manière simple et vulgarisée Il affiche à l'utilisateur le temps nécessaire pour casser un mot de passe en se basant sur une puissance machine capable d'analyser 10 millions de combinaisons par seconde Robustesse-Mot-de-Passe-1png Niveau pédagogique Faible Niveau de vulgarisation Fort Population concernée des utilisateurs à sensibiliser Remarques sur l'outil l'affichage d'une unité de temps renforce le côté sensibilisation Microsoft Password Checker Intégré dans la rubrique sécurité des PC du site Microsoft, l'outil Password Checker disponible à l'adresse https wwmicrosoftcom security pc-security password-checkeraspx n'est pas à la hauteur de ce que pourrait offrer le géant du logiciel Robustesse-Mot-de-Passe-2png Niveau pédagogique Faible Niveau de vulgarisation Faible Population concernée des utilisateurs non-initiés à la sécurité à sensibiliser Remarques sur l'outil l'utilisation de simples couleurs relève du jeu éducatif pour enfants Password Meter Beaucoup plus élaboré que les deux outils précédents, http wwwpasswordmetercom vous informe de la robustesse de votre mot de passe en détaillant les critères de notation utilisés Ainsi il vous indiquera pour chacun des critères de robustesse si votre mot de passe y répond de manière rédhibitoire, insuffisante, suffisante ou exceptionnelle Robustesse-Mot-de-Passe-3png Niveau pédagogique Fort Niveau de vulgarisation Moyen Population concernée des personnes souhaitant aborder les critères de robustesse Remarques sur l'outil à première vue rebutant, l'outil s'avère très pédagogique Passwords Strength Test Dans un registre proche de l'outil précédent, http rumkincom tools password passchkphp présente une interface austère mais riche de quelques informations importantes Le résultat des tests effectués détaille de manière succincte les métriques utilisées pour la note finale longueur de l'alphabet, niveau d'entropie Accolée à la note globale, un texte permet à l'utilisateur de comprendre dans quelque contexte sont mot de passe est utilisable et quelles sont éventuellement les axes d'amélioration du score Robustesse-Mot-de-Passe-4png Niveau pédagogique Moyen Niveau de vulgarisation Moyen Population concernée des personnes souhaitant aborder les critères de robustesse Remarques sur l'outil l'interface relativement austère n'incite pas à l'utilisation Notes complémentaires Les technologies utilisées par les sites de ce type s'appuient sur le JavaScript des navigateurs web En règle générale, aucune donnée n'est transmise au serveur, ceci limitant le risque d'avoir un attaquant masqué derrière le site hébergeant l'outil Néanmoins, il est conseillé de ne pas taper son mot de passe mais une déclinaison de ce dernier en décalant ou en inversant des caractères par exemple Les sites proposés ici sont de langue anglaise et ne faciliteront pas forcément leur compréhension par une population en maitrisant pas cette langue Si vous disposez de sites en langue française, pédagogiques et non publicitaires des outils universitaires par exemple , ils seront volontiers cités dans cet article L'article ne s'attarde pas ici sur les mécanismes d'utilisation de dictionnaires En effet, de nombreux outils d'attaque par force brute commencent leurs tests par des combinaisons prédéfinies liste de prénoms, de noms de villes, de noms communs, accélérant ainsi la vitesse de l'attaque Des mécanismes plus complexes comme l'utilisation de Tables Arc-en-Ciel permettent également d'optimiser de manière conséquente le temps nécessaire au cassage d'un mot de passe http://www.secuobs.com/revue/news/290388.shtmlhttp://www.secuobs.com/revue/news/290388.shtml Secuobs.com : 2011-03-08 08:03:53 - Fr Orange Business Sécurité - Miniature de l'image pour C FIREWALLgifIl fut un temps où de nombreux architectes réseaux et systèmes s'arrachaient les cheveux pour optimiser au mieux leur infrastructure d'hébergement web La raison principale Offrir une qualité de service à la hauteur de la volumétrie des données distribuées aux visiteurs de leur s sites s web Puis vinrent sur le marché des solutions de Content Delivery Network, abrégées sous l'acronyme CDN, offrant à ces mêmes architectes un réseau de serveurs capables de distribuer les données via l'utilisation de mécanisme de cache http://www.secuobs.com/revue/news/290067.shtmlhttp://www.secuobs.com/revue/news/290067.shtml Secuobs.com : 2011-02-17 09:35:30 - Fr Orange Business Sécurité - Miniature de l'image pour S INTERNATIONALgif Nos armées ont pour mission de protéger terre, mer, air et réseaux gouvernementaux , c'est en résumé ce que vient d'annoncer William Lynn, le Secrétaire Adjoint à la Défense des Etats-Unis Invité pour le 20ème anniversaire de la RSA Conference , il a indiqué que le ministère de la Défense DoD communiquera bientôt sa nouvelle stratégie complète de sécurité cyber qui reconnaît explicitement le cyberespace comme un nouveau champ de bataille http://www.secuobs.com/revue/news/285881.shtmlhttp://www.secuobs.com/revue/news/285881.shtml Secuobs.com : 2011-02-14 12:17:54 - Fr Orange Business Sécurité - On parle beaucoup de sensibilisation voici quelques idées de slogan pour vos campagnes de sensibilisation 1 Attention vous manipulez des matières dangereuses B FACTORYgif 2 Un mot de passe c'est comme une brosse à dents cela se change icones_ 2 1x7gif 3 Vous fermez bien votre porte à clé, alors pourquoi ne pas verrouiller votre poste de travail B HOMEgif 4 Communiquez-vous à tout le monde le numéro de votre carte bleue Alors protégez aussi les données sensibles de votre entreprise S ELECTRON MONEYgif 5 La campagne de vaccination contre la grippe est en cours avez-vous vacciné votre poste C ANTI VIRUSgif 6 Un colis piégé, cela vous parle et un e-mail frauduleux C EMAILgif 7 Un portefeuille perdu, quel embarras et la perte ou le vol de votre Smartphone, y avez-vous pensé Miniature de l'image pour A INSURANCEgif http://www.secuobs.com/revue/news/285051.shtmlhttp://www.secuobs.com/revue/news/285051.shtml Secuobs.com : 2011-02-14 12:17:54 - Fr Orange Business Sécurité - A nous les chaines d'informations spécialisées, la VOD Video On Demand et le surf bien confortablement installé dans le canapé En plus d'être compatibles 3D, les postes de télévision de dernière génération sont désormais connectées à Internet Selon la press-release de Mocana, les TV Internet contiendraient des trous de sécurité tels qu'il est possible d'en prendre le contrôle, détourner leur fonctionnement Une TV Internet n'est en fait rien de moins qu'un ordinateur Toutes les attaques qu'il est possible de lancer à l'encontre d'un ordinateur vont donc à priori fonctionner sur une TV Internet Oui, mais en partie seulement et c'est JavaScript le grand coupable cette fois Vol d'identifiants de connexion Assez aisément, les experts de Mocana a été en mesure de récupérer les identifiants de connexion à des services payants comme la Video On Demand, à des sites contenant des données personnelles photos ou encore à des réseaux sociaux Quand l'on se rappelle que les mots de passe sont très souvent les mêmes sur tous les sites, les conséquences de ce type de failles sont loin d'être faibles Quelques bons points Dans les points identifiés comme étant positifs, on peut retrouver qu'aucun service n'était en écoute sur les interfaces réseau de la TV La surface d'attaque est donc clairement plus réduite que dans le cas ou des services seraient accessibles Le système d'exploitation n'a pu être identifié et les tests de fuzzing réalisés pour tester la résistance du système à des fichiers et contenus spécialement formatés pour pousser le système à planter n'ont pas non plus été probants Processus de mise à jour sécurisé Toujours selon le rapport de Mocana, les fonctions de mise à jour du système d'exploitation firmware ou micro-logiciel des équipements seraient à priori sécurisés Cela devraient permettre de mettre à jour les systèmes pour corriger les failles de sécurité et autres bugs qui ne manqueront pas de pointer le bout de leur nez Les communications utilisant le protocole SSL se sont elles-aussi montrées dignes de confiance car les tentatives d'attaques ont été aussi correctement déjouées Globalement c'est OK A la lecture de ce rapport, même si il est assez court et ne contenant qu'assez peu de détails, on peut en conclure que les TV Internet qui ont été l'objet de ces tests ne sont pas des trous béants Les problèmes sont principalement localisés au niveau du moteur JavaScript utilisé pour l'affichage des fenêtres et contenus Espérons que ce rapport aura pour effet de réveiller les constructeurs afin qu'ils sécurisent mieux leurs équipements PS Le lien vers le rapport PDF de Mocana ne fonctionne pas depuis leur press-release Le rapport est téléchargeable depuis l'article de SecurityWeek Researchers Hack Internet Enabled TVs, Discover Multiple Security Vulnerabilities http://www.secuobs.com/revue/news/285050.shtmlhttp://www.secuobs.com/revue/news/285050.shtml Secuobs.com : 2011-02-14 12:17:54 - Fr Orange Business Sécurité - Le premier concours d'intrusion mis en ligne par pirate-moicom a été un succès C'est le CMS SPIP qui a été mis en pature et c'est au bout de 5h seulement qu'une faille a été découverte et remportée par un jeune homme de 19 d'à peine 18 ans identifié sous le pseudo de Matsuyama En continuité d'un article précédent sur pirate-moi, quelques précisions suite à un échange téléphonique avec Eric Seguinard il y a quelques jours http://www.secuobs.com/revue/news/285049.shtmlhttp://www.secuobs.com/revue/news/285049.shtml Secuobs.com : 2011-02-14 12:17:54 - Fr Orange Business Sécurité - Le cloud est-il une arme de choix pour lancer des attaques en déni de service DDoS Les attaques en déni de service sont en plein boom L'actualité récente de WikiLeaks est un exemple flagrant Comment mettre perspective le Cloud computing et les moyens utilisée pour lancer des attaques en DDoS Le Cloud va-t-il mettre au rencard les botnet et groupes d'hacktivistes Je vous propose quelques éléments de réponse http://www.secuobs.com/revue/news/285048.shtmlhttp://www.secuobs.com/revue/news/285048.shtml Secuobs.com : 2011-02-14 12:17:54 - Fr Orange Business Sécurité - Suite à une demande de leurs collègues de la police Italienne pour des informations concernant 2 bloggeurs la police norvégienne n'a pas fait dans la dentelle Au lien de ne récupérer que les informations recherchées, elle réalise une copie de l'ensemble des disques durs http://www.secuobs.com/revue/news/285047.shtmlhttp://www.secuobs.com/revue/news/285047.shtml Secuobs.com : 2011-02-14 12:17:54 - Fr Orange Business Sécurité - Miniature de l'image pour C VIDEOPHONEgifL'épais brouillard commence à peine à se dissiper au dessus des pistes de l'aéroport de Roissy lorsque j'aperçois la silhouette fine de mon invité dans le hall de l'hôtel Pourquoi cet entretien Vous le saurez à la fin de cet article La nuit a été une nouvelle fois trop courte me confie Dr Black qui termine la rédaction de quelques emails avant de clore la connexion sécurisée de son ordinateur portable et de ranger son dongle 3G dans sa poche Ce n'est pas encore cette fois-ci que nous pourrons profiter d'une bonne table parisienne, mon vol pour Amsterdam est à 13 heures me dit-il en souriant http://www.secuobs.com/revue/news/285046.shtmlhttp://www.secuobs.com/revue/news/285046.shtml Secuobs.com : 2011-01-03 11:54:48 - Fr Orange Business Sécurité - L'année 2010 en quelques chiffres http://www.secuobs.com/revue/news/275423.shtmlhttp://www.secuobs.com/revue/news/275423.shtml Secuobs.com : 2010-12-21 09:03:09 - Fr Orange Business Sécurité - Miniature de l'image pour C SHARE DOCSgifLes services Domain Name System ou DNS sont sans doute parmi les moins connus mais les plus utilisés par les internautes Ils s'avèrent également très pratiques dans les actions cyber-criminelles Permettant d'établir la correspondance entre une adresse IP et un nom de serveur, ces services sont à la base de pratiquement tout envoi de courrier électronique ou toute consultation de sites web Approche technique Les différentes techniques liées à l'utilisation des services DNS par les organisations cyber-criminelles vous ont été souvent présentées sur ce blog, notamment dans l'article Fast-Flux et double Fast-Flux Techniques de résilience de sites 'douteux' Qu'il s'agisse des communications entre les Malwares et les serveurs Command Control des Botnets, ou bien encore des artifices utilisés lors d'opérations de Phishing, le protocole DNS est souvent la clé de la réussite pour les attaquants En 1995, Florian Weimer présente dans un document intitulé Passive DNS Replication les principes d'une méthodologie de collecte et d'analyse des requêtes DNS Son outil, dnslogger, se positionne comme une sonde passive sur un réseau opérant des serveurs cache DNS http://www.secuobs.com/revue/news/273278.shtmlhttp://www.secuobs.com/revue/news/273278.shtml Secuobs.com : 2010-12-09 11:23:51 - Fr Orange Business Sécurité - Cet article s'inscrit dans la ligne directe de l'article du 6 septembre Cartographier un botnet via GoogleMaps qui présentait comment j'avais mis un visage sur un réseau de machines zombies en le cartographiant via GoogleMaps OBS_CartographieBotnetGoogleMaps_LesScripts_Screenshot1pngCarte GoogleMaps générée avec les scripts et fichiers mis à disposition Passons à la technique Il est maintenant temps de rentrer dans les détails de mise en œuvre afin que vous puissiez faire de même de votre coté Une fois n'est pas coutume, on va faire dans le code source Au menu, un peu de Perl suivi d'un script en Python et en dessert du Javascript Je vous rassure Ce qui a été fait reste assez simple et pourra facilement être reproductible voir même étendu http://www.secuobs.com/revue/news/270501.shtmlhttp://www.secuobs.com/revue/news/270501.shtml Secuobs.com : 2010-12-08 17:45:18 - Fr Orange Business Sécurité - 2-people-shaking-handsgifChapitre 2 Impacts et limites 2 2 écrit par Arnaud GARRIGUES et Florent COTTEY 3 et l'impact pour les gouvernements D'une certaine manière, cet ensemble de solutions tend à apporter une forme de contrôle sur les activités des utilisateurs sur Internet En effet, cela reviendrait à déclarer son identité à chaque visite sur un site comme semble le souhaiter un projet de loi déposé au Sénat par le sénateur Jean Louis MASSON a proposé une loi dans le but d'interdit l'anonymat sur les blogs Ainsi, pour reprendre ce souhait politique, chaque blogueur rédigeant un article ou émettant un commentaire serait connu et enregistré Il est vrai que cette faculté de dissimulation est problématique De ce fait, beaucoup de délits liés à l'opinion incitation à la haine, diffamation sont très difficilement punissables sur Internet Mais cela va plus loin En effet, les criminels de tout poil ont vite compris l'intérêt de ces capacités à se dissimuler sur Internet pour perpétrer ou organiser leurs méfaits Il y a donc un enjeu de sécurité dans l'identification C'est pourquoi l'identité est l'objet de tensions et d'initiatives de la part des autorités ou des législateurs HADOPI, quoiqu'on en dise, repose sur un problème d'identification ou encore la CNIL tente d'imposer un régime de protection de l'utilisateur c'est l'autre aspect de la sécurité Il n'est donc pas étonnant que les initiatives se multiplient à la fois pour mieux protéger l'utilisateur mais aussi pour mieux protéger la société Le débat se pose alors sur le juste équilibre entre la sécurité de la société et les droits de l'individu Ainsi, on connait des cas où la carte d'identité est exigée avant la moindre publication sur Internet http://www.secuobs.com/revue/news/270263.shtmlhttp://www.secuobs.com/revue/news/270263.shtml Secuobs.com : 2010-12-07 17:51:25 - Fr Orange Business Sécurité - saisieecranvideoalbanjpgLe film que vous allez voir a été réalisé par Orange Business Services en novembre 2010 pour montrer les usages des Smartphones et apporter des réponses et recommandations à l'utilisateur Mr Pignon est un cadre supérieur qui prend toutes les mesures nécessaires pour protéger ses informations confidentielles stockées sur son ordinateur et dans son bureau Son Smartphone ne le quitte jamais car il trouve ce petit objet fort pratique pour sa vie personnelle et professionnelle La veille d'un rendez-vous client important, il oublie son Smartphone à la gare en prenant le train qui le ramène chez lui Malheureusement, son Smartphone tombe dans les mains d'une personne malveillante qui va usurper l'identité numérique de Mr Pignon pour obtenir des informations confidentielles et nuire à son image Le lendemain, au moment de rencontrer son client, celui-ci est furieux Furieux d'avoir reçu certains messages provenant, a priori, de Mr Pignon Mr Pignon ne comprend pas comment cela a pu se réaliser malgré ses démarches de déclaration de perte de son terminal Les recommandations expliqueront comment limiter ces risques et quelles sont les démarches à entreprendre si l'on perd son Smartphone, souvent synonyme de perte de son identité numérique a href http cdnstreamlikecom hosting orange-business embedPlayerphp permalink 3331550bd54d62adcbd493ab784bbc1d Les smartphones et la sécurité appliquée Réalisation Alban ONDREJECK, Sylvie GUEGAN, Alexandra OPERTO http://www.secuobs.com/revue/news/269974.shtmlhttp://www.secuobs.com/revue/news/269974.shtml Secuobs.com : 2010-12-07 12:33:22 - Fr Orange Business Sécurité - Miniature de l'image pour 5_minutesjfjpgCe 6ième épisode des 5 minutes du professeur Audenard a pour thème le réseau informatique anonyme TOR Ce sera l'occasion de découvrir les principes du onion routing et des principes de sécurité permettant d'accéder à Internet de façon anonyme Comment l'idée est venue C'est tout simplement à cause de l'actualité autour de Wikileaks Car oui, le niveau des brèves de comptoir des bistrots français vient de faire un saut quantique vers le haut Bon, j'exagère peu mais à peine C'est lors d'une soirée avec des amis que le sujet Wikileaks est arrivé sur la table Envoyer des données à Wikileaks en toute confidentialité Rapidement, les échanges se sont portés sur les les moyens utilisables par un informateur pour transmettre des informations sensibles à Wikileaks, le tout de façon simple tout en lui assurant un très haut niveau de confidentialité En effet, un informateur voudra surement rester caché, et ce même vis-à-vis des personnes de Wikileaks a href http cdnstreamlikecom hosting orange-business embedPlayerphp permalink 910e8d5a45fd458344ee17185e1de0f1 Le routage en couches d'oignon L'un des principes fondamentaux d'un réseau comme TOR c'est le routage en mode bulbe d'oignon onion routing Dans un oignon, chacune des couches de celui-ci n'est en contact avec celles qui immédiatement adjacentes Impossible pour une couche de savoir combien il y a de couches au dessus ou en dessous Tout ce qu'elle peut connaitre de son environnement extérieur ce sont les couches directement et immédiatement en contact avec elle http://www.secuobs.com/revue/news/269904.shtmlhttp://www.secuobs.com/revue/news/269904.shtml Secuobs.com : 2010-12-06 11:29:35 - Fr Orange Business Sécurité - P HOMEWORKERgifChapitre 2 Impacts et limites 1 2 écrit par Arnaud GARRIGUES et Florent COTTEY Après avoir décrit dans un article précédent le fonctionnement et les composantes du nouveau système de gestion des identités proposé par le cyberczar américain, nous nous proposons aujourd'hui d'établir les impacts pour les usagers et les limites de cette nouvelle approche 1 Quels impacts pour les utilisateurs 11 Une meilleure protection de l'identité Incontestablement, cet ensemble de solutions propose une amélioration de la gestion de l'identité en recentrant celle-ci autour de l'utilisateur il est conscient et acteur de son identité sur Internet Pour le moment, le document semble supposer une forme d'adhésion de l'utilisateur, ce qui laisse penser que celui-ci devra décider d'entrer dans le système Les utilisateurs pourront ainsi facilement s'authentifier sur une multitude de site sans avoir à s'inscrire à chaque fois Cela pourrait même devenir transparent pour eux et même à leur insu Prenons l'exemple d'une épouse qui doit utiliser Internet pour consulter les résultats médicaux de son conjoint L'hôpital et la législation en vigueur exigent un contrôle de l'identité plus poussé ce qui suppose l'utilisation de techniques comme l'authentification forte avec PKI, certificat sur USB Ce mode d'échange sécurisé depend notamment de la politique de sécurité et de confidentialité déclarée par l'hôpital auprès des RP Relaying Party et adoptée par les différentes parties prenantes Cependant, l'autorisation qui lui est faite dépend d'une action volontaire de son conjoint Fort de son identité contrôlée par les IdP, ce dernier a pu autoriser, au sein de son AP Attributes Provider , son épouse à accèder à ces données Cette dernière, pouvant prouver son identité grâce à l'IdP, peut initier une transaction sécurisée avec l'hôpital qui contrôlera sa légitimité à accèder aux résultats médicaux en quesion Dans ce dernier cas, nous retrouvons les 3 objectifs recherchés le besoin d'information de l'hôpital et de l'épouse celui de légitimer un transfert d'information, celui d'accéder à une information la protection des données personnelles restreindre les accès aux informations personnelles au stricte nécessaire ou en recueillant l'autorisation explicite du possesseur Sécuriser la transaction de bout en bout en fonction des besoins utilisation de certificat, de PKI http://www.secuobs.com/revue/news/269598.shtmlhttp://www.secuobs.com/revue/news/269598.shtml Secuobs.com : 2010-12-03 14:55:13 - Fr Orange Business Sécurité - Piratemoi_LogopngAu sein des entreprises, la sécurité des applications web est un sujet délaissé par de nombreuses directions métiers Faites le test vous-même Posez la question Tu connais le Cross-site Scripting à l'un des développeurs ou à un administrateur système de votre société En réponse à cette question, il y a de fortes chances que vous obteniez ou des yeux globuleux ou alors une question en retour du genre le cross quoi Bingo, les personnes concernées n'ont pas regardé le film hier soir Si cela se trouve, votre site Internet diffuse des attaques ou sert de base arrière pour un site de phishing Un concours de piratage d'applications web Le site pirate-moicom propose une approche plutôt originale Tous les mois, une nouvelle application web va être mise en ligne sur des serveurs dédiés L'objectif à atteindre est simple Arriver à trouver une faille pour prendre le contrôle de l'application La première personne arrivant à l'objectif fixé remportant un prix Pour le premier challenge, le prix est plutôt sympathique un iPad A vos marques, prêt Partez Non, stop le premier challenge n'ouvrira que le 1er janvier vous avez donc le temps d'aiguiser vos outils et vos techniques d'intrusion - Une initiative d'experts dans le domaine de la sécurité J'ai eu l'opportunité de rentrer en contact avec Eric Seguinard, l'une des personnes derrière le site pirate-moicom Lors d'un échange téléphonique il m'a décrit quelles étaient les motivations et les moyens mis en place pour ce projet Dans le cadre des activités de sa société securi-toilecom, Eric a pu constater que la sécurité des applications web est un sujet orphelin et qu'il souffrait d'un cruel manque de visibilité C'est avec 3 autres personnes qu'il a décidé de lancer le site pirate-moicom L'approche choisie étant volontairement un peu décalée de celles d'autres acteurs du même domaine L'originalité de leur démarche avec pirate-moicom est double provoquer les esprits et découvrir de nouvelles failles pour les corriger http://www.secuobs.com/revue/news/269172.shtmlhttp://www.secuobs.com/revue/news/269172.shtml Secuobs.com : 2010-12-03 13:25:48 - Fr Orange Business Sécurité - B TOWN HALLgifChapitre 1 Quelles sont les nouveautés écrit par Arnaud GARRIGUES et Florent COTTEY Cher lecteur, nous allons te faire découvrir aujourd'hui le lien qui unie la sécurité sur Internet et les enjeux politiques des Etats les plus modernisés Pour cela nous nous appuierons sur l'actualité, riche comme à l'accoutumée, venue nous suggérer cet article Il y a quelque temps, un des conseillers au plus haut niveau du Président OBAMA a présenté un plan visant à créer un nouvel écosystème de l'identité sur Internet Pour comprendre les enjeux sous-jacents, il faut avoir en tête qu'Internet est d'une part une immense galerie marchande D'autre part, avec le développement des services publics en ligne ou plus généralement des services rendus à l'individu, au citoyen, au consommateur, la protection de l'identité de citoyens numériques devient indispensable Cela nécessite notamment de nouveaux moyens de faire respecter la loi Voila pourquoi le cyberczar du Président américain, Howard SCHMIDT, vient de publier un document sur la stratégie nationale des Etats-Unis à propos l'identité de confiance dans le Cyberspace Le cyberczar est l'individu chargé de coordonner les efforts de sécurité sur Internet menés par l'administration américaine actuelle Ce n'est donc pas un document à prendre à la légère car il s'agit d'un personnage de premier plan, placé directement auprès du Président des Etats-Unis Il s'inscrit dans une ambitieuse politique qui comporte un volet militaire et un volet civil et qui tend à sécuriser Internet Son équivalent français pourrait être Mme Nathalie Kosciusko-Morizet, dans son ancien rôle de Secrétaire d'Etat chargée de la prospective et du développement de l'Economie Numérique Nous allons commencer par présenter les défis à relever et les opportunités à créer Puis nous en reviendrons à l'importance que tout cela peut avoir pour un gouvernement ou, plus généralement, pour les différents types d'organisations que l'on rencontre sur Internet http://www.secuobs.com/revue/news/269158.shtmlhttp://www.secuobs.com/revue/news/269158.shtml Secuobs.com : 2010-12-01 18:23:19 - Fr Orange Business Sécurité - Miniature de l'image pour 5_minutesjfjpgTout le monde à reçu des mails non-sollicités dans sa boite aux lettre électronique En cette période de fin d'année nos boites vont être prises d'assaut promotions pour des objets de luxe à des prix défiants toute concurrence des médicaments pour améliorer ses performances sexuelles ou encore nous proposer de toucher 100 millions de dollars d'un lointain parent inconnu Parmi ces messages se glisseront des mails contenant des virus ou autres attaques informatiques Bref, le spam tout le monde connait Mais comment ça marche réellement C'est le sujet de ce 5ième épisode des 5 minutes du professeur Audenard http://www.secuobs.com/revue/news/268604.shtmlhttp://www.secuobs.com/revue/news/268604.shtml Secuobs.com : 2010-11-25 17:43:30 - Fr Orange Business Sécurité - Miniature de l'image pour 5_minutesjfjpgCe 4ième épisode des 5 minutes du professeur Audenard va de pair avec le premier épisode qui présentait les principes de fonctionnement du chiffre à clefs symétriques Transférer la clef pour déchiffrer Pas simple Comme cela a été présenté, le chiffrement à clefs symétriques pose un problème de taille En effet, pour déchiffrer le message il est nécessaire de connaitre la clef qui a servi à chiffrer Cette clef doit donc être transmise de façon à ce que personne d'autre que le destinataire légitime ne puisse en avoir connaissance Pas simple comme problème On peut essayer de mettre cette clef dans un message séparé, la communiquer via téléphone, envoi d'un SMS ou autre canal différent de celui utilisé pour envoyer le message chiffré mais tout cela ne reste pas très pratique Cela reste néanmoins possible pour des usages ponctuels mais c'est clairement ingérable si les échanges sont fréquents ou si les contraintes de temps sont fortes 4 les 5 minutes du professeur Audenard -chiffrement asymetrique http://www.secuobs.com/revue/news/267467.shtmlhttp://www.secuobs.com/revue/news/267467.shtml Secuobs.com : 2010-11-24 13:25:33 - Fr Orange Business Sécurité - Miniature de l'image pour S INTERNATIONALgifL'information a été confirmée le 17 novembre par la très sérieuse commission US-China Economic and Security Review Commission dans son dernier rapport annuel à destination du Congrès américain L'annonce est digne des grands blockbusters Hollywoodiens Durant 18 minutes le 8 avril 2010, 15pourcents du trafic Internet en provenance des Etats-Unis, et de certains autres pays, a été routé sur les équipements de l'opérateur China Telecom Les acteurs La commission US-China Economic and Security Review Commission a pour objectif de surveiller, d'enquêter, et de soumettre au Congrès un rapport annuel sur les implications de sécurité nationale du commerce bilatéral et des relations économiques entre les États-Unis et la République populaire de Chine, et de formuler des recommandations à des fins d'actions législatives et administratives La société China Telecom est l'opérateur d'état de la téléphonie en Chine Fort de 670000 employés, il revendique 189 millions d'abonnés en téléphonie fixe, 56 millions d'abonnés en téléphonie mobile et environ 53 millions d'abonnés Internet La société McAfee, éditeur et fournisseur de solution de sécurité informatique C'est sur le blog McAfee Labs que va tout d'abord être confirmée la nouvelle dans un billet très explicite intitulé US-Based Internet Traffic Redirected to China http://www.secuobs.com/revue/news/267163.shtmlhttp://www.secuobs.com/revue/news/267163.shtml Secuobs.com : 2010-11-16 17:47:49 - Fr Orange Business Sécurité - logopngOrange Business Services est sponsor silver du GS day qui a lieu à Paris, espace saint martin dans le 3ème, ce 30 novembre 2010 Cette année, le thème sera la fusion des mondes professionnels et personnels Il sera organisé autour de conférences techniques, organisationnelles et juridiques Pour vous inscrire Inscription Le programme des GS Days est en ligne SPONSORS G DATA, ITRUST, HSC, EDELWEB, M86 SECURITY, EFFIXIO, DATA SECURE TECHNOLOGY, ESET-NOD32, SECUNEO, GRIDSURE, NETASQ, PRIMX TECHNOLOGIES, SCRT http://www.secuobs.com/revue/news/265220.shtmlhttp://www.secuobs.com/revue/news/265220.shtml Secuobs.com : 2010-11-15 08:34:28 - Fr Orange Business Sécurité - Miniature de l'image pour mediagif Publiée le 1er avril 2003, la RFC 3514 The Security Flag in the IPv4 Header s'inscrivait dans la tradition des canulars humoristiques souvent publiés au sein de la communauté informatique Cette RFC Requests For Comments proposait d'indiquer à l'aide d'un bit non utilisé dans l'entête des paquets IPv4, l'aspect malintentionné ou pas de ces paquets afin de simplifier le travail des équipements et logiciels de sécurité informatique La proposition Real-time Inter-network Defense Passée l'excitation à l'idée d'une telle implémentation au sein des infrastructures de sécurité des réseaux, il avait fallu se rendre à l'évidence, nous devions nous contenter du canular sans rien espérer de plus Durant l'année 2007, deux RFC ont permis de mieux encadrer les formats d'échanges que pourraient utiliser des systèmes de détection d'incidents RFC 4765 - The Intrusion Detection Message Exchange Format RFC 5070 - The Incident Object Description Exchange Format En ce début novembre 2010, l'Internet Engineering Task Force vient de publier deux nouvelles RFC qui pourraient bien modifier la donne en matière de sécurité RFC 6046 - Transport of Real-time Inter-network Defense RFC 6045 - Real-time Inter-network Defense http://www.secuobs.com/revue/news/264824.shtmlhttp://www.secuobs.com/revue/news/264824.shtml Secuobs.com : 2010-11-13 19:21:02 - Fr Orange Business Sécurité - cloudjpgC'est une bonne nouvelle pour les services de cloud computing La solution logicielle vSphere 40 de VMware a été certifiée au niveau EAL4 selon les critères communs Cette certification concerne l'ensemble des logiciels de la suite vSphere ESX 40, ESXi40 et vCenter Server 40 Ce type de certification, comme les autres d'ailleurs, ne permet de pas de dire que ces logiciels sont sécurisés contre toutes les attaques et qu'ils ne contiennent aucune faille Il s'agit ici plutôt d'une analyse de leur architecture, de leur mode de conception et de développement qui ont été l'objet d'analyses selon des critères de sécurité pré-établis Cette nouvelle certification vient s'ajouter à celles déjà obtenues par VMware pour des versions précédentes Elle s'appliquent à des versions très précises Un contrôle technique ponctuel En faisant le parallèle avec une voiture, celle-ci a passé avec succès le contrôle technique, ce n'est pas pour autant que les freins ne vont pas lâcher après 300 kilomètres, que le conducteur ne va pas s'endormir au volant ou qu'un pneu ne pas éclater Idem, si un hacker de génie trouve le moyen de détourner le système électronique d'ouverture à distance des portes Pour les systèmes informatiques c'est un peu la même chose Si des mots de passe triviaux sont utilisés ou si les correctifs de sécurité non déployés en temps et en heure, alors la sécurité du système peut être compromise Une brique mais pas un système ni un service Donc oui c'est une bonne nouvelle La sécurité de l'une des briques essentielles des offres de cloud computing de type IaaS Infrastructure as a Service a été évaluée de façon plutôt objective Reste à utiliser cette brique de la bonne façon pour délivrer un service lui aussi sécurisé En faisant un autre parallèle, le réseau MPLS d'un opérateur n'est pas forcément sécurisé ni certifié même si il utilise des routeurs backbone qui ont été certifiés La cible d'évaluation pour en savoir plus Pour ceux que cela intéresse, ils trouveront plus d'informations sur la cible d'évaluation disponible sur cette page du site du CSTC Centre de la Sécurité des Télécommunications du Canada Ce document permet de voir quels composants et fonctionnalités ont été évalués Différentiel entre cible d'évaluation et système opérationnel Oui, il est possible d'écarter ce que l'on souhaite d'une TOE Target Of Evaluation certains acteurs ont parfois tendance à écarter un peu trop de choses de la cible de certification, le système tel qu'utilisé dans le vraie vie ne ressemblant que de façon lointaine à ce qui a été certifié Il convient donc de rester vigilant et de ne pas tomber dans le panneau du tampon sécurité que les sont les certifications http://www.secuobs.com/revue/news/264680.shtmlhttp://www.secuobs.com/revue/news/264680.shtml Secuobs.com : 2010-11-10 16:38:26 - Fr Orange Business Sécurité - Miniature de l'image pour 5_minutesjfjpg L'objectif d'une attaque en déni de service vise à rendre inaccessible ou inopérant un site Internet Parmi les attaques les plus fréquemment lancées, ce sont les attaques en déni de service distribué DDoS Distributed Denial of Service qui sont les plus fréquentes Ce type d'attaque s'appuie sur un principe simple, celui du nombre qui fait la force Il suffit de faire en sorte que plusieurs milliers machines sur Internet lancent de façon synchronisée de multiples requêtes vers leur cible Les machines lançant ces attaques peuvent le faire soit à l'insu de leur propriétaire cas d'un botnet ou réseau de machines zombies ou alors le font sur demande explicite et consciente d'une personne cyber hacktivisme Saturation des ressources Dans le deux cas, le résultat est le même les capacités de traitement du site sont dépassées, celui-ci est inaccessible La saturation peut concerner tant la bande passante de l'accès réseau, des tables de session d'un firewall, la CPU des serveurs web, En fonction du point de saturation, on peut constater un effet boule de neige Si c'est la bande passante réseau qui est totalement consommée inutilement alors, non seulement le site visée par l'attaque sera bloqué mais tous les autres serveurs de la plateforme seront aussi inaccessibles http://www.secuobs.com/revue/news/263897.shtmlhttp://www.secuobs.com/revue/news/263897.shtml Secuobs.com : 2010-11-08 13:57:09 - Fr Orange Business Sécurité - icones_ 2 4x6gifLes enfants adorent les bacs à sable espace immense, liberté totale Une seule règle à respecter ne pas franchir les limites du bac Ce concept ne pouvait que séduire les administrateurs en charge du bon fonctionnement des systèmes et garant de la sécurité informatique de ces derniers Contexte actuel La sécurité du poste de travail s'articule de nos jours autour de 4 axes majeurs le suivi des mises à jour du système d'exploitation le suivi des mises à jour d'un anti-virus performant le suivi des mises à jour d'un anti-spyware efficace le suivi des mises à jour des logiciels installés la sensibilisation au quotidien de l'utilisateur du poste Les attentes de l'utilisateur se focalisent plutôt sur les besoins suivants installer la dernière application à la mode installer le dernier utilitaire qui facilite la vie installer la dernière version des logiciels cités ci-dessus Autant vous dire que le système peut rapidement se transformer en véritable musée du logiciel où trôneront fièrement sur votre disque dur les lecteurs multimédia des 5 dernières années, une demi-douzaine d'utilitaires permettant le renommage en masse de photos de vacances, ainsi que quelques dizaines d'applications 30 jours d'essai http://www.secuobs.com/revue/news/263174.shtmlhttp://www.secuobs.com/revue/news/263174.shtml Secuobs.com : 2010-11-03 15:54:00 - Fr Orange Business Sécurité - 5_minutesjfjpgAfin de contrôler les accès distants à un système informatique, il est tout d'abord nécessaire 1 d'authentifier la personne souhaitant se connecter 2 s'assurer qu'elle n'utilise ou ne lance que des actions pour lesquelles elle est autorisée et enfin 3 qu'il soit possible de d'enregistrer ses actions à des fins d'audit ou de contrôle à postériori Dans certains contextes, ces 3 fonctions sont utilisées simultanément Dans d'autres, c'est uniquement la première l'authentification qui est utilisée Tout dépendra du niveau de sécurité souhaité, du nombre d'équipements ou d'utilisateurs, des besoins de contrôle ou encore des obligations légales 3 fonctions essentielles Ces trois fonctions sont regroupées sous le triptyque AAA qui en anglais correspond à Authentication authentification , Autorization autorisation et Accounting comptabilisation Serveur centralisé C'est sur un serveur central que ces 3 fonctions sont accessible pour les clients On parle communément de serveur AAA prononcer serveur triple A Un client envoie une requête et le serveur répond Deux grands types de serveurs AAA se taillent la part du lion D'un coté il y a les serveurs RADIUS et de l'autre les serveurs TACACS Malgré leurs différentes, ces deux protocoles ont un même objectif Authentifier les accès, gérer les droits et tracer les actions effectuées Le tout de façon centralisée s'il vous plait http://www.secuobs.com/revue/news/262113.shtmlhttp://www.secuobs.com/revue/news/262113.shtml Secuobs.com : 2010-11-02 16:43:42 - Fr Orange Business Sécurité - Tout opérateur de services de télécommunications est tenu de mettre en place les moyens nécessaires pour intercepter les communications échangées sur un réseau publique Interception du contenu des communications Une interception légale peut être mise en place pour collecter deux grandes catégories d'informations La première catégorie concerne le quoi , c'est à dire le contenu des communications une conversation entre deux personnes, le contenu de mails, d'une session de messagerie instantanée ou encore des fichiers Interception des informations de signalisation La seconde catégorie concerne plus le qui Quels sont les numéros appelés, les appels ayant aboutis et ceux n'ayant pas débouché sur une conversation Nous sommes plus dans la catégorie des informations dites de signalisation Cette catégorie d'informations est notamment utilisée afin de constituer une carte des personnes impliquées dans des faits délictueux et demander de nouvelles interceptions pour collecter le contenu de communications entre d'autres parties non identifiées de prime abord Interceptions judiciaires et administratives Dans le droit Français, la mise en place d'une interception est encadrée Celle-ci peut être motivée dans le cadre d'une instruction judiciaire Dans un tel contexte c'est le juge d'instruction qui requière l'opérateur ce sont les écoutes judiciaires D'un autre coté, les écoutes administratives peuvent être demandées pour des raisons de défense nationale, de protection des intérêts de l'état, de lutte contre le terrorisme Dans le cas de l'état Français, ce type d'interception est demandé par le premier ministre http://www.secuobs.com/revue/news/261827.shtmlhttp://www.secuobs.com/revue/news/261827.shtml Secuobs.com : 2010-10-22 09:32:56 - Fr Orange Business Sécurité - Miniature de l'image pour S FILTERINGgifDans un article du 27 septembre dernier, le New York Times nous apprend que l'administration américaine souhaite faciliter les moyens d'interceptions et d'écoutes électroniques sur Internet Un projet de loi qui semble ambitieux puisque le décodage des communications chiffrées serait en jeu, ainsi que la mise en œuvre de portes dérobées à tous les niveaux des services d'interception dématérialisés en quelque sorte Petit retour en arrière En 1994, une loi américaine exige des entreprises de télécommunications la mise en œuvre de moyens d'écoutes électroniques sur demandes des autorités judiciaires En plus des opérateurs téléphoniques, sont concernées les entreprises de télécommunications, les fabricants de matériel et les opérateurs de services de voix sur IP En 2006, de nouvelles règles sont introduites afin de faciliter les procédures d'écoutes d'appels téléphoniques via Internet Les bénéficiaires sont les services de police et de renseignements Début 2009, le ministère de la justice dépose une requête en rejet du procès de l'Electronic Frontier Foundation contre la National Security Agency, affirmant que le contentieux sur le programme d'écoute électronique obligerait le gouvernement à divulguer des secrets d'état http://www.secuobs.com/revue/news/259170.shtmlhttp://www.secuobs.com/revue/news/259170.shtml Secuobs.com : 2010-10-18 15:43:41 - Fr Orange Business Sécurité - Les 5 minutes du professeur Audenard c'est une nouvelle série de vidéos présentant de façon didactique les grands principes et moyens utilisés dans le domaine de la sécurité des systèmes d'informations Simplicité et proximité La simplification est de rigueur Ces vidéos n'ont pas vocation à faire de vous une bête monstrueuse de technique sécurité L'un des objectifs est de ressortir avec des idées plus claires pour ensuite creuser par soi-même N'hésitez pas à nous dire si vous souhaitez qu'un sujet particulier soit l'objet d'une vidéo Utilisez la fonction commentaires pour nous soumettre vos idées et propositions Positionner les systèmes entre-eux Maitriser les principes du chiffrement à clefs symétriques est un pré-requis pour toute personne travaillant dans la sécurité et plus largement dans le monde de l'informatique Connaitre les forces et les faiblesses de ce mode de chiffrement permet d'aborder des notions plus complexes et de le positionner vis-à-vis d'autres systèmes Dans le domaine du chiffrement c'est en bande organisée que les algorithmes, clefs et systèmes se retrouvent Tout est dans l'algorithme C'est l'algorithme de chiffrement qui fixe ou définit le type de clefs utilisées Certains utiliseront des clefs symétriques d'autres s'appuieront sur des clefs asymétriques Le plus connu des algorithmes de chiffrement symétriques est peut-être le 3DES qui a été remplacé depuis quelques années par AES Ces systèmes de chiffrement étant particulièrement critiques pour sécuriser les échanges, il est important qu'ils soient sécurisés contre les attaques afin d'être acceptés la plus grand nombre et obtiennent de tous un niveau de confiance fort Une même clef Les algorithmes 3DES et AES ont en commun une propriété commune essentielle C'est la même clef qui est utilisée pour le chiffrement et le déchiffrement On parle aussi de secret partagé ou de clef partagée Légers à mettre en œuvre Hormis cette caractéristique essentielle, ces deux algorithmes ont été conçus de manière à qu'ils puissent être facilement implémentés dans les systèmes Leur simplicité de mise en œuvre à un cout très modéré est d'ailleurs l'un des facteurs ayant permis leur intégration dans des systèmes les plus divers, comme par exemple les cartes bancaires, les périphériques mobiles http://www.secuobs.com/revue/news/257845.shtmlhttp://www.secuobs.com/revue/news/257845.shtml Secuobs.com : 2010-10-16 16:12:29 - Fr Orange Business Sécurité - Une société d'assurance a fait réaliser par un hacker étique des tests de sécurité sur environ 40000 accès wifi présents dans les domiciles de nos amis d'outre-manche Les pieds dans le plat Le constat est sans appel Les hotspots wifi anglais sont des trous en puissance Près de 25pourcents d'entre-eux n'ont aucun mot de passe Si vous êtes assez proche pour capter le signal alors vous êtes connecté C'est clair, pas de prise de tête pour configurer son dernier smartphone ou son imprimante wifi Du bon plug play de base - Environ la moitié ont des mots de passe mais 5 secondes suffisent pour rentrer C'est quoi ta clef wifi La réponse est immédiate sun, dog, mouse, jelly, mika ou encore diana, pourquoi Plusieurs millions Selon les estimations faites il y a un an par le fournisseur d'accès Internet TalkTalk, ce serait près de 7 millions d'accès Internet qui seraient concernés par ce type de problème Ce chiffre concernerait aussi bien les accès Internet des entreprises que ceux des personnes à leur domicile Plus d'un tiers des accès du pays seraient donc in-sécurisés En 2010, le nombre d'accès Internet au royaume-uni est environ de 19 millions Ce serait donc près de 35pourcents des accès Internet du pays qui seraient en dehors des clous coté sécurité Sans avoir de chiffres similaires pour faire le calcul, j'aurai tendance à dire que la proportion est surement à peut près la même pour les accès Internet Français http://www.secuobs.com/revue/news/257559.shtmlhttp://www.secuobs.com/revue/news/257559.shtml Secuobs.com : 2010-10-08 15:54:50 - Fr Orange Business Sécurité - Les sauvegardes c'est important Tout du moins, ce sera important une fois que des données auront été perdues car il n'y avait pas de sauvegarde C'est plutôt de cette façon que cela rendre dans le crane des personnes Un coup de bambou dans les genoux et le message fini par rentrer, c'est comme ça que les choses marchent dans la vraie vie Mais créer des sauvegardes, c'est dupliquer les données Si on veut conserver un niveau de sécurité à peu près constant, il va donc être nécessaire de les sécuriser ces fameuses copies Regardez-vous dans le blanc de l'œil Est-ce que vos sauvegardes sont sécurisées contre les attaques Aller, soyez franc avec vous-même pendant quelques instants bien sur, ne dites rien et posez-vous quelques questions sur vos sauvegardes A quand remonte la dernière sauvegarde Avez-vous un historique clair et immédiatement disponible des données sauvegardées Ou se trouvent physiquement les supports de sauvegarde Combien de supports sont mis en œuvre Ces supports sont-ils physiquement à l'abri Les accès à ces supports sont-ils contrôlés et tracés Quand les derniers tests de restauration ont-ils été fait pour la dernière fois Chiffrer ses sauvegardes Le truc ultime Certains sociétés font le choix de chiffrer les données lors de la sauvegarde Le chiffrement permet de protéger les données contre des menaces comme La réalisation d'une copie par un tiers ou un employé indélicat attaque de dé-duplication ou double-sauvegarde fantôme De rendre inutilisable les données présentes sur un support volé ou perdu De virtualiser la destruction des support en fin de vie La destruction des clefs de chiffrement permettant de détruire virtuellement les données présentes sur les supports http://www.secuobs.com/revue/news/255344.shtmlhttp://www.secuobs.com/revue/news/255344.shtml Secuobs.com : 2010-10-06 13:13:00 - Fr Orange Business Sécurité - icones_ 8 5x8gifLes entreprises se mettent de plus en plus aux réseaux sociaux, les intègrent dans leurs stratégies marketing et communication Il est assez commun de nos jours que les entreprises aient des blogs, un compte twitter, une page facebook etc Les bénéfices de cette présence sur les réseaux sociaux sont multiples communication, image de marque, ecommerce, ressources humaines, veille concurrentielle etc Néanmoins des risques existent piratage de compte, publications trop libres dans lesquelles les entreprises laissent découvrir leurs stratégies, ou leurs éventuelles vulnérabilités Les entreprises qui mettent en place une stratégie sur les réseaux sociaux se doivent de collaborer avec une entité sécurité, question d'e reputation, de maîtrise des traces qu'elles peuvent laisser sur internet Lors d'une émission radio ThémaTIC, Alban Ondrejeck et Christophe Roland reviennent sur ce phénomène des réseaux sociaux en entreprises et expliquent les motivations, les bénéfices mais aussi les risques et menaces d'une telle présence sur internet pour une entreprise Retrouvez l'émission ThémaTIC n 12 Réseaux sociaux et sécurité ici En savoir plus Maitriser les risques et opportunités des applications facebook Vulnérabilité de la couche réseaux sociaux Réseaux sociaux mieux connaitre son ennemi http://www.secuobs.com/revue/news/254676.shtmlhttp://www.secuobs.com/revue/news/254676.shtml Secuobs.com : 2010-10-01 14:51:34 - Fr Orange Business Sécurité - icones_ 2 4x8gif Chers navigateurs web, aujourd'hui le chef vous propose une nouvelle recette pour le dessert les EverCookies Une recette de cookies aussi délicieux que les traditionnels mais plus riches en calories, donc plus difficile à digérer Les ingrédients Inutile de courir tous les marchés de la région pour vos ingrédients, vous trouverez comme pour toutes nos recettes tout ce qu'il vous faut sur Internet Rendez-vous immédiatement sur le site dédié à EverCookie Les ustensiles Côté matériel, il vous est simplement demandé d'héberger quelques fichiers au sein de votre arborescence web 1 fichier Javascript, 2 fichiers PHP et 1 fichier objet Flash Cet au travers de l'API Javascript que vous pourrez utiliser l'ensemble de ces ressources fournies par EverCookie http://www.secuobs.com/revue/news/253467.shtmlhttp://www.secuobs.com/revue/news/253467.shtml Secuobs.com : 2010-09-28 10:54:49 - Fr Orange Business Sécurité - Au lieu d'utiliser le classique login et mot de passe, certains sites Internet utilisent un certificat numérique pour authentifier leurs utilisateurs Avec un tel système, l'utilisateur utilise une clé qui lui a été préalablement été envoyée par la société en charge du site Internet Pour de nombreuses personnes, ce type d'authentification c'est le nec plus ultra et elles sont très fières d'en parler Quand je leur explique que ce n'est pas la panacée et leur en explique les raisons, les dents commencent à grincer Vous avez déclaré vos impôts en ligne Si la la réponse est positive, alors vous avez déjà utilisé ce système permettant d'authentifier de façon extrêmement fiable la personne qui déclare Il faut avouer que la mise en place initiale n'est pas toujours très simple mais a le mérite de fonctionner Pour fonctionner, ce fameux sésame s'appuie sur des principes dit de cryptographie asymétrique , on parle aussi de chiffrement asymétrique bien que ce terme soit un peu réducteur Cryptographie asymétrique Ce système, s'appuie sur des mécanismes de chiffrement dans lequel sont utilisées des clés ayant des propriétés spéciales entre-elles Un tel jeu de clés est constitué de 2 clés associées l'une est privée, l'autre est publique En simplifiant à peine, ce que peut faire l'une, l'autre peut le défaire Un jeu de clé clé privée clef publique est aussi connu sous le nom de biclef Clé publique et clé privée Un message chiffré avec la clé publique ne pourra être déchiffré qu'avec la clé privée correspondante Simple non Pour la signature, c'est l'inverse Pour signer numériquement un message, on utilise la clé privée en guise de tampon Pour vérifier l'authenticité du tampon on utilise la clé publique correspondante Nous reviendrons sur cela prochainement Authentification d'un site web via certificat Quand l'on se connecte à site web sécurisé compte bancaires, page de paiement d'un site de e-commerce , le site web est authentifié par le biais de la clé publique qui nous est envoyée lors de l'établissement de la connexion Avant d'utiliser cette clé, on vérifie si c'est bien celle du site auquel l'on est en train de se connecter Ça c'est le rôle du certificat Dans ce cas de figure, le site Internet démontre qu'il possède bien la clé privée correspondant à celle présente dans le certificat via un principe de signature numérique Le navigateur envoie un message au site web, celui le signe avec sa clé privé et renvoie le résultat Le navigateur vérifie la signature avec la clé publique contenue dans le certificat Si tout est OK, alors la connexion chiffrée est établie http://www.secuobs.com/revue/news/252323.shtmlhttp://www.secuobs.com/revue/news/252323.shtml Secuobs.com : 2010-09-27 11:02:23 - Fr Orange Business Sécurité - C INTERNET NETWORKgif Il y a quelques jours, la société Panda Security publiait un rapport intitulé Social Media risk Index for Small to Medium Sized Businesses Cherchant à étudier le lien entre les activités liées aux médias sociaux et leur incidence sur les risques en terme de sécurité informatique, cette enquête révèle qu'un tiers des 315 entreprises américaines interrogées ont été infectées via les médias sociaux Points clés Parmi les éléments pointés par Panda Security, il est important de noter que pour plus de 50pourcents des entreprises, un usage personnel motive l'accès aux médias sociaux dans pratiquement deux tiers des cas, cet usage personnel est autorisé par l'entreprise plus de 50pourcents des petites et moyennes entreprises ont adopté une politique de gouvernance spécifique aux réseaux sociaux 25pourcents de ces entreprises bloquent d'ailleurs l'accès aux médiaux sociaux les plus populaires pour les autres, seules 25pourcents des entreprises prévoient de mettre en place une politique de gouvernance durant les six prochains mois Principales inquiétudes Comme le note par ailleurs le rapport de cette enquête, outre la perte de productivité des employés, les principales inquiétudes concernent le risque d'infection par un virus ou un malware et surtout le risque de fuite d'informations sensibles En tête des médias sociaux où le risque est fort en termes de violation d'informations à caractère privées, nous trouvons Facebook, Twitter, Youtube et LinkedIn http://www.secuobs.com/revue/news/251917.shtmlhttp://www.secuobs.com/revue/news/251917.shtml Secuobs.com : 2010-09-21 16:18:36 - Fr Orange Business Sécurité - google-authenticator-logopngDésormais, un simple mot de passe ne sera plus suffisant C'est ainsi que l'on peut résumer ce que Google propose pour sécuriser l'accès aux données qui lui sont confiées Authentification à double-facteur Les entreprises, universités ou institutions ayant fait le choix des services payants de Google Google Apps Premier ont désormais la possibilité de renforcer les moyens de contrôler l'accès à leurs données via l'utilisation d'une authentification forte dite à double facteur Cette fonction connue sous le nom de Google Authenticator devra être activée par l'administrateur du compte Ce mécanisme d'authentification est appelé double-facteur car l'utilisateur doit montrer qu'il est possession de deux éléments distincts mais complémentaires 1 Ce qu'il connait son mot de passe 2 Ce qu'il possède physiquement un smartphone avec une application spécifique dans le cas ou un attaquant aurait réussi à voler par exemple via un sniffer ou un trojan le mot de passe d'accès, il restera à la port du système car il possède pas le smartphone et son application Token logiciel pour une sécurité green Ce type de système OTP basé sur un logiciel est aussi connu sous le terme générique de soft-token ou jeton logiciel Il est en plein essor est tend à remplacer des solutions similaires basées sur des systèmes physiques, forcément plus couteux à déployer et à maintenir Quand l'on peut voir la pénétration des smartphones dans un contexte entreprises, c'est effectivement un choix qui fait du sens Ainsi, le smartphone devient un outil pour plus de sécurité Intéressant http://www.secuobs.com/revue/news/250271.shtmlhttp://www.secuobs.com/revue/news/250271.shtml Secuobs.com : 2010-09-20 11:10:55 - Fr Orange Business Sécurité - loupejpgEnfant vous étiez plus souvent le gendarme que le voleur Adulte, vous êtes devenu fan des experts à Las Vegas Malgré tout, cela ne fait pas encore de vous un spécialiste de l'inforensique Qu'est ce que l'inforensique L'inforensique est la formulation en français du concept d'investigation numérique légale, appelé aussi computer forensics dans le monde anglophone Ce concept consiste en l'application de processus et techniques d'investigation permettant de collecter et d'analyser des éléments ayant valeur de preuves en vue d'une procédure judiciaire L'objectif principal est donc ici la récupération et l'analyse de données prouvant un délit numérique http://www.secuobs.com/revue/news/249717.shtmlhttp://www.secuobs.com/revue/news/249717.shtml Secuobs.com : 2010-09-17 13:55:50 - Fr Orange Business Sécurité - Vous le savez surement Un service commercial baptisé IMDDOS permettant de lancer des attaques en déni de service distribué DDoS, Distributed Denial of Service a été récemment découvert par Damballa, société spécialisée dans l'identification des réseaux de machines zombies botnet Une approche commerciale innovante dans son secteur Le service n'est pas nouveau en soi Ce qui est frappe de prime abord c'est que celui-ci a pignon sur Internet pas besoin d'aller sur un obscur forum ou un canal IRC et qu'il s'adresse clairement à tout le monde enfin à ceux qui parlent le chinois et qui ont la volonté d'attaquer un site Internet IMDDOS_Homepage_17-09-2010pngContact direct avec le service client de IMDDOS Pour aller plus loin, nous avons contacté le service commercial de cette société Le contact a été établi via le système de conversation online QQ Chat très utilisé en Chine La réponse a été immédiate et courtoise, notre interlocuteur nous diront il pour simplifier se présentant comme appartenant à l'équipe du service client http://www.secuobs.com/revue/news/248839.shtmlhttp://www.secuobs.com/revue/news/248839.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - Le début du mois d'Aout à été chaud pour Posterous Ce site d'hébergement de blogs a été la cible d'attaques en déni de service Caractéristiques de l'attaque Selon les informations collectées, il s'agissait d'une attaque de type SYN-Flood d'un débit de 500000 paquets seconde pour un débit entre 500 Mbits s avec des pointes à 15Gbps s Il s'agit donc d'une attaque de taille raisonnable rien à voir à celle que DNS Made Easy a du gérer mais qui reste létale pour beaucoup d'infrastructures Les équipes de Posterous ont bien tenté de jongler avec deux adresses IP publiques qui, associées à une mise à jour des zones DNS pré-configurées avec un TTL de 5 min, et l'activation d'un trou-noir backhole L'ajout d'un load-balancer n'a non plus pas été concluante à ce que j'ai pu lire Le jeu du chat et de la souris a visiblement tourné en faveur de l'attaquant, au moins dans un premier temps http://www.secuobs.com/revue/news/247032.shtmlhttp://www.secuobs.com/revue/news/247032.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - C SHARE DOCSgifDes joueurs au monde virtuel Second-Life ont été pris à partie dans le cadre d'une vengeance numérique Certains d'entre-eux ont été utilisés à leur insu pour lancer des attaques en déni de service à l'encontre d'un site web Internet Afin d'accéder à Second-Life, un joueur doit installer un logiciel sur sa machine Outre les clients ou Viewers distribués par Lindens Labs société ayant développé Second-Life il est possible d'utiliser des Viewers développés par des société tierces C'est justement au niveau de l'un de ces clients tiers que le problème est survenu Le client Emerald Viewer Ce client alternatif appelé Emerald Viewer , est semble-t-il particulièrement utilisé par les joueurs de Second-Life Ce logiciel est développé par la société Modular Systems qui semblerait liée d'une façon ou d'une autre avec Linden Labs, société à l'origine de Second-Life Selon les informations présentes sur le site du Alpha Ville Herald, un site dédié à l'analyse des comportements dans les monde virtuels comme Second-Life, tout aurait commencé par des suspicions de diffusion d'informations personnelles pour les personnes utilisant le ce client Emerald Viewer Ce serait suite à ces allégations, qu'une personne de Modular Systems ait décidé de modifier la page d'accueil affiché lors de la connexion au Emerald Viewer de façon à générer un très grand nombre de requêtes HTTP à l'encontre de l'oiseau de la personne ayant proféré ces accusations http://www.secuobs.com/revue/news/247031.shtmlhttp://www.secuobs.com/revue/news/247031.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - a href http cdnstreamlikecom hosting orange-business embedPlayerphp permalink 53a7b0eabc289186b9883cb55869cfa9 Hugues Craipeau, responsable sécurité chez MBS Hugues Craipeau, responsable sécurité de l'information MBS - Multimedia Business Services - chez Orange Business Services, nous présente les services multimédia pour entreprise et les problématiques de sécurité qui s'y rattachent http://www.secuobs.com/revue/news/247030.shtmlhttp://www.secuobs.com/revue/news/247030.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - Les responsables sécurité le savent Pour être efficace, la sécurité doit être intégrée très en amont dans le processus de développement d'un logiciel ou d'un service Faire que cela soit réalité dans les entreprises n'est pas une mince affaire car cela implique de modifier en profondeur les us et coutumes des personnes Les méthodes de développement sécurisé de Microsoft Microsoft vient de passer en licence CC Creative Commons certains de leurs documents décrivant la méthode SDL Security Development Lifecycle développée en interne et mise en place afin d'améliorer la sécurité de leur logiciels et services Pour le moment, cela concerne deux documents d'autres devraient suivre Simplified Implementation of the Microsoft SDL Microsoft Security Development Lifecycle SDL - Version 50 Décliner la méthode en interne En clair, cela veut dire qu'il est désormais possible et autorisé de ré-utiliser tout ou partie de ces documents afin de décliner une telle démarche au sein de votre entreprise Pour les détails de la licence CC accordée allez ici Une initiative de Microsoft qu'il convient de saluer comme il se doit Réussir en adaptant les processus en place Ayant mis en place au sein d'Orange Business Services un processus similaire de prise en compte de la sécurité pour le développement des offres et services, deux points clefs Ne cherchez pas à mettre en place un nouveau processus, travaillez plutôt en adaptation évolution du processus existant Faites-le en collaboration et avec le soutien des personnes en charge des processus dans votre entreprise ces personnes sont vos meilleurs alliés PS Avoir ce type de méthode en place ne garanti aucunement qu'aucun bug ou faille ne viendra se glisser C'est simplement qu'il devrait y en avoir moins et que les plus gros devraient normalement être attrapés dans les mailles du filet - http://www.secuobs.com/revue/news/247029.shtmlhttp://www.secuobs.com/revue/news/247029.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - Selon PandaLabs, éditeur de solution de sécurité, les clefs et autres périphériques USB seraient responsables de près de 27pourcents des infections en entreprise Un vecteur d'infection connu des auteurs de ver virus Toujours selon PandaLabs, près de 25pourcents des codes malicieux intégreraient les périphériques USB comme vecteur de propagation Dès qu'une clef infectée est insérée dans un ordinateur, celui-ci est automatiquement infecté Un fois infecté, cet ordinateur va à son tour dupliquer le code malicieux sur toute clef USB qui sera insérée ultérieurement Une cible de choix Sans être en mesure de vérifier la pertinence de ces chiffres, les périphériques USB sont effectivement une cible de choix pour véhiculer des codes malicieux Le port USB est devenu l'interface standard pour tout type de périphériques Tout le monde possède et utilise quotidiennement des périphériques USB L'utilisation est simple et à la portée de tous Le support des périphériques en mode disque est en standard dans tous les systèmes C'est un périphérique qui ne propose aucun mécanisme simple de protection contre l'écriture http://www.secuobs.com/revue/news/247028.shtmlhttp://www.secuobs.com/revue/news/247028.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - L'arnaque nigériane aussi connue sous les termes de scam 419 ou fraude 419 est une escroquerie visant à soutirer des sommes argents auprès de victimes trop crédules Attaque nigériane Le schéma typique de ce type d'arnaque s'appuie sur un scénario ou une personne possédant une très grosse somme d'argent recherche de l'aide pour sortir celle-ci d'un pays Pour ce faire, elle demande une petite somme d'argent pour payer un intermédiaire ou faire faire des papiers Évidemment, au bout du compte, rien ne vient http://www.secuobs.com/revue/news/247027.shtmlhttp://www.secuobs.com/revue/news/247027.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - Cette fois c'est DtDNS, fournisseur de services DNS, qui a été la cible d'attaques en déni de service ce 29 Aout Inefficacité des contre-mesures standard A la lecture du message posté par l'un de leur administrateurs, la situation était plutôt délicate Malgré l'activation d'un null-routing blackhole du coté de leur fournisseur de connectivité Internet et quelques va-et-vient d'adresses IP, l'attaque a été efficace Ce serait environ 2000 noms de domaines qui n'ont pu fonctionner correctement durant l'attaque Appel à l'aide La journée a visiblement été dure pour ce monsieur et cela est compréhensible A moins d'avoir à sa disposition des moyens et des compétences spécifiques, lutter contre une attaque de DDoS est très difficile voir impossible La seule chose à faire est malheureusement d'attendre que celle-ci se termine http://www.secuobs.com/revue/news/247026.shtmlhttp://www.secuobs.com/revue/news/247026.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - Selon l'étude du Forrester Apple's iPhone And iPad Secure Enough for Business publiée début aout, la réponse est oui mais sous condition L'une des fonctions fondamentales requise dans un contexte entreprise est de disposer d'un système permettant une gestion centralisée de la configuration des équipement Avec un tel système il est possible de définir en central la politique de sécurité, de la diffuser vers les périphériques et d'assurer que celle-ci y reste active sans pouvoir être modifiée 7 mesures essentielles Dans son étude, le Forrester liste 7 mesures de sécurité que les entreprises doivent mettre en œuvre pour proposer des iPhone et iPad à leurs employés L'objectif de ces contrôles étant de sécuriser les informations et mails stockés Ces mesures de sécurité étant bien évidemment gérées en central et diffusée via le système de gestion central évoqué ci-dessus http://www.secuobs.com/revue/news/247025.shtmlhttp://www.secuobs.com/revue/news/247025.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - insurancegifLe fournisseur de services GoGrid a été la cible d'une attaque en déni de service distribué DDoS, Distributed Denial of Service GoGrid est une société proposant des services d'hébergement de serveurs que ce soit sous forme virtualisée Service cloud dit IaaS ou Infrastructure as a Service mais aussi plus classiquement de serveurs physiques dédiés Des conséquences limitées Très peu de détails sont connus Ce que l'on sait c'est que l'attaque s'est déroulée ce Mercredi 1er septembre et aurait duré environ 3h15 Visiblement, les personnes de chez GoGrid étaient préparées à une telle éventualité car ils avaient à leur disposition un service pour contrer de type d'attaque et n'étaient donc pas aussi démunis que l'a été dtDNS C'est surement à mettre au crédit d'incidents précédents dont celui du 23 aout Une recherche laissant apparaitre qu'ils sont d'ailleurs assez fréquemment la cible d'attaques de ce genre http://www.secuobs.com/revue/news/247024.shtmlhttp://www.secuobs.com/revue/news/247024.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - PDAgifCet article exprime l'opinion individuelle d'expert de son auteur Il ne peut être considéré comme une position formulée par Orange Business Services pour le compte de ses clients ou des tiers Malgré la réticence des DSI, le non catégorique des responsables sécurité, l'Iphone envahit le monde de l'entreprise, et cela, par la grande porte Par la grande porte, pourquoi me direz-vous Et bien tout simplement parce que ce sont les membres des comités de direction, qui, les premiers, ont exigé de pouvoir utiliser, dans le cadre de leurs fonctions, leur petit bijou offert par la famille à noël C'est ensuite le petit monde du marketing qui s'est agité, et qui, suite au succès des applications grand public disponibles sur l'AppStore, s'est vu offrir un nouveau vecteur de communication L'occasion était trop belle, offrir de nouveaux services à ses clients, ou ses collaborateurs, tout en profitant du buzz et de l'image positive véhiculée par la firme à la pomme c'est frais c'est tendance http://www.secuobs.com/revue/news/247023.shtmlhttp://www.secuobs.com/revue/news/247023.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - Fin Juin, j'ai été amené à piloter la réponse à une attaque en DDoS dont l'un de nos clients était la cible Dans ce bulletin, je ne détaillerai pas l'attaque en elle-même Je me focaliserai plutôt sur comment mettre un nom ou plus exactement un visage au botnet En effet, mis à part des adresses IP, des chiffres en Mbits s ou paquets s ou le type de paquets utilisés, la menace reste imprécise, floue La grande mode étant à la géo-localisation à tout-va, je me suis dit Et pourquoi pas mettre cela dans une carte GoogleMaps Je venais de trouver une occupation pour quelques soirées - GoogleMap_Geolocalisation-BotnetpngLa phase de collection des données Il s'agit de collecter la liste des adresses IP à la source des attaques A priori, cela peut sembler simple mais sous le feu de l'action, il arrive que ce ne soit pas la première des priorités Bien évidemment, rien ne sert de collecter des adresses IP si celles-ci sont spoofées forgées Pour l'attaque qui nous intéresse, il s'agissait d'un flood HTTP, donc les adresses IP sources identifiées étaient de qualité http://www.secuobs.com/revue/news/247022.shtmlhttp://www.secuobs.com/revue/news/247022.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - Près de 13 vulnérabilités rendues publiques chaque jour C'est ce que publie MITRE Corporation , l'organisation américaine soutenue par le Département de la Sécurité intérieure des Etats-Unis Plus connues des professionnels de la sécurité sous le terme CVE Common Vulnerabilities and Exposures , ces informations publiques relatives aux vulnérabilités en terme de sécurité rythment depuis longtemps le planning de nombreux Responsables Sécurité en entreprise Voici plus de 10 ans que suite à la découverte d'une vulnérabilité, ou exposition potentielle à celle-ci, les ingénieurs de MITRE attribuent ces identifiants qui font trembler les équipes de développeurs et mettent en alerte les services informatiques du monde entier Classés par catégories et par sévérité, chaque CVE regroupe bien souvent en un titre jargon du développeur et effets dévastateurs potentiels, n'offrant qu'en dernier mot un éventuel espoir d'y échapper A titre d'exemple, voici les trois premiers CVE publiés CVE-1999-0001 ip_inputc in BSD-derived TCP IP implementations allows remote attackers to cause a denial of service crash or hang via crafted packets CVE-1999-0002 Buffer overflow in NFS mountd gives root access to remote attackers, mostly in Linux systems CVE-1999-0003 Execute commands as root via buffer overflow in Tooltalk database server rpcttdbserverd La National Cyber Security Division du Département de la Sécurité intérieure met à disposition du public toutes les données présentes dans ses bases et notamment les identifiants CVE Une consolidation de ces données nous permet alors de constater que malgré une volumétrie annuelle multipliée par 6 en dix ans, la tendance est à une certaine stabilité, tout comme la répartition par sévérité CVE Statistiques SeveritesLes chiffres projetés sur une moyenne hebdomadaire laissent alors apparaitre toute la difficulté face à laquelle sont confrontés les RSI et leurs équipes http://www.secuobs.com/revue/news/247021.shtmlhttp://www.secuobs.com/revue/news/247021.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - L'Inde serait-elle un précurseur dans les moyens de lutte contre le piratage En tout cas, c'est bien une première que nous avons là L'utilisation d'attaques en déni de service pour rendre muet les sites diffusant des contenus piratés, en l'occurrence ici des films L'industrie du film en Inde aurait commandité à plusieurs reprises un porte-flingue en la personne de la société Aiplex Software afin de lutter contre le piratage La manière forte fait partie des règles du jeu et celles-ci sont clairement affichées à tous Selon l'article du Sunday Morning Herald Journal ce serait près de 30 maisons de producteurs de films qui feraient appel à ces services d'un nouveau genre En l'absence de réponse, lancement d'une attaque en DDoS C'est au bout de 2 avertissements non suivis d'effet que la sanction tombe Sans réponse de sa part aux demandes d'enlever les contenus litigieux, le site ou le serveur diffusant les contenus piratés est ciblé par une attaque en déni de service distribuée La riposte reste heureusement graduée C'est le monde à l'envers Jusqu'alors, seules les sociétés ou organismes chargés de lutter contre le téléchargement craignaient d'êtres attaquées en déni de service le marteau étant du coté de groupes de hacktivistes ou de cybercriminels C'est le bon vieux film de l'arroseur arrosé http://www.secuobs.com/revue/news/247020.shtmlhttp://www.secuobs.com/revue/news/247020.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - icones_ 2 2x4gifMardi 14 septembre à 14h00, retrouvez l'émission radio ThemaTIC Cette semaine nous accueillons Stephane Sciacco, directeur sécurité chez Orange Business Services et Olivier Rodier, responsable marketing sécurité OBS Ils nous parlerons des différentes évolutions de la cybercriminalité et comment les cyberdéfenseurs mettent en place des armes pour se défendre de ses attaques Olivier Rodier abordera la sujet des nouvelles motivations, et vers quoi tendent les nouvelles tendances de la cybercriminalités puis Stephane Sciacco décrira le parcours d'un cyber-défenseurs en trois phases, la phase de découverte, la phase d'intrusion et enfin la phase de détection de l'attaque puis reviendra sur l'importance des certifications ISO27K icones_ 8 5x8gif Ecouter l'émission en direct mardi 14 septembre à 14h00 sur notre webradio Orange business services L'émission restera disponible sur ce même lien après sa diffusion En savoir plus Cybercriminalité, nouveau record battu Cybercriminalité une petite entreprise qui ne connait pas la crise Certification ISO 27001-2005 Cloud computing, un nouvel eldorado pour les cybercriminels http://www.secuobs.com/revue/news/247019.shtmlhttp://www.secuobs.com/revue/news/247019.shtml Secuobs.com : 2010-09-17 01:13:16 - Fr Orange Business Sécurité - icones_ 2 1x6gifUne entreprise utilise une WebTV interne pour répondre à différents besoins diffuser des messages de la direction tels que les vœux du président ou la stratégie de l'entreprise, des objectifs de vente, la présentation de nouveaux produits, du e-learning ou encore la diffusion de communiqués de crise Pour les entreprises multi-sites, la WebTV est un outil moderne de communication beaucoup plus efficace que les outils traditionnels En effet, le média vidéo étant accessible à tous, il permet de diffuser rapidement des messages courts et compréhensibles par tous les salariés Mais qui dit WebTV interne, dit nécessité de contrôler la communication en s'assurant que les vidéos pourront être visionnées par les salariés de l'entreprise quelques-soient leur lieu de travail et leur environnement technique que les vidéos ne pourront pas être visionnées hors de l'environnement de l'entreprise http://www.secuobs.com/revue/news/247018.shtmlhttp://www.secuobs.com/revue/news/247018.shtml Secuobs.com : 2010-08-02 08:57:10 - Fr Orange Business Sécurité - Les tests d'intrusion on comme principal objectif d'éprouver la résistance d'un système contre des attaques Dans ce genre d'exercice d'un type un peu particulier, l'équipe en charge de jouer le rôle de l'attaquant a une contrainte forte Le temps mais surtout les outils et bien l'expérience de la personne qui effectue les tests Outils et tests de penetration Un bon pen-testeur doit posséder une très bonne maitrise des technique d'attaques et une bonne dose d'inventivité Dans sa trousse à outil, on y retrouve toute la panoplie du bon hacker A chaque système ses outils On ne teste pas des failles d'un serveur web de la même façon que pour un routeur Outil de test pour les environnements virtualisés Pour être exact, il ne s'agit pas exactement d'un outil mais plutôt d'extensions à un outil incontournable pour tout pen-tester Metasploit VASTO Virtualization ASsessment TOolkit vient enrichir metasploit avec différents plugins spécialement conçus pour les environnements virtualisés Encore mieux qu'un outil stand-alone Au devant de la scène grâce aux journées Black Hat USA 2010 La publication de cet outil était jusqu'alors restée assez confidentielle Celui-ci a été initialement présenté slides, PDF en mars 2010 lors de la réunion TROOPERS 2010 pour ensuite bénéficier d'une présentation aux journées Black Hat USA 2010 Cet outil avait d'ailleurs fait l'objet d'un article daté de mars 2010 dans SecuObs http://www.secuobs.com/revue/news/245847.shtmlhttp://www.secuobs.com/revue/news/245847.shtml Secuobs.com : 2010-08-02 02:09:11 - Fr Orange Business Sécurité - Tout le monde connait le système des listes-noires Celles-ci référencent les noms de domaine ou adresses IP ayant en commun des caractéristiques communes Certaines sont pour les serveurs de mails en relais-ouverts open-relays , d'autres listent les adresses IP infectées par des logiciels malicieux bots et d'autres pistent les sites de phishing Toutes ces listes ont en commun une chose C'est via le système DNS qu'il est possible de les interroger Le système distribué DNS est un moyen de véhiculer les demandes et les réponses Filtrer à la source En proposant DNS RPZ Response Policy Zones , l'organisation l'ISC Internet Systems Consortium , propose un système de filtrage des requêtes DNS totalement intégré au coeur du système d'aiguillage d'Internet Ce qu'ils proposent par cette nouvelle extension c'est d'intégrer la consultation de ces listes noires au coeur du serveur DNS Si une demande de résolution est reçue pour un nom de domaine connu comme hébergeant un site de phishing la demande pourrait ne pas aboutir du tout ou bien il se pourrait qu'elle soit redirigée Dans les deux cas, le site factice ne serait pas affiché et l'utilisateur trop crédule serait ainsi protégé Pour plus de détails, la spécification technique de DNS RZP est accessible ICI Rien de nouveau par rapport à une pratique déjà en place Dans le contexte du monde de l'entreprise ce type de filtrage est typiquement déjà en place à deux endroits Le premier c'est au niveau des systèmes de filtrage d'URL Ils analysent les demandes et bloquent celles destinées à des sites à caractère non professionnel Le second endroit ou l'on retrouve ce filtrage c'est au niveau des navigateurs Internet Le mettre en place au niveau du serveur DNS aurait comme seul bénéfice immédiat de simplifier le système en le centralisant Et encore, le filtrage d'URL conserve une longueur d'avance car ils ont la possibilité d'analyser l'URL tout entière, les systèmes d'URL-filtering ont plus de finesse dans leur prise de décision Impossible pour le DNS qui ne voit que le nom de domaine et rien d'autre http://www.secuobs.com/revue/news/245779.shtmlhttp://www.secuobs.com/revue/news/245779.shtml Secuobs.com : 2010-07-30 19:33:35 - Fr Orange Business Sécurité - La Cloud Security Alliance CSA vient d'annoncer la mise en place d'un processus de certification des personnes sur la sécurité des services Cloud le Certificate of Cloud Security Knowledge CCSK L'objectif de cette certification CCSK est de vérifier le niveau que la personne passant cet examen a bien assimilé l'ensemble des informations présentes des deux documents considérés comme étant les références actuellement disponibles dans le domaine Le document Cloud Security Alliance Guidance v2 PDF ainsi que le document Cloud Computing Benefits, Risks and Recommendations for Information Security ici de l'agence européenne ENISA C'est une nouvelle intéressante pour de nombreux acteurs du cloud Pour les prestataires de services, ils pourront ainsi montrer à leurs prospects et clients qu'ils disposent de compétences dans le domaine de la sécurité du cloud computing Pour les entreprises utilisant des services de cloud, celles-ci pourront certifier leurs équipes dans le cadre pour encore mieux encadrer les projets de cloud privés Ces compétences pourront de plus être utiles pour mieux comprendre le niveau de sécurité effectif des offres disponibles sur le marché Et enfin, les consultants et sociétés de conseil y trouveront eux-aussi leur intérêt avoir des personnes certifiées CCSK permettra de mieux répondre aux attentes de leurs clients et de se différencier vis-à-vis de la concurrence Pour en savoir plus sur la certification CCSK c'est ici sur le site de la CSA Il devrait être possible de se passer l'examen de certification dès le 1er septembre 2010 http://www.secuobs.com/revue/news/245448.shtmlhttp://www.secuobs.com/revue/news/245448.shtml Secuobs.com : 2010-07-30 16:10:48 - Fr Orange Business Sécurité - Des sites brisent la règle de l'omerta qui pèse sur les incidents et failles de sécurité pour les failles de cross-site scripting XSS , Zone-H pour les défigurations de sites Internet, Jusqu'à encore quelques jours, rien de tel n'existait pour les incidents concernant les services de Cloud Computing C'est chose corrigée Le site Cloutagecom contraction de Cloud et Outage , incident vient d'être mis en ligne par l'Open Security Foundation OSF , une organisation à but non-lucratif à qui l'on doit notamment la base de référence de vulnérabilités OSVDB L'objectif affiché est de consolider l'ensemble des incidents, failles et interruptions des services et des plateformes hébergés en mode cloud En complément, le site propose un blog et des fils d'infos vers des news articles autour de la sécurité du cloud Un pas de plus vers plus de visibilité et de transparence ce qui est nécessaire pour établir et entretenir la confiance dans les services cloud Très bonne initiative Par ailleurs, la fondation OSF propose aussi le site DataLossDBorg qui référence les fuites de bases de données dans le monde entier Intéressant aussi http://www.secuobs.com/revue/news/245409.shtmlhttp://www.secuobs.com/revue/news/245409.shtml Secuobs.com : 2010-07-22 17:23:28 - Fr Orange Business Sécurité - Un ver informatique a été identifié au niveau de cartes mères du constructeur américain DELL Sont concernés les modèles PowerEdge R310, PowerEdge R410, PowerEdge R510 et PowerEdge T410 Il s'agit de modèle de type rackables en baie pour les 3 premiers et d'un modèle en tour pour le T410 Des équipements destinés à des clients de type entreprise Attitude de DELL Transparence Selon l'annonce officielle de DELL sur leur forum, seules les cartes mères provenance de leur service après-vente seraient concernées Honnêtement Qui n'a jamais été infecté par un ver ou un virus Je ne cherche pas à excuser l'un ou l'autre ce n'est jamais bon qu'une société diffuse ou infecte involontairement ses clients Dans le cas ou cela arrive, il faut être professionnel et transparent C'est qu'à fait DELL Perso, je dis bien Les plus aigris jetteront la pierre à chacun sa façon de voir les choses Le matériel, un vecteur de diffusion de malware bien connu Ce n'est pas la première fois que des équipements informatiques neufs ou considérés comme sont des vecteurs de codes malicieux Des clefs USB, disques durs ou des périphériques USB ont déjà été des vecteurs de propagation Cela a notamment été le cas des chargeurs de piles USB Energizer en Mars 2010 cf communiqué officiel Ce vecteur de diffusion est assez dangereux Seuls les plus paranoïaques scanneront la clef USB fraichement déballée de son blister plastique soudé alors pour une carte mère, les chances qu'elle soit scannée sont encore plus maigres Un scénario catastrophe vraisemblable Votre serveur DELL PowerEdge est en production depuis 1 an Subitement il tombe en panne Après diagnostic, un technicien de chez DELL intervient sur site et remplace la carte mère défectueuse votre serveur redémarre, tout semble être rentré en ordre Mais quelques heures après, vos systèmes d'alertes sont dans le rouge Infection virale sur 60pourcents de votre parc informatique Tout le monde se pose la question par ou la bestiole est rentrée, personne ne soupçonnera la carte mère changée le matin même http://www.secuobs.com/revue/news/242883.shtmlhttp://www.secuobs.com/revue/news/242883.shtml Secuobs.com : 2010-07-16 15:27:53 - Fr Orange Business Sécurité - Les systèmes informatiques sont très fréquemment utilisés pour piloter, surveiller ou contrôler à distance des sites industriels ou plus généralement des équipements s'interfaçant directement avec le monde physique Les systèmes de contrôle industriel aussi concernés par la sécurité Au même titre que tout systèmes, ces équipements sont concernés par la sécurité informatique Ces systèmes présentent des vulnérabilités et sont aussi la cible d'attaques comme nous avions pu l'évoquer dans un article précédent Les centrales nucléaires, raffineries ou systèmes de traitement et de distribution d'eau sont de bons exemples d'application de ces systèmes SCADA Supervisory Control And Data Acquisition Encore plus proche de vous et nous, les grands immeubles intègrent désormais des systèmes de ventilation ou de détection d'incendie basés sur des systèmes informatiques Un nouveau mode de diffusion et une nouvelle cible Ce code malicieux a été découvert et analysé par la société VirusBlokAda, un rapport d'analyse étant disponible ICI sur le site de F-Secure Selon les informations disponibles dans deux articles Krebs On Security, Experts Warn of New Windows Shortcut Flaw, July 15th, 2010, H-Online, Trojan spreads via new Windows hole, July 15th, 2010 il y a des informations qui me semblent intéressantes Une faille Zero-Day D'un coté, le code malicieux utilise une nouvelle technique pour se diffuser via des clefs USB utilisation d'une faille dans les raccourcis Windows lnk Ceci lui permet d'infecter tout poste de travail dès insertion de la clef dans l'un des ports USB, exactement de la même manière que via la fameuse méthode de l'autorun Lien pour un peu plus d'informations Sophos, Windows zero-day vulnerability uses shortcut files on USB, July 15th, 2010 Finalité à visée espionnage industriel De l'autre coté, la finalité du code malicieux semble aller au-delà d'une classique prise de contrôle du poste infecté afin de grossir un botnet Le code se connecte à la base de données SQL intégrée dans le système de contrôle industriel WinCC édité par la société Siemens Une petite plaquette de présentation de WinCC est disponible sur Scribd http://www.secuobs.com/revue/news/241131.shtmlhttp://www.secuobs.com/revue/news/241131.shtml Secuobs.com : 2010-07-15 18:10:21 - Fr Orange Business Sécurité - Les techniques de bullet-proof hosting ou de DNS fast-flux utilisées par les spammers pour conserver actifs leurs sites web même sous le feu de la communauté sécurité seraient à mettre au placard Un défaut dans la cuirasse Ces deux techniques avaient cependant un défaut commun L'URL d'accès au site web restait la même Il suffisait que le nom de domaine ou que l'URL entière soit listée dans une ou plusieurs bases de réputation et la navigation vers celle-ci était bloquée au niveau des navigateurs Je vous rassure tout de suite Les hébergeurs complaisants et les techniques de redondance dynamique de serveurs de résolution de noms DNS restent bien présents dans l'arsenal des cybercriminels Un nom de domaine par jour Une solution très simple a été trouvée à ce défaut Utiliser un nom de domaine pendant un voir 2 jours maximum et en changer C'est ce qui a été constaté par M86 Security Labs dans leur dernier rapport d'analyse PDF qui analyse les tendances et techniques des cybercriminels sur le 1er semestre 2010 Après avoir analysé les liens présents dans les mails de spam reçus sur une durée de 60 jours, près de 70pourcents des noms de domaines utilisés ne sont utilisés que durant une journée ou moins Game-over pour les systèmes de filtrage d'URL off-line Leur conclusion est assez simple Tout système de filtrage basé sur l'analyse des noms de domaine doit fonctionner en temps-réel, car même une synchronisation quotidienne est devenue insuffisante http://www.secuobs.com/revue/news/240879.shtmlhttp://www.secuobs.com/revue/news/240879.shtml Secuobs.com : 2010-07-12 11:16:27 - Fr Orange Business Sécurité - Cédric Pernet, consultant Cybercriminalité et partenaire du Label Orange b2b nous expose sur son blog cedricpernetnet, une des parades utilisée par les fraudeurs implantés à l'étranger qui, dans leurs opérations de phishing ciblées sur la France par exemple , doivent suppléer au fait que la plupart des banques françaises n'autorisent pas de virements bancaires directs vers l'étranger La vigilance doit être de tout instant puisque comme le dit Cédric Pernet 'les cybercriminels continuent de déployer des trésors d'ingéniosité pour maximiser les gains de leurs arnaques et rentabiliser le temps passé à les mettre en place' Consulter l'intégralité de l'article http://www.secuobs.com/revue/news/239594.shtmlhttp://www.secuobs.com/revue/news/239594.shtml Secuobs.com : 2010-07-07 11:52:49 - Fr Orange Business Sécurité - Les applications Facebook sondage, envoi de gros bisous, élevage d'animaux etc permettent aux développeurs d'accéder à vos données privées, mais également à celles de vos amis sans leur demander leur autorisation et sans qu'ils s'en aperçoivent Elles donnent également la possibilité aux développeurs de publier sur votre page ou compte des commentaires, photos ou autres vidéos non désirées Enfin, elles représentent de fabuleux vecteurs de propagations de maliciels Cependant, ces applications représentent également de fortes opportunités marketing et communication pour les entreprises François-Xavier Bru et Guillaume Fahrner, étudiants à Télécom Bretagne, ont réalisé une étude pour le compte d'Orange Consulting afin de faire un point sur les différents risques et surtout de savoir comment les apprivoiser pour profiter de leurs avantages business De quoi se méfier Comment les utiliser pour faire un buzz Faut-il interdire Facebook à ses employés pour éviter les risques Autant de questions auxquelles cette étude vous apporte des réponses François-Xavier propose de vous faire découvrir une synthèse de leurs résultats lors d'une petite interview réalisée suite à leur intervention remarquée et remarquable au SSTIC 2010 Si vous souhaitez en savoir plus, leur étude est en téléchargement libre sur le blog maîtriser les risques et opportunités des applications Facebook http://www.secuobs.com/revue/news/238286.shtmlhttp://www.secuobs.com/revue/news/238286.shtml Secuobs.com : 2010-06-28 11:59:50 - Fr Orange Business Sécurité - Ce matin, en survolant les messages reçus sur ma BAL pro, je tombe sur un spam ayant réussi à passer les multiples barrières des systèmes de protection utilisés en interne Objet du message 80pourcents de réduction Le coupable n'a pas été long à détecter L'objet du message est très classique Great news, jeanfrancoisaudenard, 80pourcents off today the Intrigué, je l'ouvre Attention danger Au lieu de trouver un docteur en blouse blanche aux cotés d'une ravissante infirmière et de belles pilules de tous les couleurs, j'ai eu droit à des avertissement et messages d'alertes criant à l'arnaque Un petit screenshot pour le plaisir des yeux Pilules-Frelatees_Detournement-Image_1pngURLs typiques Assez classiquement, les images sont stockées sur un site web avec un domaine en ru et les urls représentatives de celles que l'on trouve dans ce type de message http removed pillleonard removed XX1mru enigyg 2f6656ea67a9 http removed pillleonard removed XX1mru orifoiek 83425b66c1bb40 Détournement à la source Le site hébergeant les images a été identifié par des professionnels de la sécurité et ces derniers ont préféré changer les images d'origine par ces messages d'avertissement au lieu de les effacer purement et simplement http://www.secuobs.com/revue/news/235589.shtmlhttp://www.secuobs.com/revue/news/235589.shtml Secuobs.com : 2010-06-23 01:28:28 - Fr Orange Business Sécurité - Sur Internet, votre vie privée est en danger Parmi les gloutons que sont les facebook ou autres sites sociaux, on retrouve en 1ère ligne les moteurs de recherche Les choses bougent Rappelez-vous, fin mai Google a laché un peu de lest au niveau de son service Analytics Possibilité qu'une partie de l'adresse IP soit masquée Un bon début mais pas le top car indépendant de votre contrôle cela reposant sur la bienveillance du webmaster du site Je viens de découvrir un moteur d'un nouveau type Ixquick En fait c'est un méta-moteur Il interroge pour vous plusieurs en l'occurrence 10 moteurs de recherche est aggrège les résultats dans une seule et unique page Le tout sans que votre adresse IP ne soit enregistrée pas de possibilité de mettre en relation les recherches réalisées depuis votre adresse Intéressant Allez voir par vous-même sur leur page Ixquick protège votre vie Privée Le plus produit C'est que ce respect de la vie privée est certifié par le label European Privacy Seal delivré par EuroPrise, projet financé par la communauté européenne Je découvre avec surprise et satisfaction que l'Europe reste au front Positif Pour ne rien gâcher à notre plaisir, les résultats s'affichent rapidement de façon claire et il est même possible de se connecter en SSL à IxQuick Exactement dans le même mode que Google SSL Ca y est Ixquick vient de passer en 1ère position dans ma barre de recherche, à minima pour quelques semaines d'observation avant peut-être de remplacer le Google SSL que j'utilise désormais quotidiennement http://www.secuobs.com/revue/news/233993.shtmlhttp://www.secuobs.com/revue/news/233993.shtml Secuobs.com : 2010-06-16 08:09:52 - Fr Orange Business Sécurité - Toute personne travaillant dans le domaine de la sécurité le sait Allez sur les sites Internet diffusant des contenus à caractère pornographique est une pratique dangereuse Ici, point ou peu de salut avec une capote numérique Celui qui surfe sur ce genre de sites en ressort tôt ou tard avec une maladie numérique Des pop-ups suggestives qui s'affichent de façon intempestives, impossibilité de fermer les fenêtres, ou pire encore infection de la machine par un malware du genre logiciel espion, bot, ou autre truc pas très propre La vielle blague t'as été sur des sites pornos Il y a quelques années de cela, c'était un peu la blague que l'on sortait à une personne ayant des problèmes sur son poste T'as été surfer sur des sites pornos Avec quasiment à chaque fois la réponse du genre Bah, non J'comprends pas ce qui c'est passé, c'est arrivé tout seul, j'ai rien fait de spécial suivie quelques secondes après d'un c'est grave Tu vas pouvoir faire quelque chose , un peu inquiet du diagnostic Une étude très sérieuse à la rescousse La raison de ce phénomène d'infection quasiment systématique à après quelques séances de surf sur ce type de site restait assez floue Heureusement pour nous, un chercheur s'est penché sur le sujet ouf afin d'expliquer les raisons de ce phénomène BBC News, 'Shady' porn site practices put visitors at risk, June 11, 2010 http://www.secuobs.com/revue/news/231970.shtmlhttp://www.secuobs.com/revue/news/231970.shtml Secuobs.com : 2010-06-15 10:43:04 - Fr Orange Business Sécurité - La sécurité et les utilisateurs S lide convention sécurité 2010 v1View more presentations from Orange Business Services Plusieurs sujets ont été abordés Le facteur humain - Philippe Maltère -Senior Security Consultant - Orange Business Services La sécurité est subjective, c'est un sentiment - Thierry Clavet - Etrali - Trading Solutions La sécurité n'est pas une problématique uniquement technologique mais aussi bien humain - Hervé Troalic - Orange Consulting On a beaucoup axé sur la technologie maintenant on se recentre sur l'utilisateur 80pourcents du danger vient de l'interne Les nouveaux objets - Alban Ondrejeck -Consultant Sécurité de l'Information-Orange Business services Le monde dans sa poche, et la poche ouverte sur le monde Il faut apprendre à maitriser les informations que l'on partage - Jean Luc Chataignier - Sécurité Orange Groupe La cyber-surveillance existe sur le lieu de travail - Christophe Roland - Sécurité Orange business Services Le danger vient de la méconnaissance de ce qu'est le danger Les solutions - Daniel Jouan et Caroline Comet-Fraigneau ont présenté le nouveau Service Managé pour Smartphones Blackberry dont vous pouvez trouvez une vidéo de présentation sur ce lien vers notre blog live france http://www.secuobs.com/revue/news/231539.shtmlhttp://www.secuobs.com/revue/news/231539.shtml Secuobs.com : 2010-06-01 17:09:50 - Fr Orange Business Sécurité - Après nos 2 premières émissions sur la sécurité ThemaTIC n 4 sécurité la certification des entreprises, ThemaTIC n 6 La sécurité dans le développement des services chez Orange Business Services nous avons le plaisir de vous proposer dans cette ThemaTIC n 8 un échange portant spécifiquement sur un classique du genre dans le monde de la sécurité la démarche d'analyse de risque Ce sujet nous sera présenté par François Chataigner C'est avec François que moi-même et mes équipes travaillons au jour le jour afin d'intégrer la sécurité au cœur des offres d'Orange Business Services Je lui donnerait la réplique durant cette émission François est consultant sécurité manager au sein d'Orange Consulting L'analyse de risque est un exercice n'ayant plus trop de secrets pour lui en outre il nous fera part de comment cette démarche est intégrée dans les projets de grands comptes et institutions et en quoi cette démarche est complémentaire des encore plus classiques audit de sécurité Bonne écoute et à une très prochaine fois pour une autre émission Appel a nos lectrices lecteurs Si vous avez une proposition de thème, sujet actualité que vous souhaiteriez voir traiter dans une prochaine émission, n'hésitez pas à utliser la fonction commentaires http://www.secuobs.com/revue/news/227516.shtmlhttp://www.secuobs.com/revue/news/227516.shtml Secuobs.com : 2010-05-30 23:22:12 - Fr Orange Business Sécurité - L'imprimante multifonctions est un équipement standard que l'on retrouve systématiquement dans les entreprises, quelque soient leur taille ou leur secteur d'activité Les fonctions sont nombreuses Copie de documents papiers, impression en réseau depuis un poste de travail, envoi de documents par mail à un destinataire ou émission réception de fax, etc C'est dans un territoire protégé d'acteurs comme Xerox, Ricoh que Google Cloud Print arrive avec des promesses fort séduisantes Les utilisateurs ne sont pas non plus laissés pour compte C'est eux et leurs documents que vise Google Petite analyse des enjeux relatifs à la sécurité de cette annonce Les imprimantes à la traine de la sacrosainte mobilité Depuis son poste de travail, rien de plus simple que de lancer une impression vers l'une de ces machines recto verso, avec ou sans agrafe, etc pratique simple Dès que le réseau local est accessible tout va bien Par contre, dans un contexte de télétravail ou en contexte de mobilité les choses se compliquent Le plus souvent, pas d'imprimante du tout ou alors une imprimante de type personnelle Bref pas top lorsque l'on est un drogué de la clef USB 3G ou de l'accès Internet depuis son mobile Google Cloud Print à la rescousse Google a récemment levé le voile sur l'un de ses futurs nouveaux services L'impression dans le cloud En simplifiant à l'extrême, il sera possible d'imprimer depuis n'importe quel terminal mobile, laptop, PC, tablette, vers n'importe quelle imprimante quelque soit sa localisation physique http://www.secuobs.com/revue/news/227063.shtmlhttp://www.secuobs.com/revue/news/227063.shtml Secuobs.com : 2010-05-29 07:41:12 - Fr Orange Business Sécurité - Un ou plusieurs groupes de cybercriminels ont pris en grippe les sites Internet d'agences immobilières Russes Ces attaques généralisées n'épargnent aucun des acteurs majeurs russes de ce secteur d'activité Gdeetotdomru, Des hackers déclarent la guerre sur le marché immobilier russe, 14 Mai 2010 Taper ou cela fait mal Les bases de données Outre les sites Internet, les portails de base de données stockant les informations sur les biens à vendre sont elles-aussi ciblées On peut donc en déduire que même les personnes se déplaçant en agence ne peuvent être renseignée aussi efficacement que d'habitude Les vieux systèmes basés sur des fax sont peut-être réapparus ici et là afin de maintenir un minimum d'activité Impact financiers important importance du choix de la cible S'agissant de biens immobiliers, la perte de chiffre d'affaire consécutive à ces attaques devrait à priori être conséquente Les cybercriminels auraient visiblement choisis leurs cibles avec tout le soin requis en effet, pour qu'une attaque en déni de service DDoS soit la plus perturbante possible il est nécessaire de cibler des activités pour qui la disponibilité de leurs sites et systèmes informatique est un élément critique de revenu direct ou indirect Pas de faux-fuyants ni de langue de bois pour cette fois Assez souvent, ce type d'attaque passe inaperçu du public tant le nombre de raisons qu'un site Internet puisse être inaccessible sont multiples Au lieu d'afficher un problème de sécurité qui n'est jamais très bon pour l'image, le site attaqué restera vague et prétextera par exemple une dégradation temporaire de son accès réseau ou une surcharge temporaire au niveau de certains frontaux web Yes, c'est du bullshit mais c'est assez souvent comme ça dans la vraie vie http://www.secuobs.com/revue/news/226875.shtmlhttp://www.secuobs.com/revue/news/226875.shtml Secuobs.com : 2010-05-28 08:32:50 - Fr Orange Business Sécurité - Il est désormais possible de stopper le tracking effectué par Google Analytics via l'installation d'un Add-on extension au niveau de son navigateur Google Analytics Opt-out Browser Add-on Installation simple et rapide Suivez le guide Pour le télécharger et l'installer il suffit d'aller à cette URL http toolsgooglecom dlpage gaoptout Je vous laisse faire, c'est super simple Une extension disponible pour de nombreux navigateurs Cette extension d'un nouveau type est disponible pour les browsers Firefox, IE 7 et UE 8 ainsi que Safari Que les utilisateurs de navigateurs plus exotiques comme Opera passent leur chemin, rien au menu pour eux Inhibition des fonctions de tracking L'installation de composant permet d'inhiber le tracking mis en place par le code Javascript connu sous le nom de gajs Pour les curieux, la documentation d'utilisation de cette API est accessible à cette page Protéger sa vie privée sur Internet Tout utilisateur un peu averti peut donc faire quelque chose de concret pour augmenter sa vie privée sur Internet Au vu de certains commentaires aigris sur le blog officiel de Google Analytics, cette décision ne plait pas à tout le monde Cela peut se comprendre Les marketeurs pisteurs et webmestres sont en train de se faire enlever leur joujou - Les webmestres peuvent mieux protéger leurs visiteurs Outre cette extension, l'APÏ offre la possibilité aux webmestres de masquer une partie des adresses IP le dernier octet des visiteurs Cette nouvelle fonctionnalité est implémentée via la fonction __anonymizeip Ceci a un coût La géolocalisation des visiteurs sera amoindrie en conséquence La décision de Google mérite d'être saluée Sur le fond, cette démarche de Google ne peut qu'être applaudie car elle va dans le sens de plus de vie privée sur Internet Elle est assez paradoxale car la publicité et le ciblage de celle-ci c'est le fond de commerce de Google Est-ce un effet d'annonce Tout dépendra du nombre d'internautes qui prendront le temps d'installer cette fameuse extension Le grand frêre l' advertising opt-out plugin de Google Ce plug-in permet de se protéger du cookie doubleclick de façon permanente Encore moins de pistage à la clef Cette extension existe depuis 2009 Bien sûr elle fait partie de vos extensions favorites non - Si ce n'est pas encore fait, cette page vous permettra de l'installer Surtout, ne révez pas Vous continuerez à recevoir de la pub Pour voir la comparaison entre avec cookie et sans cookie , cela se passe sur cette page du site de Doubleclick C'était la petite dose de vie privée de la journée Happy surfing http://www.secuobs.com/revue/news/226579.shtmlhttp://www.secuobs.com/revue/news/226579.shtml Secuobs.com : 2010-05-27 15:56:51 - Fr Orange Business Sécurité - Avec l'aide des onglets, il est possible de surfer simultanément sur plusieurs sites à la fois Cette fonctionnalité est devenue un standard dans les règles d'ergonomies de tous les grands navigateurs Internet Les surfers les plus frénétiques peuvent près de 10 voir même 20 ou 30 de ces onglets d'ouverts en même temps Le passage d'un onglet est facilité via de forts pratiques raccourcis claviers et l'utilisation des icônes de sites vous savez les favicons permet de retrouver en un clin d'œil ses onglets préférés cf la très fameuse boite aux lettres GMail par exemple Le coté pratique de cette navigation par onglets, associé au sentiment que rien ne change dans un onglet lorsqu'on en consulte d'autres pourrait être la cible préférée d'attaques en phishing particulièrement redoutables En effet, il a été montré qu'il était possible de modifier, a l'insu de l'utilisateur et sans aucune intervention de sa part, le contenu affiché dans un onglet Il est important de noter que cette attaque concerne tous les navigateurs et pas seulement IE ou Firefox Safari serait aussi concerné Lorsque vous revenez sur un onglet celui-ci affiche tout autre chose que le site ou vous étiez restés En lieu est place vous retrouverez par exemple la page d'accueil de Gmail ou de votre site bancaire et comme nous avons le sentiment que rien ne change dans un onglet et donc que c'est vous qui l'avez ouvert, vous allez saisir vos identifiants de connexion et hop, c'est fini Vos identifiants de connexion viennent d'être détournés et communiqués à un tiers Rapide, simple et diablement redoutable Testez l'attaque en live Pour ceux qui se disent faisons un test , je vous invite à consulter une page de démonstration mise en place par le chercheur en sécurité Aviv Raff Une fois celle-ci affichée, allez faire un tour sur l'onglet d'à coté pendant quelques secondes Ladite page va être détournée vers une page d'erreur mais avec un logo Gmail en favicon , affichez le code source de la page vous verrez que l'unique image inclue dans la page est cassée Il s'agissait d'un screenshot de la page d'accueil de Gmail http://www.secuobs.com/revue/news/226268.shtmlhttp://www.secuobs.com/revue/news/226268.shtml Secuobs.com : 2010-05-25 01:47:15 - Fr Orange Business Sécurité - Le moteur de recherche de Google est désormais accessible via SSL a l'adresse https wwwgooglecom L'annonce officielle de Google est accessible sur leur blog Ceci permet de crypter les informations entre le navigateur et les serveurs de Google Plus possible pour un tiers d'espionner le contenu de vos recherches ou de visualiser les résultats retournés par Google Je viens de changer les raccourcis de mon navigateur Firefox un peu plus de vie privée ne fait pas de mal Pensez aussi à mettre à jour la fonction de recherche intégrée à votre navigateur - Sous GNU Linux Ubuntu en ce qui me concerne pour changer la configuration du champ de recherche intégré à Firefox, il suffit de créer un nouveau fichier dans le répertoire usr lib firefox-addons searchplugins en-US en se partant du fichier googlexml Pour ce qui me concerne, une copie en google-sslxml et un changement des URLs pour ajouter le s qui va bien Un redémarrage de Firefox et c'est parti Pour plus de détails, cette page du MozillaZine donne les détails nécessaires - Sous Windows, ça n'a pas l'air très compliqué non plus Une précision importante Google continue de conserver les requêtes effectuées et pages consultées rien n'a changé de ce coté Pour plus de détails, je vous invite à jeter un œil sur cette page de l'EFForg http://www.secuobs.com/revue/news/225197.shtmlhttp://www.secuobs.com/revue/news/225197.shtml Secuobs.com : 2010-05-22 13:27:43 - Fr Orange Business Sécurité - Soudain le téléphone sonne sans cesse Soudainement, votre téléphone sonne sans cesse Lorsque vous décrochez, vous n'entendez qu'un bruit de fond sans aucune signification ou vous vous retrouvez en contact avec un serveur vocal d'une ligne rose Vous raccrochez et quelques minutes de nouveau un appel du même type Ce scénario se répète sans cesse Agacé au plus haut point, vous laissez votre combiné décroché ou débranchez purement et simplement votre ligne le temps que cet orage téléphonique passe son chemin Vous retournez ensuite à vos occupations Vous mettez ces dysfonctionnements sur le compte d'un bug informatique ou d'opérations de télémarkéting agressives avec des pratiques en bordure de la légalité Surprenante inventivité des cybercriminels Et bien non Si cela se trouve vous pourriez être la cible d'une attaque de cybercriminels tentant de vider l'un de vos comptes bancaires ou de bourse en ligne C'est que ce rapporte un journal américain dans son article Phony Phone Calls Distract Consumers from Genuine Theft -- FBI Partners Warn Public, May 12, 2010 Ca semble assez sérieux car le FBI aurait été mis dans la boucle Déni de service d'une ligne de téléphone pour faciliter un vol Quelle est la relation avec cet encombrement de votre ligne téléphonique Elle reste assez simple Empêcher votre banque de vous joindre pour obtenir une confirmation que c'est bien vous qui êtes à l'origine des ordres de transfert http://www.secuobs.com/revue/news/224695.shtmlhttp://www.secuobs.com/revue/news/224695.shtml Secuobs.com : 2010-05-21 21:58:52 - Fr Orange Business Sécurité - Le Vendredi 11 Juin 2010, la concurrence sera officiellement ouverte pour les plateformes proposant des paris d'argent sur Internet En effet, toute entreprise Française ayant reçue une autorisation de l'Autorité de Régulation des Jeux En Ligne ARJEL pourra organiser des paris en ligne, ce en tout légalité Le même jour, la coupe du monde de football 2010 démarre avec le match d'ouverture entre le Mexique et l'Afrique du Sud Groupe A Je ne sais pas si les dates ont été choisies de façon à coïncider mais cette journée pourrait être le point de départ de combats n'ayant absolument rien à voir avec un ballon rond et des supporters survoltés Les activités liées aux plateformes de jeux en ligne sur Internet sont historiquement des cibles privilégiées dans le cadre d'attaques en déni de service DDoS DoS Dans une attaque en DDoS DoS Wikipedia, Attaque par déni de service le but des attaquants est d'empêcher le bon déroulement des paris en rendant inaccessibles ou en ralentissant très fortement les systèmes informatiques Lors d'une attaque, les parieurs se retourneront mécaniquement vers d'autres sites afin d'enregistrer leurs paris dans les temps Dans un tel contexte, il me semble tout à fait possible que le 11 juin soit un jour quelque peu particulier La probabilité que des attaques en DDoS DoS soient lancées à cette date ou dans les jours suivants est loin d'être nulle http://www.secuobs.com/revue/news/224544.shtmlhttp://www.secuobs.com/revue/news/224544.shtml Secuobs.com : 2010-05-18 16:55:32 - Fr Orange Business Sécurité - Toute entreprise telle que soit sa taille ou son secteur d'activité développe de nouveaux services pour répondre à de nouveaux besoins ou à l'évolution des usages Dans ce perpétuel mouvement ou les offres ou services naissent, vivent et meurent d'un coup de 22 dans la tempe comment la sécurité est-elle prise en compte D'un coté, on retrouve les entreprises qui n'intègrent purement pas la sécurité Elle se cantonnent uniquement au fonctionnel Cela peu fonctionner un certain temps mais ne reste viable que pour des secteurs d'activités bien précis De l'autre coté, on retrouve les entreprises pour qui rien ne se fait sans et ou la sécurité fait même partie de leur ADN Entreprises du secteur de la défense, les banques assurances ou encore dans les sphères gouvernementales A chaque fois c'est la totale qui est déroulée, le formalisme est de rigueur et les personnes de la sécurité ont le dernier mot Quelque part entre ces deux bornes, on peut trouver des acteurs comme les opérateurs de services de télécommunications Dans cette émission ThemaTIC n 6 du 18 Mai, je vous propose de découvrir comment Orange Business Services intègre la sécurité dans le cadre du processus de conception de services J'espère que ces informations vous seront utiles, je reste à votre disposition pour toute question, remarque ou autres demandes A bientôt pour une autre émission http://www.secuobs.com/revue/news/223167.shtmlhttp://www.secuobs.com/revue/news/223167.shtml Secuobs.com : 2010-05-17 11:35:13 - Fr Orange Business Sécurité - S FILTERINGgifLa tectonique des plaques observe la dérive des continents et tente d'anticiper la friction générée quand deux plaques entrent en collision En matière de sécurité, le même phénomène peut être observé, je vous propose d'observer les plaques Vie professionnelle et Vie personnelle Il y a au moins sept points de contact entre ces deux univers - le carnet de contact - l'agenda - le support de stockage USB,SD, Disque, etc - l'appareil photo - le profil réseau social - la boite mail - le serveur personnel - les notes Chacun de ces points implique la double vie de l'utilisateur et sauf à encourager un fort dosage de schizophrénie, il est completement illusoire de penser la prohibition ou le déni sont la solution Logés dans le Smartphone, le Tablet, le netbook ou l'application cloud, ces 7 points sont une des clés de la sécurité utilisateur Je vous proposerai dans les posts à venir d'étudier - quelles sont les caractéristiques de chaque application - pourquoi sont elles incontournables - quels sont les impacts sur la sécurité - peux t'on mitiger ces risques A suivre Carnet d'adresse qui peut s'en passer http://www.secuobs.com/revue/news/222748.shtmlhttp://www.secuobs.com/revue/news/222748.shtml Secuobs.com : 2010-05-11 10:41:44 - Fr Orange Business Sécurité - Vous allez découvrir une vidéo réalisée par Cédric Baillet, Responsable marketing - Offres Temps réel chez Orange Business Services qui présente un nouveau service de veille sécurité Les environnements de communication sur IP sont aujourd'hui touchés par un nombre grandissant de failles de sécurité provenant, soit des systèmes d'exploitation sous jacent, soit des applicatifs de communication sur IP eux-mêmes La multiplication de ces failles et la complexité croissante des systèmes rendent aujourd'hui les analyses d'impact et les validations de contre mesure de plus en plus complexe à réaliser avec une charge de travail associée en croissance continue Pour aider ses clients face à cette problématique particulière, Orange Business Services lance un nouveau service de veille sécurité dédié à ces environnements Nous vous proposons de découvrir dans cette vidéo les principales motivations d'une telle offre avec les livrables associés Veille de sécurité sur Téléphonie IP http://www.secuobs.com/revue/news/220897.shtmlhttp://www.secuobs.com/revue/news/220897.shtml Secuobs.com : 2010-05-10 17:54:55 - Fr Orange Business Sécurité - cloudjpgTout le monde le sait et bien sur le fait Dès qu'une nouvelle vulnérabilité est annoncée, une cellule se constitue et mène une étude d'impact pour définir la stratégie de réponse afin de minimiser les potentiels effets néfastes qu'une exploitation de cette faille pourrait avoir Dans le cadre d'une grande entreprise, on retrouve classiquement deux équipes suivant ce processus en parallèle D'un coté l'équipe réseau et de l'autre celle en charge des serveurs et applicatifs La 2nde équipe gère typiquement des environnements hétérogènes et très variés la charge induite par ce processus d'analyse de risque et de déploiement des contre-mesures est clairement un challenge sans cesse renouvelé Dans le contexte des infrastructures de type IaaS, cet exercice gestion des vulnérabilité est encore plus complexe La couche de virtualisation ajoute une complexité supplémentaire que l'on ne retrouve pas ailleurs Comme nous le verrons, les entreprises ayant fait le choix des cloud privés ainsi que celles utilisant massivement la virtualisation en interne ont un certain avantage http://www.secuobs.com/revue/news/220575.shtmlhttp://www.secuobs.com/revue/news/220575.shtml Secuobs.com : 2010-05-10 13:57:54 - Fr Orange Business Sécurité - cloudjpgLe Cloud computing c'est l'avenir certains diront que c'est un retour aux début de l'informatique avec les mainframes et systèmes centralisés Comme d'habitude la réalité se situe entre les deux L'offre autour du cloud se structure, elle évolue de façon homogène avec la demande et l'augmentation du niveau de maturité des professionnels dans le domaine Si les promesses du cloud computing sont aussi intéressantes pour des entreprises, qu'en est-il pour les cybercriminels Ces derniers ont très souvent une longueur d'avance quand il s'agit d'utiliser les technologies émergentes à des fins malhonnêtes Le temps de cet article, je vous propose de passer de l'autre coté du miroir afin d'explorer en quoi le cloud computing qui devraient faire le bonheur des cybercriminels de tout poil http://www.secuobs.com/revue/news/220488.shtmlhttp://www.secuobs.com/revue/news/220488.shtml Secuobs.com : 2010-05-05 16:35:11 - Fr Orange Business Sécurité - Le principal terrain de jeu des chevaux de Troie et rootkits sont les environnement basés sur les systèmes d'exploitation de type Microsoft Windows Pour se convaincre si vous faites encore partie des sceptiques il suffit de regarder du succès des faux antivirus aussi appelés sous le terme un peu barbare de scareware utilisés par les cybercriminels pour prendre le contrôle de dizaines de milliers de machines à l'insu de leurs propriétaires Le plus souvent en les faisant payer une somme de l'ordre de 29 Dollars L'étendue de cette peste numérique reste encore assez limitée pour les environnements basés sur Linux ou Mac Hormis quelques apparitions cantonnées à des systèmes embarqués basés eux aussi sur des systèmes à base de Linux ZDNet, Les routeurs Linux cibles d'un nouveau ver, 24 Mars 2009 , les équipements de type routeurs ou autres systèmes spécialisés étant quant à eux quasiment épargnés Jusqu'alors, les équipements de chez CISCO étaient épargnés avec uniquement quelques études proof-of-concepts demandant de très fortes compétences en ingénierie inverse réservés aux adeptes du développement bas niveau en langage machine Pour ceux intéressés, il faut revenir en 2008 Sebastian Muniz, Da IOS Rootkit, May 2008 avec la réponse de CISCO CISCO, Rootkits on Cisco IOS Devices, May 2008 et la publication d'un outil CIR, Cisco Incident Response permettant d'analyser le contenu d'une image IOS afin de détecter d'éventuelles manipulations suspectes Techniquement de haute voltige On peut raisonnablement dire que cette barrière du niveau de compétence associé au caractère fermé des systèmes CISCO était une protection naturelle La mise à disposition de nouvelles fonctionnalités intégrées dans les équipements CISCO serait-elle sur le point de provoquer une inflexion de cette tendance J'aurai tendance à dire que c'est peut-être ce qui est en train de se passer Le nom de ce coupable s'écrit en trois 3 lettres TCL Tool Command Language , langage vieux comme le monde 1988 Le support de ce langage TCL est intégrée dans les moutures du logiciel CISCO IOS à compter de la version 123 2 T Via quelques lignes de TCL, il est désormais possible de rajouter de nouvelle fonctions pour répondre à des besoins spécifiques non disponibles en standard Mais le revers de la médaille, c'est que cette souplesse ouvre la porte du développement de codes malicieux sur les équipements basés sur l'IOS de CISCO http://www.secuobs.com/revue/news/219060.shtmlhttp://www.secuobs.com/revue/news/219060.shtml Secuobs.com : 2010-05-04 17:19:20 - Fr Orange Business Sécurité - Dans le domaine des services informatiques, un nombre croissant de sociétés enrichissent et différencient leurs services via des démarches de certification sécurité Les équipementiers ne sont d'ailleurs pas les derniers et ont bien compris l'intérêt d'investir massivement dans le domaine, surtout quand il s'agit de solutions de sécurité L'éventail des certifications disponibles sur le marché est riche et complexe Il est possible de faire certifier des services, des équipements, des sites physiques ou bien encore des personnes Quel est le bénéfice pour un fournisseur de service de s'engager dans une telle démarche Existe-t-il des points d'articulation entre les audits sécurité et les certifications Pour cette première émission radio, Stéphane SCIACCO de la direction sécurité lève le voile sur la vision d'Orange Business Services autour de ce thème certifications sécurité Le player est accessible à cette adresse, cherchez l'émission radio ThemaTIC n 5 sécurité la certification des entreprises Le ton est donné Ces émissions radio seront l'occasion de découvrir d'autres facettes des activités d'Orange Business Services Bonne écoute à toutes et à tous http://www.secuobs.com/revue/news/218670.shtmlhttp://www.secuobs.com/revue/news/218670.shtml Secuobs.com : 2010-05-04 11:42:41 - Fr Orange Business Sécurité - Le salon Solutions Data Center Cloud Computing ouvre ses portes au CNIT La Défense le 5 et 6 mai Parmi les différents thèmes abordés on retrouve bien évidemment la sécurité En parallèle des classiques stands des constructeurs, éditeurs et fournisseurs de service il est possible de participer à des conférences ou d'ateliers Un rapide focus sur les quelques conférences ateliers dont le thème principal est celui de la sécurité Mercredi 5 mai 11h00-11h45 Virtualisation et sécurité Sécurisation de l'infrastructure VM et virtualisation de la sécurité Atelier ARROW 14h00-14h45 Répondre aux défis de la sécurité de la virtualisation Atelier Trend 14h15-15h15 CM3 - La sécurité des accès au Cloud Jeudi 6 Mai 11h00-11h45 Le Cloud et la sécurité des données Atelier NetApp 12h00-12h45 Vcenter ou comment sécuriser votre architecture virtualisée Atelier VMware 15h00-15h45 Sécurité des serveurs, préparez les machines virtuelles au défi du cloud Atelier Trend 15h30-16h30 DM4 - La sécurité globale des données Tout un programme me direz-vous Perso, vu que le temps est rare et cher, je pense mettre la priorité sur deux conférences celles notées avec un astérisque , avec une nette préférence sur celle du Jeudi après-midi Je termine sur une petite note de publicité Un atelier de présentation de l'offre Forfait Informatique et organisé par Orange Business Services Mercredi 5 Mai 17h00 http://www.secuobs.com/revue/news/218583.shtmlhttp://www.secuobs.com/revue/news/218583.shtml Secuobs.com : 2010-05-04 10:40:34 - Fr Orange Business Sécurité - Je vous présente ci-dessous un article rédigé par un consultant sécurité de mon équipe Arnaud GARRIGUES C ANTI SPAMgifVert, bleu, voire jaune avec un bel Attention Danger , nos navigateurs Internet utilisent de plus en plus les bonnes vieilles recettes de la sécurité routière Quel en est l'intérêt Un des problèmes sur internet est le suivant le client souhaite, par exemple, aller consulter ses comptes sur le site de sa banque wwwmabanquefr ou encore procéder à un achat sur un site marchand en ligne wwwsuperdvdsfr Les prestataires veulent alors garantir à leurs utilisateurs que ceux-ci sont bien arrivés sur leur site et qu'aucun intermédiaire mal intentionné, ne vous a redirigé sur un autre site arborant un aspect identique wwwmabanquefr n'est-il pas en fait wwwtruandcom se cachant sous le visage de Ma Banque http://www.secuobs.com/revue/news/218567.shtmlhttp://www.secuobs.com/revue/news/218567.shtml Secuobs.com : 2010-05-03 18:58:33 - Fr Orange Business Sécurité - Les services cloud de type IaaS Infrastructure as a Service sont peut-être ceux qui viennent le plus naturellement à l'esprit des personnes Cela est peut-être du au fait que ce niveau de service bénéficie du halo de la virtualisation Dans une offre de type IaaS, le client souscrit à un service d'hébergement d'un système d'exploitation tournant dans un environnement virtualisé Une fois le système livré par le prestataire c'est au client de sécuriser son système L'étendue de ce travail de sécurisation dépendra des besoins du client et ce qui est fournit ou non par le prestataire Partons sur le principe que le niveau de service du service IaaS auquel vous venez de souscrire est celui d'entrée de gamme A vous de vous remontez les manches et de renforcer la sécurité au niveau adéquat Je vous donne 15 recommandations pour sécuriser une instance d'une machine virtuelle localisée en Cloud IaaS 1 Cryptez tout le trafic réseau 2 Limitez à un le nombre de services supportés par une instance 3 Renforcez la sécurité de votre système d'exploitation Microsoft MBSA, Bastille Linux, 4 Activez les fonctions de cryptage intégrées aux systèmes de fichiers ou des périphériques en mode bloc 5 Cryptez toutes les données déposées sur les espaces de stockage SAN, NAS, 6 Ne stockez pas vos clefs de décryptage sur l'instance Celles-ci ne doivent y entrer que durant le processus de décryptage 7 N'ouvrez que le minimum de ports réseau requis sur chacune des instances 8 Déployez régulièrement les correctifs de sécurité Patchs tant pour le système d'exploitation que les applicatifs 9 Faites des scans de détection de vulnérabilités récurrents 10 Hormis pour les services publics comme HTTP HTTPS, limitez les adresses IP sources autorisées à se connecter 11 N'utilisez pas de mots de passe pour les accès en mode console, préférez plutôt les clefs RSA ou certificats SSL clients 12 Effectuez régulièrement des sauvegardes pour ensuite les rapatriez-les et les stocker en lieu sûr 13 Installez un système de détection d'intrusion au niveau du système d'exploitation par exemple OSSEC, CISCO CSA, 14 Si vous suspectez une intrusion, faites un snaphost de l'instance et stoppez-là 15 Développer vos applications de façon sécurisée OWASP Normalement, pour devriez commencer par identifiez vos besoins sécurité pour ensuite sélectionner votre ou vos fournisseur s et ajouter vous-même ce qu'il s ne propose nt pas que ce soit dans le niveau de service standard ou dans le cadre d'options Je n'ai pas été réinventer la roue Un serveur IaaS c'est assez similaire à un serveur dédié hébergé chez un prestataire enlevez la couche de virtualisation et grosso-modo vous retombez dans un monde connu Sur les 15 recommandations, seules deux requièrent des techniques liées à la virtualisation PS Rien de bien magique pour un administrateur système sécurité expérimenté Surtout qu'avec la virtualisation le copy paste d'instances virtuelles offre un niveau d'industrialisation que l'on ne connait pas dans les serveurs dédiés Bon Cloud http://www.secuobs.com/revue/news/218261.shtmlhttp://www.secuobs.com/revue/news/218261.shtml Secuobs.com : 2010-05-03 10:49:42 - Fr Orange Business Sécurité - Avoir un seul mot de passe pour accéder à tous ses sites est dangereux L'annonce du piratage du compte Twitter du président américain Barak Obama en est une spectaculaire illustration Voici donc une méthode de gestion de mot de passe simple et efficace afin d'éviter le piratage, qui nous est proposée par Lionel MYSZKA, contributeur de TribunExperts, partenaire du label Orange b2b Consultez l'article http://www.secuobs.com/revue/news/218156.shtmlhttp://www.secuobs.com/revue/news/218156.shtml Secuobs.com : 2010-04-28 11:47:04 - Fr Orange Business Sécurité - Certains services évoluent dans l'ombre alors qu'ils mériteraient un éclairage particulier quant à leur criticité Parmi ces services critiques, on trouve en bonne position l'adressage IP DHCP et la résolution de nom DNS Encore souvent gérés avec des offres classiques , ces services n'en sont pas moins régulièrement soumis à des problématiques de sécurité, particulièrement pour le DNS et la fameuse affaire Kaminsky ayant fait couler beaucoup d'encre en 2008 Afin d'en savoir un peu plus, voici une vidéo présentant rapidement ces services IPAM IP Address Management Bon visionnage la gestion du plan d'adressage IP - IPAM http://www.secuobs.com/revue/news/216831.shtmlhttp://www.secuobs.com/revue/news/216831.shtml Secuobs.com : 2010-04-27 17:00:18 - Fr Orange Business Sécurité - Notre nouveau partenaire du label Orange b2b, eWEEK europe que nous saluons nous rend compte du 15ème rapport de Symantec qui retrace notamment les événements qui ont rythmé 2009 en matière de sécurité informatique Où l'on apprend que 60pourcents des identités exposées en ligne ont été victimes d'attaques Et 35pourcents d'entres elles profitent des politiques d'insécurité des entreprises Les pertes ou vols de données et les attaques internes ne concernent que 4pourcents et 1pourcents des attaques respectivement Les vulnérabilités Flash et PDF comptent pour 49pourcents des attaques web , qu'il sévit 46 541 botnets actifs réseaux de PC infectés et contrôlés par les pirates par jour et près de 6,8 millions d'ordinateurs zombies distincts Retouvez l'article sur eWEEK europe http://www.secuobs.com/revue/news/216477.shtmlhttp://www.secuobs.com/revue/news/216477.shtml Secuobs.com : 2010-04-08 11:27:42 - Fr Orange Business Sécurité - Autre attaque visant les clients Orange Business Services A contrario de l'attaque visant les utilisateurs de cartes Internet 3G Orange, la ficelle est assez grosse et le montage technique est assez simple car les mécanismes de protection en place ont été relativement efficaces Tout commence par un spam Au démarrage, on retrouve un spam dans sa boite au lettres Celui-ci est très simpliste et peu engageant Du texte brut sans fioritures ni images, tout en anglais avec même des fautes et pas d'URL pointant vers le cheval de Troie mais le fichier a été directement mis en pièce jointe Screenshot_Phishing-Oleane_8-Avril-2010png http://www.secuobs.com/revue/news/210085.shtmlhttp://www.secuobs.com/revue/news/210085.shtml Secuobs.com : 2010-04-07 19:40:40 - Fr Orange Business Sécurité - L'usage de l'internet mobile est en plein boom Il est désormais courant d'être connecté quasiment de façon permanente via son téléphone mobile ou depuis son ordinateur portable Sur ces derniers, les clefs USB 3G 3G sont le moyen préféré pour se connecter au réseau les abonnements étant d'ailleurs de plus en plus accessibles et la couverture géographique de plus en plus étendue L'imagination des attaquants n'a que peu voir pas de limites Suite à une remontée d'information en interne, j'ai été informé d'une attaque visant les clients de l'offre de clefs 3G d'Orange Un petit screenshot du mail de phishing PhishingOrange3G-Mail-Phishing-Avril2010png http://www.secuobs.com/revue/news/209842.shtmlhttp://www.secuobs.com/revue/news/209842.shtml Secuobs.com : 2010-03-20 19:39:14 - Fr Orange Business Sécurité - Il y a quelques années, les mondes virtuels avaient la côte Etre présent sur SecondLife était un signe de reconnaissance entre personnes dans le vent Même les sociétés s'installaient dans ces mondes numériques afin que leur image soit associée à des vapeurs d'avant-gardisme Les mondes virtuels sont un peu passés de mode Le tsunami des réseaux sociaux est passé par là Par contre, les jeux de rôle en ligne massivement multi-joueurs MMORPG sont bien présents et drainent des millions de joueurs dans le monde entier L'une des étoiles est le mytique Word of Warcraft Parmi ces jeux en ligne mettant en scéne plusieurs centaines de milliers de joueurs, eRepublik vous propose de d'être citoyen d'un pays virtuel et de défendre ses intérêts vis-à-vis d'autres pays La carte du monde et les pays sont comme dans la vrai vie Au programme on retrouve développement économique, poltique et militaire Le DDoS est aussi utilisé A de maintes reprises Ici et ici , les administrateurs du site eRepublik font état d'attaques en déni de service visant à bloquer empêcher des pays de se battre lors de combats organisés Une guerre numérique dans le monde réel pour en bloquer une autre dans un monde totalement numérique Un peu comme dans la vraie vie Sur le forum de eRepublik, le président virtuel de la croatie se plaint de ces agissements qui perturbent le bon déroulement du jeu Dans ces mondes virtuels, on retrouve même des groupes de cyber-hacktivistes , par exemple le 'Havard University http://www.secuobs.com/revue/news/203705.shtmlhttp://www.secuobs.com/revue/news/203705.shtml Secuobs.com : 2010-03-02 13:03:01 - Fr Orange Business Sécurité - S PROXYgifOrange Business Services vient d'obtenir une nouvelle certification de sécurité de type ISO 27001-2005 après ISO 15408 l'année dernière sur la mise en œuvre, la fourniture, le support de services info gères et de solution de communication pour les sites de Rennes Cesson-Sévigné Cette certification vérifie la sécurité des outils et des processus mis en oeuvre pour la production des services retenue, via entre autre La production de toutes les preuves liées à la Déclaration d' Applicabilité SOA en anglais Les résultats d'une analyse de risque sur le scope Ebios dans notre cas , Dans ce cadre, Orange Business Services s'est ainsi engagé à maintenir un niveau de sécurité maximum et évolutif L'obtention de la certification s'est déroulée en trois étapes La définition du scope de certification afin de déterminer le périmètre des services à évaluer La conduite de travaux en interne pour répondre aux exigences de sécurité de la norme internationale ISO 27001-2005 Analyse de risque, SOA, La vérification par les auditeurs de la conformité des services au regard de la norme Merci aux équipes de Rennes pour le travail accompli http://www.secuobs.com/revue/news/197098.shtmlhttp://www.secuobs.com/revue/news/197098.shtml Secuobs.com : 2010-02-24 10:44:14 - Fr Orange Business Sécurité - C PERSON DESKgifJe rebondis sur mon article publié la semaine dernière évoquant la problématique du spam Un client nous appelle vendredi dernier un peu en panique, mentionnant un problème lié au spam Cette entreprise est en effet reconnue par de nombreux opérateurs et hébergeurs comme spammeur et a été blocklistée Pourquoi me direz-vous C'est bien ce que voulait savoir l'administrateur réseau de cette entreprise Après quelques minutes de traces prises avec nos outils, la raison nous est apparue comme le nez au milieu de la figure Une rapide traque s'en est suivi pour débusquer le poste fautif La collaboratrice légèrement apeurée de voir débarquer deux mecs armés jusqu'aux dents avec leurs PC portables est rapidement passée aux aveux J Un programme installé négligemment sur son poste deux mois auparavant transformait son classique laptop en une redoutable machine à spam Un simple trojan glissé dans ce banal programme téléchargé sur Internet et le tour était joué pour les spammeurs les vrais assis derrière leur command center Voila un zombie dans le jargon, c'est comme ça qu'on appelle les postes contrôlés à distance à votre insu fraichement recruté pour exécuter toutes les tâches souhaitées Toute cette petite histoire pour dire que la problématique du spam n'est pas uniquement entrante, mais également sortante C'est même beaucoup plus grave dans le sens ou vous pouvez vous retrouver complètement bloqué pour envoyer les messages à vos destinataires Voici une manière simple vous permet de mesurer votre réputation sur internet, notamment pour ce qu'il s'agit de la messagerie Connectez-vous sur le site http wwwsenderbaseorg et vous pourrez rapidement savoir globalement quelle est la réputation de votre nom de domaine ou de vos MX Si vous disposez de cette solution, vous aurez accès à beaucoup plus d'informations Ce cas concret met également en évidence la problématique de la sécurité des postes de travail pas de droits d'administrateur, anti-virus démarré et à jour, système d'exploitation patché, et j'en passe En espérant que cette expérience et les recommandations qui ont été faites à ce client lui permettent de prendre conscience de l'importance de la sécurité du système d'information au sens global Pour terminer sur cet article, de nombreux ISP ont également pris des mesures de fermeture du port 25 Envoi de mail Ceci afin de se protéger des postes des abonnés infectés par des trojans qui se servent presque tous du port 25 en tout genre qui émettent du spam par milliers chaque jour A l'échelle d'un opérateur, vous imaginez aisément les millions de spams quotidiens ainsi évités Bonne journée http://www.secuobs.com/revue/news/195012.shtmlhttp://www.secuobs.com/revue/news/195012.shtml Secuobs.com : 2010-02-23 13:03:29 - Fr Orange Business Sécurité - C PACKET SWITCHgifNe vivons-nous pas une époque formidable Avec d'une part, les évolutions dans le domaine de l'IT et des télécom et d'autre part la maturité évidente du marché de la sécurité, nous pourrions penser que le métier de la sécurité évolue ou va évoluer aussi et que les pratiques d'hier vont lentement disparaître pour donner naissance à de nouveaux paradigmes Et bien si nous pensons cela alors peut-être nous trompons-nous Examinons la situation telle qu'elle est L'environnement du SI tout d'abord, l'ouverture des réseaux est avérée Le réseau de l'entreprise est moins borné qu'hier et ses frontières difficiles à protéger La device mania bat son plein, à juste titre et pour de vrais apports pour l'entreprise et l'utilisateur final Là aussi, les technologies sont clairement à maturité et monsieur tout le monde peut enfin entrevoir les apports des technologies mobiles Le cloud computing enfin, nous est présenté comme l'avenir de l'informatique et comme cette troisième voie que les professionnels attendaient http://www.secuobs.com/revue/news/194589.shtmlhttp://www.secuobs.com/revue/news/194589.shtml Secuobs.com : 2010-02-22 09:51:15 - Fr Orange Business Sécurité - C FIREWALLgifLes cas de serveurs web non sécurisés et d'ordinateurs de bureau, dont les applicatifs ne sont soit pas installés soit non mis à jour patch, anti-virus, firewall ne sont pas rare ils constituent naturellement autant de portes ouvertes pour des infections diverses malware, collecte de données, chevaux de troie Cedric Pernet, animateur du blog dédié Computer Security, Forensics, Malware Cybercrime et partenaire du Label Orange b2b nous en dresse les grands contours en nous décrivant la technique du drive by download Il s'agit, je cite de toute méthode qui permet de faire télécharger et exécuter à l'insu de l'utilisateur un contenu la plupart du temps malicieux Parmi les méthodes le téléphone peut devenir un outil d'intrusion Retrouvez la suite de cet article Phone-by Download http://www.secuobs.com/revue/news/194061.shtmlhttp://www.secuobs.com/revue/news/194061.shtml Secuobs.com : 2010-02-18 09:58:01 - Fr Orange Business Sécurité - La semaine dernière les heureux possesseurs de comptes mail Gmail ont vu automatiquement apparaître le mot Buzz dans leur barre de menu Buzz, ou Google Buzz est le nouveau réseau social mêlant les particularités de Twitter et Facebook Ce réseau va encore plus loin car il utilise le compte mail pour communiquer avec le monde entier et de façon publique Le compte mail qui était le dernier endroit de vie privée des utilisateurs devient désormais public Imaginez les petits soucis des entreprises utilisant des comptes Gmail ou ceux utilisant leur compte mail pour mélanger mails pro et perso Même si Google a déjà revu quelques paramètres de confidentialité, vos activités et contacts ont désormais de grandes chances de devenir publiques si vous n'utilisez pas correctement ce nouvel outil Google mentionne même qu'il s'autorise, lors de l'utilisation de Google Buzz sur votre téléphone portable, à relever votre position géographique, à enregistrer votre saisie vocale autrement dit votre empreinte vocale Pour illustrer les excellents propos des articles du Figaro et de ZdNet, je vous invite à visionner cette petite vidéo de 5 minutes faisant un rapide tour du propriétaire vidéo capturée le 15 02 2010 et vous apportant déjà quelques recommandations a href http wwworange-businesstv hosting orange-business embedPlayerphp permalink 5fbf494567b257400001a6616a5e562a http://www.secuobs.com/revue/news/193109.shtmlhttp://www.secuobs.com/revue/news/193109.shtml Secuobs.com : 2010-02-17 10:10:03 - Fr Orange Business Sécurité - C ANTI SPAMgifRelayant un article du monde daté du 10 février 2010, l'activité des spammeurs montre qu'elle ne connait pas la crise et profite de chaque évènement pour soutenir ses campagnes de mailing massifs afin d'espérer piéger l'innocente victime cliquant négligemment derrière son écran d'ordinateur Rendez-vous compte, cet article nous apprend qu'une personne sur 12,5 millions achète un produit suite à la réception d'un spam Sachant que le trafic est estimé à 200 milliards de spam par jour, faites le calcull'affaire est plus que rentable Et c'est bien ce qui pousse les malfrats à développer de plus en cet engorgement massif du système de messagerie mondial Rien qu'un exemple un de nos client grand compte reçois chaque jour plus de 25000000 de messages dont 99,5pourcents sont des spams Heureusement, il dispose de solutions efficaces pour trier le grain de l'ivraie, tout comme la plupart des grands groupes d'ailleurs L'impact d'un mauvais traitement des spams n'est pas sans conséquences Toutes les grands sociétés archivent leur messagerie, ceci représente des giga octets par jour Imaginez le surcout que représenterait l'archivage de ces millions de spams quotidienpour rien Sans compter l'impact réseau WAN et LAN, la perte d'image de la société si elle devient elle-même relai de spam, et bien entendu le mécontentement des utilisateurs qui est certainement le premier facteur déclenchant un investissement dans ce domaine surtout que le cout de tonnerre vient généralement d'en haut Sans vigilance, point de salut La prudence reste un des meilleurs remparts contre ce fléau des temps modernes Bonne journée http://www.secuobs.com/revue/news/192663.shtmlhttp://www.secuobs.com/revue/news/192663.shtml Secuobs.com : 2010-02-16 10:10:09 - Fr Orange Business Sécurité - Ô toi qui n'écris pas, tu ne connais pas ton bonheur ancien proverbe sumérien vers 3200 Avant JC période Uruk récente Les inventeurs de l'écriture étaient aussi de grands sages, ils savaient déjà que l'écriture serait L'invention de l'humanité et aussi sa meilleure arme Aujourd'hui alors que nous nous dirigeons lentement mais sûrement vers une post-alphabétisation je reviendrai sur ce sujet dans d'autres articles , ce n'est que plus vrai Il est parfois difficile de trouver un sujet qui ne déclenche pas une nouvelle guerre de religion plus mortelle que celles du seizième siècle Il n'y a qu'à parler d'un système d'exploitation par rapport à un autre, et hop des milliers de morts Parler des faiblesses d'un terminal ou d'un algorithme, et je reçois instantanément des messages me promettant plus que la mort Je tiens à ma petite santé, moi, et je ne souhaite que la paix universelle Après un rapide brainstorming avec moi même 15 jours quand même, et encore toutes les parties n'étaient pas d'accord , j'ai vu la lumière enfin celle du frigo , parlons d'un sujet n'attisant pas les passions, et c'est peu de le dire comme vous allez le voir le mot de passe ou password dans la langue de Shelley ou de Wilde, c'est plus simple que d'écrire Shakespeare quand même http://www.secuobs.com/revue/news/192249.shtmlhttp://www.secuobs.com/revue/news/192249.shtml Secuobs.com : 2010-02-09 10:48:19 - Fr Orange Business Sécurité - C ALL-IN SECURITYgif L'affaire commence doucement, une attaque logique d'une société pour récupérer des données Cela arrive tous les jours, malheureusement Mais voilà, comme la société s'appelle Google, se trouve en Chine, et que le vecteur d'attaque se nomme Internet Explorer, l'affaire se retrouve à faire la une Hormis l'aspect quasi comique de la situation, imaginez Microsoft attaqué suite à une vulnérabilité Firefox ou Chrome , nous aurions pu en rester là Mais non, deux organismes sérieux, au moins jusqu'à là , l'un allemand, l'autre français ont publié un communiqué disant qu'il ne fallait pas utiliser Microsoft Internet Explorer, tant que la firme de Seattle n'aurait pas comblé cette brèche celle ci fut résolue moins d'une semaine après cet avis , en attendant il est recommandé d'utiliser un navigateur alternatif Cela part d'un bon sentiment, mais comme on dit l'enfer est pavé de bonnes intentions http://www.secuobs.com/revue/news/189952.shtmlhttp://www.secuobs.com/revue/news/189952.shtml Secuobs.com : 2010-02-08 18:32:32 - Fr Orange Business Sécurité - C INTERNET NETWORKgif Alors que les scientifiques annoncent la fusion nucléaire contrôlée pour 2050, les fusions des vies, informations, logiciels, matériels informatiques et technologiques privés et professionnels ont déjà débuté Malheureusement, la fusion des sphères d'informations privées et professionnelles se fait de manière incontrôlée grâce à l'explosion des outils du Web 20 et notamment des réseaux sociaux Nous avons déjà évoqué les dangers liés à une utilisation naïve et non maîtrisée de ces outils cfpost 1 et post 2 Cependant, ces outils et cette évolution de l'éthnographie numérique représentent l'avenir et sont désormais incontournables comme le rappelle fort justement l'article du Monde en date du 22 janvier 2010 Assiste-t-on à une démocratisation de la vie privée Les réseaux sociaux offrent de nombreuses opportunités pour le développement des entreprises e-reputation, marketing, RH, recueil et partage d'informations métier etc Nous évoquerons d'ailleurs dans un prochain post ces opportunités d'utilisation des réseaux sociaux qui peuvent s'avérer être une bonne stratégie de sécurité Face à l'ampleur et à la rapidité du phénomène, le principe de précaution pris par la majorité des directions de sécurité a été d'interdire leur utilisation Cette interdiction n'est pas applicable et va à l'encontre du développement individuel et des entreprises Les responsables de la sécurité qui sont déjà conscients des risques doivent désormais prendre conscience des opportunités liées aux réseaux sociaux et accompagner leurs dirigeants et personnel à les utiliser de façon maîtrisée Il ne faut pas renier les bases de la sécurité, mais adapter le discours afin de ne plus être une entité vue comme un centre de coût et un frein à l'innovation mais plutôt comme un guide accompagnant tout à chacun vers une utilisation des nouvelles technologies de façon opportune, maîtrisée et consciente Cet accompagnement doit donc se faire au quotidien en prônant le je vous ai compris utiliser les réseaux sociaux et pour cela je vais vous servir de guide Une sécurité porteuse d'innovation s'intégrera mieux en amont des projets et de façon plus naturelle dans la stratégie d'entreprise Il va sans dire, qu'une charte fixant le cadre et les limites d'utilisation est indispensable Mais celle-ci doit être complétée par un guide de bonnes pratiques didactique et proche de la majorité des utilisateurs Je vous propose donc une petite vidéo permettant d'accompagner les utilisateurs et donc les employés de vos entreprises pour leur apprendre à mieux paramétrer leur compte Facebook Cette vidéo ne présentent pas de manière exhaustive l'ensemble des paramètres mais permet aux utilisateurs d'y voir un peu plus clair dans le paramétrage de confidentialité Facebook Impossible de leur interdire l'utilisation à partir de leur poste privé alors autant leur apprendre à mieux l'utiliser Les vies privées et professionnelles étant en pleine fusion, protéger la vie privée de ses employés permet également de protéger les informations à caractère professionnel La formation du personnel est devenue une priorité a href http wwworange-businesstv hosting orange-business embedPlayerphp permalink 1677f090c00eab26da7b1089425987e6 les réseaux sociaux en entreprise Dans le prochain épisode, comment Facebook pourrait être utilisé pour diffuser ces bonnes pratiques aux employés et surtout comment créer le dialogue sur les médias qu'ils utilisent en masse PS Depuis le vendredi 5 février, Facebook migre petit à petit les comptes vers une page d'accueil différente La fin de la vidéo présente cette nouvelle page et les principales nouveautés en termes de paramètre de confidentialité http://www.secuobs.com/revue/news/189671.shtmlhttp://www.secuobs.com/revue/news/189671.shtml Secuobs.com : 2010-02-08 12:50:51 - Fr Orange Business Sécurité - C DOWNLOADgifSelon ScanSafe, le téléchargement illégal en entreprise serait en plein essor Cela serait pourrait être lié à une certaine prise de conscience de la part des personnes concernant la législation se mettant en place dans le domaine Au lieu de télécharger ces contenus depuis leur domicile, les personnes préféreraient télécharger depuis leur lieu de travail Les raisons à ce transfert seraient-elle un sentiment de relative impunité l'accès Internet utilisé étant dans ce cas lié à l'identité de l'entreprise et non plus de la personne sentiment pouvant être peut-être renforcé par le fait que d'autres collègues se livrent aussi à ce sport dans ce cas, par quels moyens l'employeur pourra-t-il identifier précisément et de façon fiable quel employé est responsable d'une plainte Vu le niveau de délabrement ou de rusticité de certains réseaux informatiques de petites société, la question peu effectivement se poser Mais point d'impunité la surveillance des réseaux P2P est en place depuis quelques années maintenant Les sociétés privées proposant leurs services sont assez nombreuses et sont connues par les ayants droits Lorsque l'une d'entre-elles identifient un téléchargement d'un contenu film, musique, pour lequel elle a reçu un mandat de la part des ayants droits, elle pourra envoyer une notification vers le fournisseur d'accès Internet FAI de l'Internaute Par défaut ces notifications sont envoyées par email vers la cellule en charge de traiter les abus la fameuse cellule Abuse A cette dernière de prendre ensuite les dispositions qui s'imposent ou pas Afin d'éviter de rester dans les généralités et d'illustrer en quoi cela consiste et quelles sont les entreprises touchées par ce problème, je vous propose de détailler quelques plaintes récemment reçues au niveau de la cellule Abuse d'Orange Business Services http://www.secuobs.com/revue/news/189550.shtmlhttp://www.secuobs.com/revue/news/189550.shtml Secuobs.com : 2010-02-03 10:46:21 - Fr Orange Business Sécurité - -AAAAAAAAAAAAAAARRRRRRRRRRRGGGGGGGGGGHHHHHHHHHHHHHHHHHHH NDA Si cela ne dépendait que de moi, je me serai arrêté là pour l'introduction Mais, on m'a dit écoute coco, pour être référencé, il faut faire des introductions plus longue -Qu'est qu'il y a chéri -Oh rien, chérie, toujours le même cauchemar -Ah, Rendors toi Cette scène horrible, s'il en est, a lieu toutes les nuits depuis 2 ans, chez tous les DSI La cause de ce cauchemar, l'Iphone d'Apple, et son introduction par la petite porte dans les entreprises Qu'en est il exactement Voyons un peu NDA Cette fois ci j'arrête l'introduction http://www.secuobs.com/revue/news/188056.shtmlhttp://www.secuobs.com/revue/news/188056.shtml Secuobs.com : 2010-01-25 19:00:46 - Fr Orange Business Sécurité - C KEYgifDans un article du 24 décembre 2009 d'un de nos membres du labelB2B Orange, decision-achatsfr, nous apprenons que seuls 35pourcents des décideurs français vont maintenir ou augmenter leur budget en 2010 En effet, l'augmentation des risques liés à la sécurité informatique dans les entreprises a été de 44pourcents dans le monde et de 7pourcents en Europe en 2009, et seuls 35pourcents des décideurs français vont maintenir ou augmenter leur budget sécurité en 2010 contre 63pourcents au niveau monde Ces informations sont tirées d'une étude mondiale de PricewaterhouseCoopers PwC sur la protection de l'information et la sécurité des systèmes d'information Le cabinet d'étude précise également que les décideurs français ont une perception des risques moins alarmiste que la moyenne des autres personnes sondées 43pourcents des participants dans le monde estiment que les problèmes liés à la sécurité de l'information ont augmenté, contre 25pourcents en France et 32pourcents en Europe Dans l'article parut sur decision-achatsfr il est dit que la France s'évalue comme moins touchée -20pourcents mais cette soit-disant régression trouve sans doute des explications dans le fait que 60pourcents des répondants français ne savent pas dire s'ils ont subi des incidents de sécurité, contre 50pourcents en Europe et 39pourcents dans le monde Nous apprenons également que les personnes interrogées constatent une tendance à la hausse des impacts en termes de pertes financières 7,7pourcents des répondants dans le monde, même chiffre en France d'atteinte à l'image de marque et à la propriété intellectuelle 11pourcents des répondants dans le monde, 12 pourcents en Europe et 7pourcents en France de perte de valeur pour les actionnaires 33pourcents des répondants dans le monde, 25pourcents en Europe et 95pourcents en France D CURRENCY-EgifDes attentes fortes des décideurs D'après les sources de cet article, la sécurité est la priorité pour 58pourcents des dirigeants sondés CEO , à égalité avec la nécessité de se conformer à des contraintes règlementaires plus complexes L'article nous présente également les tendances nouvelles pour l'année 2010 En 2010, les directions générales veulent identifier clairement leurs risques et s'assurer que tout est sous contrôle La priorité est donnée à la protection des informations 84pourcents dans le monde, 71pourcents Europe, 55pourcents en France , à l'identification des risques-clés et au pilotage en conséquence des investissements 83 pourcents dans le monde, 69pourcents en Europe, 53pourcents en France , au renforcement des fonctions de contrôle et de gestion des risques 82pourcents dans le monde, 67pourcents en Europe et 52pourcents en France Pour en savoir plus, rendez vous sur l'article de décision-achatsfr http://www.secuobs.com/revue/news/185131.shtmlhttp://www.secuobs.com/revue/news/185131.shtml Secuobs.com : 2010-01-13 15:59:30 - Fr Orange Business Sécurité - PDAgifLa faiblesse des algorithmes cryptographiques mis en œuvre dans le cadre de la téléphonie mobile n'est pas une nouveauté La mauvaise réputation des modèles de conception et d'implémentation des algorithmes A5 1 et A5 2 pour assurer la confidentialité des communications dans les réseaux GSM et GPRS est faite depuis le début des années 90' Toutefois, ces algorithmes sont utilisés dans plus de 75pourcents des réseaux mobiles de la planète et dans plus de 200 pays Si de nombreux articles académiques ont donc fait état des faiblesses théoriques de ces algorithmes, l'article de David Hulton à la Black Hat de Washington DC en 2008 BLACKHAT et plus récemment l'article de Karsten Nohl de 26ième Chaos Communication Congress de Berlin CHAOS ont remis sur le devant de la scène ces vieilles histoires Les principaux éléments novateurs de ces approches sont 1 Les deux papiers mettent notamment en avant des techniques de décryptage des communications GSM avec des méthodes actives et surtout complètement passives 2 Même si certaines hypothèses concernant l'environnement d'exploitation de ces techniques restent contraignantes, les deux documents mettent en exergues des méthodes dont les moyens financiers requis ne sont plus uniquement du fait des Etats ou des mafias de l'ordre de 1,000 US 3 Des exploitations possibles dans une échelle de temps réaliste dans l'ordre de l'heure Ce type d'attaques exclues encore les Script kiddies et autres crackers amateurs A priori les écoutes sur réseaux mobiles ne vont pas se généralisées tout de suite pour les citoyens moyens En revanche, on peut légitimement considérer comme potentielle la menace dans le cadre de l'espionnage industriel Pour poser un peu plus le décor, on peut noter un point de l'actualité récente, avec la livraison en 2010 par Thalès Group des premiers exemplaires du téléphone mobile sécurisé TEOREM et de son petit frère le Smartphone Voix Données sécurisé TEOPAD THALES Ces terminaux ont vocations à équiper les états-majors et les cabinets ministériels français pour assurer la protection des communications jusqu'au niveau secret défense Les équipements permettent une authentification de l'utilisateur et le chiffrement voix et données sur les réseaux GSM 2G, GPRS, EDGE et UMTS BLACKHAT - http wwwblackhatcom presentations bh-dc-08 Steve-DHulton Whitepaper bh-dc-08-steve-dhulton-WPpdf CHAOS - http eventscccde congress 2009 Fahrplan attachments 1519_26C3KarstenNohlGSMpdf THALES - http issthalesgroupcom Press Presspourcents20Releases 2008 Thalespourcents20introducespourcents20thepourcents20firstpourcents20modelpourcents20ofpourcents20TEOREMaspx http://www.secuobs.com/revue/news/181118.shtmlhttp://www.secuobs.com/revue/news/181118.shtml Secuobs.com : 2010-01-12 10:24:37 - Fr Orange Business Sécurité - Pour le moment, les informations 1 , 2 sont assez sommaires Un supposé ex-militaire se faisant appeler sous le pseudonyme de Jester aurait développé un méthode d'attaque en déni de service lui permettant de bloquer à distance l'accès à aux sites Web de son choix Les détails sur la méthode utilisée sont assez limités Ce que l'on sait c'est que celle-ci ne s'appuie pas sur l'utilisation synchronisée d'un grand nombre de machines préalablement compromises botnet Selon les dires de l'intéressé, il aurait développé un outil tournant sur une seule et unique machine de type Linux Si tout cela est vrai, cela laisse à penser qu'il s'agirait d'une attaque visant la couche applicative En l'occurrence le serveur web ou l'application web elle-même Est-ce une évolution de l'attaque dite Slowloris On ne sait pas C'est intéressant à plusieurs titres http://www.secuobs.com/revue/news/180568.shtmlhttp://www.secuobs.com/revue/news/180568.shtml Secuobs.com : 2010-01-11 16:21:37 - Fr Orange Business Sécurité - several_business_invoicesgif Je vais tout de suite vous décevoir, la nouvelle star de la sécurité 2010 ne sera pas le facteur humain Dommage, même si des journaux généralistes comme le Monde insiste sur l'importance du facteur humain sur la sécurité Non, la star qui va déchainer les foules cette année sera le format pdf Je sais, vous allez encore me dire que je vous en ai déjà parlé, et vous aurez raison, encore une fois Adobe risque en cela de passer devant Microsoft au hit parade des éditeurs attaqués surtout que le format flash se positionne très correctement dans ce classement , succès oblige Je vous rappelle aussi que ce n'est pas le format pdf qui est attaqué, mais le lecteur pour le lire, à savoir, dans plus de 90pourcents des cas en entreprise, Adobe Reader Les attaques visent le lecteur star de la firme, et seulement lui Pourquoi en parler alors Tout simplement parce qu'une faille trouvée et exploitée depuis le 15 Décembre sera corrigé le 12 Janvier trêve des confiseurs oblige Il s'agissait là d'un problème de Javascript http://www.secuobs.com/revue/news/180239.shtmlhttp://www.secuobs.com/revue/news/180239.shtml Secuobs.com : 2010-01-11 16:21:37 - Fr Orange Business Sécurité - icones_ 2 4x8gif C'est une tradition, et je suis très traditionaliste bientôt des articles en latin, seule véritable langue européenne , de souhaiter une excellente année à nos lecteurs Bonne année à tout le monde, et une bonne santé à vos SI Voilà c'est fait Que souhaiter, une baisse des attaques et du cyber-terrorisme en général, bien sûr Mais malheureusement vais je être écouté ou lu , je ne le crois pas L'année à venir sera comme l'année précédente, d'un point de vue de la sécurité, les moyens d'attaque changeront peu Souhaitons donc une bonne année aux spams et au phishing qui devraient enfin s'adapter à la difficile langue française Fini le français approximatif, et bienvenue à une langue très châtiée remarquez, c'est pratique de mon point de vue, je ne la comprendrai pas et l'étiquetterai dangereuse Il sera difficile d'y voir clair Surtout, qu'il existe déjà des phishings prenant pour cible certaines institutions, notamment les impôts Et là, vous allez craquez, sissi Les impôts vont vous envoyer une lettre de trop perçu, en vous demandant de fournir vos coordonnées bancaires pour le remboursement Qui va résister http://www.secuobs.com/revue/news/180238.shtmlhttp://www.secuobs.com/revue/news/180238.shtml Secuobs.com : 2010-01-06 19:42:55 - Fr Orange Business Sécurité - Sur un ordinateur professionnel, les fichiers et répertoire identifiés comme personnels ne doivent pas être ouverts par un employeur Ce n'est pas une grande surprise mais cela fait du bien de le rappeler Cela a été rappelé par la cour de cassation des affaire sociales qui a cassé un arrêt de la cour d'appel d'Orléans Les données en elles-mêmes étaient accablantes Présence d'un dossier contenant des informations visant à mettre en place une structure concurrente en démantelant la société dans laquelle la personne en poste était responsable commercial marketing Tout cela avait été fait à priori dans les règle s avec constats d'huissier et tout et tout Sauf que non La personne avait stocké ses fichiers dans un répertoire nommé selon les initiales de son prénom JM pour Jean-Michel contenant lui-même deux sous-répertoire Marteau le nom de la structure concurrente et un autre sous-répertoire nommé personnel Les fichiers était dans le répertoire Marteau L'huissier a accédé au contenu de ce répertoire Marteau en l'absence de la personne La cour de cassation a donc jugé la preuve irrecevable, le licenciement pour faute lourde jugé et donc sans cause réelle et sérieuse, et a donc requis le paiement des indemnités de licenciement Pas mal pour un répertoire nommé selon les initiales du prénom de la personne http://www.secuobs.com/revue/news/178865.shtmlhttp://www.secuobs.com/revue/news/178865.shtml Secuobs.com : 2010-01-06 19:42:55 - Fr Orange Business Sécurité - Revenons un peu sur la découverte au sein du cloud Amazon EC2 d'un centre de commande et de contrôle C C, Command Control d'un réseau de zombies de type Zeus Que faut-il en penser En fait, pas grand chose Un service cloud de type IaaS Infrastructure As a Service, cad une bonne petite machine virtuelle ce n'est rien de plus qu'un serveur dédié bon je simplifie un peu mais pas trop non plus L'opérateur du cloud IaaS s'assure que les VM fonctionnent correctement et tout et tout Ce qui tourne au sein des VM ne le regarde à priori pas Si une faille de sécurité vient à être exploitée sur une application déployée par l'un de ses clients, l'opérateur du cloud n'y est pas vraiment pour quelque chose http://www.secuobs.com/revue/news/178864.shtmlhttp://www.secuobs.com/revue/news/178864.shtml Secuobs.com : 2010-01-05 17:15:38 - Fr Orange Business Sécurité - La sécurité physique est un pan essentiel d'une politique de sécurité digne de ce nom Je dirai même que c'est le sous-domaine de la sécurité qui est le moins inconnu pour le profane Tout le monde ferme à clef la porte de son entreprise ou de son domicile, possède un système d'alarme ou de vidéo-surveillance, voir fait appel à des vigiles à l'apparence patibulaire et à des chiens non moins effrayants Mon propos portera sur un autre domaine de la sécurité physique Je parlerai des systèmes électroniques et informatiques qui mesurent et pilotent en temps réel le fonctionnement de vannes, relais, moteurs, dans des centrales électriques, des plateformes pétrolières ou encore des centres d'assainissement ou de distribution d'eau aussi connues sous infrastructures vitales http://www.secuobs.com/revue/news/178385.shtmlhttp://www.secuobs.com/revue/news/178385.shtml Secuobs.com : 2009-12-29 17:22:09 - Fr Orange Business Sécurité - Le père fouettard est passé en avance pour UltraDNS, opérateur de services de résolution de noms DNS sur Internet Ses serveurs en charge d'assurer la conversion des noms de machine en des adresses IP ont été la cible d'attaques en déni de service distribué DDoS Cet assaut numérique a eu pour conséquence visible de rendre difficile, voire même impossible, l'accès à de grands sites de commerce online comme Amazon et Walmart Effectivement, on peut voir que les noms de domaine amazoncom et walmartcom sont gérés par les serveurs d'UltraDNS Si ces derniers sont inacessibles, il sera impossible pour votre navigateur préféré de trouver l'adresse IP correspondante Le problème aurait duré environ 1h dans la journée du 24 décembre La conséquence pour Amazon Walmart Une perte directe de chiffre d'affaire Ce problème aurait aussi impacté indirectement des sites hébergés sur le Cloud d'Amazon Attaquer les serveurs DNS c'est un peu comme mettre un coup dans les genoux de votre adversaire Sans résolution DNS, plus rien ou presque ne fonctionne http://www.secuobs.com/revue/news/176428.shtmlhttp://www.secuobs.com/revue/news/176428.shtml Secuobs.com : 2009-12-18 21:45:44 - Fr Orange Business Sécurité - Et oui, vous lisez bien Il est possible d'écouter les communications d'un drone militaire de type Predator environ 4,5 Millions de dollars la pièce La raison est simple Les communications entre ce joujou technologique et les satellites géostationnaires ne sont pas cryptées Vous prenez donc votre antenne satellite, un PC, et le logiciel SkyGrabber 26 dollars et c'est parti Il vous est possible de voir ce que le drone Predator est en train de filmer Mettez cela dans les mains de personnes un tant soit peux intéressées c'est justement le cas ici et elles savent ce que les militaires regardent derrière leur grand œil volant http://www.secuobs.com/revue/news/174043.shtmlhttp://www.secuobs.com/revue/news/174043.shtml Secuobs.com : 2009-12-16 18:27:09 - Fr Orange Business Sécurité - Cela se passe en Biélorussie, un pays de l'ex-URSS coincé entre la Pologne, l'Ukraine et la Russie Ce 15 Décembre 2009, le site d'informations et d'opposition Charter97org a été la cible d'attaques en déni de service DDoS visant à le rendre inaccessible pour les internautes Quelles sont les raisons de cet assaut numérique Il semblerait que cela fasse suite à l'un de leur article dénonçant une loi actuellement en cours de discussion qui aurait pour objectif de contrôler le réseau Internet Bien sûr, soyons rassurés, il s'agit de détecter les comportements extrémistes à chacun de faire sa définition du mot Charter97org, Decree on Internet limitations prepared in Belarus Text of the document , December 14, 2009 La liberté d'expression n'est visiblement pas du goût de certains A de maintes reprises, le site a été la cible d'attaques diverses et variées http://www.secuobs.com/revue/news/172901.shtmlhttp://www.secuobs.com/revue/news/172901.shtml