Actualités

Pour vous abonner au fil RSS, cliquez sur la vignette d'abonnement de votre choix :

     

Tous > Général > Technique > CNIL > Alertes > Articles > Apple > RGPD 




Stratégie numérique du Gouvernement

Publié le 22/06/2015

Le Premier ministre a présenté ce 18 juin la stratégie numérique du Gouvernement.

Organisée en quatre chapitres, elle annonce dans celui intitulé « Égalité des droits : la confiance, socle de la société numérique » la publication à l’été 2015 d’une stratégie nationale pour la sécurité du numérique, dont l’élaboration est coordonnée par l’ANSSI, et le lancement au premier semestre 2016 d’un dispositif d’assistance aux victimes d’actes de cybermalveillance au service des particuliers, des entreprises de toutes tailles et des collectivités territoriales. La conception de ce dispositif est co-pilotée par l’ANSSI et le ministère de l’Intérieur. Enfin, l’ANSSI s’implique également dans la conception et le développement du label « Secure cloud » évoqué dans le chapitre « Liberté d’innover : le numérique moteur de la croissance et de l’entreprise »

Source : ANSSI
Acceder au rapport complet. (398 pages)





Wassenaar, vers une extension des catégories pour intégrer les logiciels de sécurité IT?

Publié le 15/06/2015

Les Etats-Unis demandent une extension des textes des accords de Waassenaar pour créer une nouvelle catégorie intégrant les ""Intrusion and Surveillance Items".

Cette proposition du Gouvernement US entend inscrire les « intrusion software » dans la catégorie des armes à contingenter. Avec quelques exceptions, certes, mais le terme de « logiciels d’intrusion » reste tellement flou que pratiquement tout et n’importe quoi pourrait correspondre à cette catégorie.
A ce titre, Sean Sullivan de F-Secure fait remarque que ce flou intègre les « outils de détection » tels que les antivirus, IPS, IDS et firewalls toutes générations confondues, et que l’exportation d’une licence d’A.V. pourrait bien se transformer en un enfer de paperasserie.
Trois catégories de cyber-armes seraient ainsi règlementées : Les « malware d’intrusion », les « exploits d’intrusion » et les produits « de surveillance IP ».

La chanson risque donc de ne plus du tout être la même pour les éditeurs de logiciels et certaines entreprises du monde de la sécurité : le bug et l’exploit subiront des contingentements et, par voie de conséquence, cela pourrait bien occasionner un marché noir très juteux.
Durant le mois écoulé, deux grands noms ont augmenté leurs « bug bounties ». Mozilla, qui achète un « trou avec PoC de première catégorie » aux environs de 7500 $ contre 3000 auparavant, et Microsoft, qui ajoute Azure et le projet Spartan à la liste logiciels-terrain-de-chasse-pour-bughunters. Les primes au trou, précise le communiqué du Response Team, peuvent atteindre 100 000 dollars, soit le montant de 250 à 500 véritables fusils d’assaut au marché noir. Si l’on ajoute à ces deux actualités le travail des multiples centrales d’achats d’exploits tel le Zero Day Initiative, HackerOne, Bugcrowd, Crowdcurity ou Synack, et que l’on complète la liste avec les noms des spécialistes du Pentesting tels que ImmunitySec (Canvas) ou Vupen, ex-entreprise Française basée désormais à Annapolis, l’on se rend vite compte que la proposition Wassenaar des USA pourrait bien avoir des conséquences formidables en termes de sécurité des TIC :

1. La première d’entre ces conséquences : la massification progressive des compétences sur le territoire US.
Un pays, cela va sans dire, qui n’a pas besoin des autorisations Wassenaar pour produire ses propres armes à usage « interne » quand bien même « l’interne » concernerait l’Europe comme le prouvent les fichiers Snowden et les différentes opérations d’espionnage que la NSA a mené en France, en Allemagne et en Espagne notamment.
2. La seconde conséquence serait, comme déjà mentionné, la création d’un nouveau marché noir de l’exploit.
Il en existe déjà plusieurs, qui alimentent soit le secteur purement mafieux des « rings » de Russie, de Chine, d’Amérique du Nord et du Sud, soit les hacktivistes de ces mêmes pays (au nombre desquels l’on doit ajouter quelques Nations du Moyen Orient), soit des mercenaires spécialistes de l’espionnage industriel…

Or, ces nouveaux marchés du cyberflingue « Wassenaar free » ne suivra pas les circuits traditionnels de la vente d’arme. Point d’intermédiaire Africain pour faire transiter une Kalachnikov binaire, nulle Aktiengesellschaft Helvétique pour s’assurer du transport d’une centrifugeuse de code virtuelle. Il suffit d’une liaison IP et d’un compte en banque numéroté. Et la première victime ne sera pas nécessairement la personne visée par la cyberarme en question, mais tous les usages de systèmes d’information, qui verront s’amenuiser encore plus le volume de correctifs et les capacités de détection et de défense des outils périmétriques. Le prix de vente d’un exploit à un militaire n’est pas le même que celui affiché au barème des bug-bounties. Donc, tout comme dans le domaine du Renseignement en France, l’encadrement juridique des outils de « cyber-attaque » ne vise certainement pas à limiter l’usage illégal ou agressif de ces outils, mais d’amoindrir l’autonomie et faciliter la surveillance de chaque citoyen, de chaque entreprise.

Ce billet reprend, tout ou en partie, l'article d'actualité posté le 11 juin 2015 par cnis-mag.
Plus d'information sur les accords de "Wassenaar. (en anglais)
Lire les "principes" et lignes directrices des accords de wassenaar. (pdf en anglais)





Déclaration tardive à la Cnil = preuve illicite

Publié le 02/06/2015

L’information obtenue à partir d’un fichier qui n’était pas encore déclaré à la Cnil au moment des faits reprochés ne peut constituer une preuve licite, a considéré la chambre sociale de la Cour de cassation dans un arrêt du 8 octobre 2014.

En l’occurrence, la cour d’appel d’Amiens avait approuvé le licenciement pour cause réelle et sérieuse d’une salariée, à savoir pour l’utilisation excessive de la messagerie électronique à des fins personnelles, en se fondant uniquement sur les éléments de preuve obtenus à l’aide d’un traitement automatisé de données à caractère personnel avant qu’il ne soit déclaré à la Cnil.
Il était reproché à une salarié d’avoir envoyé et reçu un nombre extrêmement élevé de messages électroniques personnels pendant son temps de travail, 607 en octobre 2009 et 621 en novembre suivant. Elle avait été convoquée à un entretien préalable le 2 décembre et licenciée le 23 décembre. Or ce n’est que le 10 décembre 2009 que l’employeur avait déclaré à la Cnil le dispositif de contrôle individuel des flux des messageries électroniques.
Consulter la version courte ou l'arrêté complet sur le site de legalis.

LA CNIL recense par ailleurs les sanctions pénales liées, notamment :
"Le fait, y compris par négligence, de procéder ou de faire procéder à des traitements de données à caractère personnel sans qu'aient été respectées les formalités préalables à leur mise en oeuvre prévues par la loi est puni de cinq ans d'emprisonnement et de 300 000 euros d'amende. Est puni des mêmes peines le fait, y compris par négligence, de procéder ou de faire procéder à un traitement qui a fait l'objet de l'une des mesures prévues au 2° du I de l'article 45 de la loi n° 78-17 du 6 janvier 1978 relative à l'informatique, aux fichiers et aux libertés."

Trop d'entreprises sont ignorantes de leurs obligations concernant les traitements de données nominatives, traitements qu'elles réalisent pourtant souvent. Dans le doutes, et à minima, contacter la CNIL pour vous assurer si une déclaration est nécessaire.





Alerte enlèvement de données ! Fini l’amateurisme pour les PME.

Publié le 02/06/2015

Pierre Poggi, Country Manager de Watchguard France, publie un article intéressant sur globalsecuritymag, relevant la faiblesse des TPE-PME en matière de sécurité informatique, à partir de l'exemple des ransomwares.

"[...]La vérité est cruelle, mais pour les PME et TPE, l’amateurisme n’est plus de mise.
Les mesures de sécurité basiques telles qu’un antivirus à jour sur tous les postes ne suffisent plus. En effet, près de 88% des malwares actuels sont capables de se transformer pour ne pas être détectés par les antivirus les plus courants. Pour se prémunir contre la plupart des nouvelles attaques d’aujourd’hui, il suffirait pourtant que ces entreprises mettent en application deux mesures simples et peu onéreuses, du domaine du simple bon sens :

1. Tout d’abord, définir une véritable politique de sécurité pour le réseau, avec des règles et des procédures imposées à tout le personnel de l’organisation. Cette démarche n’exige tout au plus que quelques heures de réflexion. Elle passe par la détermination du périmètre à protéger, des moyens pour y parvenir, et par la définition des responsabilités de chacun.
2. Puis contrôler efficacement TOUS les accès Internet de l’entreprise, via les liaisons filaires ET les connexions WiFi, afin de bénéficier d’une protection efficace contre les nouvelles menaces avancées telles que les ‘ransomwares’.
Une tâche qui s’apparente à un vrai défi pour beaucoup de responsables de PME, mais qui est très correctement prise en charge par des boîtiers de sécurité UTM (boîtiers tout-en-un embarquant différents logiciels de sécurité)de nouvelle génération, performants bien que simples à configurer, compatibles avec leur budget et qui ne nécessitent pas de compétences informatiques poussées.

Ceci expliquant cela, les ventes de boîtiers UTM explosent dans le monde. D’après une récente étude du cabinet IDC**, elles se sont accrues de 14,4% en 2014 pour représenter 49,4% du marché global des boîtiers de sécurité réseau en Europe, évalué à 732.000 unités. Un chiffre à mettre en rapport avec le fait que près de 50% des PME françaises ne disposent même pas du plus basique des boîtiers firewall..."

Lire l'article complet : ici.





Les attaques DDoS ont doublées au 1er trimestre, le SSDP principal vecteur d'attaque

Publiée 01/06/2015

Akamai Technologies a publié son rapport 2015 sur la sécurité Internet.
Ce rapport passe en revue les attaques les plus fréquentes, observe les intentions des attaquants, les menaces émergentes et les ressources qu'offre la sécurité dans le cloud. Une centaine de pages, d'où émerge un type de menace plus flagrant que les autres, les DDoS. Il a plus que doublé au 1er trimestre 2015 par rapport au même trimestre de l'année précédente.
Point essentiel de l'étude, les vecteurs d'attaque DDoS ont changés, c'est le Simple Discovery Protocol (SSDP) qui arrive en tête, dans le secteur des infrastructures, devançant les SYN (SYN flood), qui avaient la vedette au T4 2014. Cette attaque est facile à exécuter pour des acteurs malveillants, et le nombre de réflecteurs vulnérables ne semble pas diminuer; l'amplification par réflexion permettant aux cyber-attaquants d'augmenter le volume du trafic généré tout en masquant les sources.
Sur le 1er trimestre, Akamai note par ailleurs l'arrivée d'un nouveau groupe d'attaquants : des sites booter / stresser, c.-à-d. des sites qui offrent des services DDoS à la demande. Ces sites d'attaque sont plus dangereux aujourd'hui que par le passé, ils sont aujourd'hui capables de lancer des attaques de plus de 100 Gbps! Et avec de nouvelles méthodes d'attaque comme SSDP, les dommages potentiels devraient continuer à augmenter au fil du temps!
Concernant les applications, Akamai a concentré son analyse sur sept attaques communes :

* L'injection SQL (SQLi),
* La faille locale (local file inclusion, LFI),
* L'inclusion de fichiers à distance (remote file inclusion, RFI),
* l'injection PHP (PHPi),
* l'injection de commandes (command injection, CMDI),
* L'injection Java (java injection), un langage open source pour Java (abusing object Graph navigation language)
* Et le téléchargement de fichiers malveillants (malicious file upload, MFU).

Par ailleurs, 91,48% de ces attaques ont été réalisée en http, donc en clair.
Enfin, quant aux pays d'origine des attaquants : "Ensemble, la Chine, l'Allemagne et les Etats-Unis représentaient plus de 50% des attaques IPs sur ce trimestre" écrit Akamai.
Lire l'article Initial sur reseaux-telecoms.net.

1<< Précédent18 >Suivant >>27