Archives de catégorie : Attaques

Ghost

Ghost est une vulnérabilité touchant une libraire Linux, qui a été détectée puis… rien. Il a fallu plus d’un an et demi pour que cette faille soit prise en compte.

Liens

  • http://securityintelligence.com/wordpress-ghost-vulnerability
  • http://www.tomshardware.fr/articles/ghost-faille-linux-glibc,1-55391.html

Stuxnet

Stuxnet est un drôle de virus.

Voir aussi

Source originale partielle

{{Traduction/Référence|en|Stuxnet|en:Stuxnet}}

NSA

La NSA n’est plus à présenter, puisque c’est le plus gros employeur au monde dans le domaine de la sécurité informatique. Rien que l’équipe dont le seul objectif est de pénétrer dans n’importe quel système informatique compte plus d’un millier de personnes, qui n’ont pas l’air d’être des manchots (à part celui qui est à l’origine de fuites d’informations retrouvées « par hasard » par Kaspersky).

Non, ce qui m’intéresse est d’observer les implications, les ramifications et les relations entre différentes affaires, ainsi que les forces et les faiblesses de cette organisation déjà tout puissante avant l’avènement de l’informatique grand public.

Evolution tardive

Un des grands reproches fait à la NSA est que l’agence est exclusivement orientée vers l’attaque, ce qui correspond à la doctrine de défense des Etats-Unis qui ont longtemps pensé qu’ils ne seraient jamais attaqués sur leur territoire national, et que toute posture de défense serait superflue.

Or dans le monde cyber, comme dans le monde physique, les Etats-Unis sont comme les autres, vulnérables et attaqués. Et ce n’est qu’en 2019 qu’est structuré une organisation en charge de la défense informatique dont l’objectif est de protéger les infrastructures du pays ainsi que les prestataires de défense.

  • Voir plus d’infos sur le site de la NSA.

Sources

L’informatique, c’est physique

Je suis un des premiers à le reconnaître, mais j’avais oublié que l’informatique était un objet éminemment physique. A l’ère du tout numérique et de la dématérialisation à tout va, à une époque où on se demande où sont stockées nos données (car bien souvent on ne le sait pas), j’ai suivi une présentation très intéressante au cours du FIC 2018 faite par un géographe, chercheur à l’université (ref), qui nous a remis à l’esprit que derrière l’immatérialité apparente de l’informatique il y avait une réalité bien tangible.

Cette réalité prenait forme d’une très éclairante approche cartographique du cyberespace, au sens très large.

Réalité contre projection

Le cyberespace est d’abord une construction physique, informatique, faite de machines et de câbles désormais répartis partout tout le monde réel.

Ensuite, ce cyberespace sert bien à quelque chose : tout comme l’informatique, il sert à manipuler et interagir sur une projection (une représentation) d’idées et de concepts, dont la plupart sont liés à notre monde réel (mais pas forcément). Si l’informatique a servi dans un premier temps à nous aider à accomplir ou accompagner des tâches réelles (techniques, scientifiques, professionnelles), son évolution a conduit à être utilisée pour interagir avec des objets chimériques ou imaginaires. Un exemple simple de cela est ce que peut représenter un jeu vidéo, qui représente un univers purement imaginaire.

L’idée n’est pas ici de différencier l’usage de l’informatique et du cyberespace en réel ou imaginaire, le fait est qu’on utilise l’informatique et que le contenu traité nous importe. Or comme il nous importe, il est également important d’examiner cet outil qui, bien que traitant d’immatériel (une projection de notre monde ou des concepts), il s’appuie sur des équipements physiques dont l’usage, la géographie et le contrôle sont des enjeux désormais stratégiques, au niveau des Etats.

Exemple de la Géorgie (guerre 2008, rachat d’un opérateur câble).

Cartographie du passage des flux. Tbilissi est plus proche de Sofia que de l’Abkhazie.

Importance militaire et stratégique (coupure en Géorgie et en Crimée).

Sauvegarde

Réaliser une sauvegarde de ses fichiers importants est la mesure de sécurité la plus importante qui soit. L’actualité de 2015-2016 en est la preuve, avec la prolifération de ransomwares.

Parmi les critères de choix d’un service de sauvegarde en ligne, il y en a un qui est essentiel : dans les conditions d’utilisation, vérifiez bien qu’il est écrit que si vous perdez votre mot de passe (ou votre clé de chiffrement), il sera impossible de récupérer vos données. En effet, la plupart des fournisseurs de service de sauvegarde s’engagent à ne jamais consulter ou diffuser vos données. Sous-entendu : ils peuvent le faire mais ne le feront pas.

Liste de quelques services en ligne permettant l’utilisation de clés de chiffrement personnelles, et donc ne pouvant pas lire vos fichiers.

  • Crashplan (il n’y a plus directement de plan pour les particuliers)
  • Backblaze
  • Carbonite
  • SOS
  • Mozy

Cela ne préjuge en rien de la qualité du service proposé. Pour avoir des informations complémentaires, voici un comparatif récent, en anglais :

Autres offres de stockage

  • degoo.com
    • Via une application. Pas d’autre accès possible.
  • zoolz.com
  • pCloud
    • Pas FTP/SFTP
  • sync.com
  • hiDrive (ionos)
    • Beaucoup de protocoles mais uniquement sur la formule Pro ; sinon il faudra se contenter de WebDav.
    • Client (PC) assez ancien, même s’il paraît robuste.

Critères d’évaluation

  • Présence d’un client de synchronisation
  • Gestion des droits utilisateurs
  • Gestion des versions
  • Taille max des fichiers
  • Mode de protection (chiffrement)
  • Protocoles supportés (https, ftps/sftp, ssh/scp, etc.)

Logiciels de chiffrement pour stockage en ligne

  • Boxcryptor

Appareils mobiles

Que vous soyez geek ou pas, la technologie fait partie de votre quotidien. Avec l’essor des smartphones hier et des tablettes aujourd’hui, les risques liés à la mobilité sont désormais un enjeu majeur de la sécurité des systèmes d’information.

Cette tendance est renforcée par l’arrivée en entreprise des terminaux personnels : il est en effet très tentant de synchroniser son smartphone, consulter son agenda sur sa tablette ou connecter sa clé USB sur son PC professionnel. Or ces équipements personnels, non maîtrisés par l’entreprise, peuvent induire un risque de compromission du SI ou de fuite d’information, parfois à l’insu de l’utilisateur.

Domaine personnel

Je sais tout de vous

Ce risque est indirectement lié à votre usage : vous laissez des tonnes d’informations sur vous et sur ce que vous faites en utilisant votre smartphone. Vous en laissez non seulement quand vous activez les options de géolocalisation, mais aussi en laissant d’autres types de données remonter vers l’opérateur, le fournisseur du système d’exploitation ou les éditeurs de logiciels.

Google peut par exemple vous localiser sans que vous donniez votre consentement pour la géolocalisation : pour cela, il utilise d’autres données telles que votre activité sur le web1. Certains petits malins sont également des spécialistes pour brouiller les pistes et forcer certains réglages par défaut en les noyant dans la masse2 (NB : il n’y a aucune contrepèterie dans cette phrase). Facebook en a fait sa spécialité.

Milieu professionnel

Quels sont les risques ?

Ces terminaux personnels sont le plus souvent non maîtrisés par l’entreprise, et deviennent de fait un nouveau facteur de risque et notamment de fuite d’informations, si l’entreprise n’a pas mis des mesures de protection adaptées à cette usage. Si les agents logiciels de protection et les antivirus sont entrés dans les mœurs pour ce qui est des ordinateurs fixes, la plupart des utilisateurs de Smartphones n’ont pas conscience de la nécessité de se protéger sur un appareil mobile.

Pourtant, comme tout dispositif informatique, les appareils mobiles sont vulnérables aux programmes malveillants (vers, virus, troyens…). De nombreux analystes pensent qu’avec l’usage accru de ces terminaux mobiles, cette menace va s’accentuer3, et le risque de compromission du SI devient alors réel si ces appareils lui sont connectés ou si des données confidentielles de l’entreprise sont accessibles. Les données personnelles ou l’usage du mobile sont également des cibles soit de ransomwares4 soit de siphonage (comme par exemple les informations de connexion aux sites bancaires).

De plus, par leur nature même, les Smartphones, tablettes, PC Portables et clés USB sont plus exposés au risque de vol, ou tout simplement de perte. Le risque de fuite d’information devient alors considérable s’il n’existe pas de dispositif de chiffrement des données, ou d’effacement et/ou blocage à distance des appareils perdus ou volés.

Et le BYOD ?

Il existe certains cas d’usage de Bring Your Own Device (ou BYOD, qui est l’utilisation par le collaborateur de son terminal mobile personnel en tant qu’outil professionnel) au sein de son entreprise. L’utilisateur dispose donc d’un appareil personnel mais qui est souvent maîtrisé par l’entreprise (pour la partie « usage professionnel »). A DEVELOPPER

Des exemples de menaces déjà existantes

Trend estime que 25% des programmes malveillants sur mobile (en 2012) ont pour objet de dérober des données personnelles ou confidentielles, allant du carnet d’adresses jusqu’aux SMS reçus (comme par exemple les codes de confirmation pour certaines transactions bancaires) ! Zeus, un troyen très dangereux et très répandu sur Windows,  possède déjà des variantes pour BlackBerry5 et Android. Et les futures attaques ne manqueront pas d’exploiter les technologies embarquées sur ces matériels (GPS, caméra, NFC…) ! OBSOLETE

Quelle réponse ?

xxx

Voir aussi