OPTICAL CENTER une sanction de 250.000€

OPTICAL CENTER : sanction de 250.000€ pour une atteinte à la sécurité des données des clients du site internet www.optical-center.fr

La formation restreinte de la CNIL a prononcé une sanction de 250.000 euros à l’encontre de la société OPTICAL CENTER pour avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne à partir de son site internet.

En juillet 2017, la CNIL a été informée d’une « fuite de données conséquentes » concernant la société OPTICAL CENTER.

Un contrôle en ligne a permis aux équipes de la CNIL de constater qu’il était possible, en renseignant plusieurs URL dans la barre d’adresse d’un navigateur, d’accéder à des centaines de factures de clients de la société. Ces factures contenaient des données telles que les nom, prénom, adresse postale ainsi que des données de santé (correction ophtalmologique) ou encore, dans certains cas, le numéro de sécurité sociale des personnes concernées.

Alertée le même jour par la CNIL, la société s’est rapprochée de son prestataire pour qu’il prenne les mesures nécessaires afin de mettre fin à cet incident de sécurité.

Un contrôle sur place a été mené dans les locaux de la société OPTICAL CENTER, durant lequel elle a reconnu que son site internet présentait bien un défaut de sécurité. En l’espèce, le site www.optical-center.fr n’intégrait pas de fonctionnalité permettant de vérifier qu’un client est bien connecté à son espace personnel (« espace client ») avant de lui afficher ses factures. Il était ainsi relativement simple d’accéder aux documents d’un autre client de la société.

La Présidente de la CNIL a donc désigné un rapporteur afin que soit engagée une procédure de sanction à l’encontre de la société OPTICAL CENTER.

La formation restreinte de la CNIL a prononcé une sanction pécuniaire d’un montant de 250.000 euros, estimant que la société avait manqué à son obligation de sécurité des données personnelles, en méconnaissance de l’article 34 de la loi Informatique et Libertés.

Tout en soulignant la réactivité de la société dans la résolution de la faille, la formation restreinte a considéré que la question de la restriction d’accès aux documents mis à disposition des clients, à partir de leur espace réservé, aurait dû faire l’objet d’une attention particulière de la part de la société. Elle a ainsi estimé que la mise en place d’une telle fonctionnalité constitue une précaution d’usage essentielle. La formation restreinte a également relevé que la société ne pouvait pas ignorer les risques liés à un défaut de sécurisation de son site dès lors qu’une sanction de 50 000 euros avait déjà été prononcée en raison d’un défaut de sécurité en 2015.

Compte tenu notamment de la particulière sensibilité des données ayant été rendues librement accessibles, du nombre de clients impactés et du volume de documents contenus dans la base de données de la société à la date de l’incident (plus de 334  000), la formation restreinte a décidé de rendre publique sa décision.

Source Cnil

Secnum Académie de L’ANSSI

Obtention du certificat de la Secnum Académie pour avoir suivi la formation pourtant sur quatre modules de cinq Unités.

Les thèmes abordés :

  • Panorama de la ssi
  • Sécurité de l’authentification
  • Sécurité sur internet
  • Sécurité du poste de travail et nomadisme

Merci à l’ANSSI (Agence nationale de la sécurité des systèmes d’information) pour la qualité de sa formation.

Le Patriot Act et la sécurité des données des entreprises françaises

Nadim Baklouti et Gaetan Fron, Equity

Comment  les entreprises françaises sont-elles aujourd’hui affectées par le Patriot Act américain ?

Le Patriot Act est une loi antiterroriste qui a été adoptée par les Etats-Unis après le 11 septembre 2001. Promulguée dans l’urgence comme une loi d’exception, elle a été prolongée à deux reprises et est toujours en vigueur à l’heure actuelle. Le Patriot Act autorise l’administration américaine à accéder à tout moment et sans autorisation judiciaire aux données informatiques des entreprises ou des particuliers qui ont un lien, quel qu’il soit, avec les États-Unis. En pratique, cela peut poser de graves problèmes pour une entreprise ayant stocké ses données confidentielles ou celles de son client chez un hébergeur américain, même s’il s’agit d’une filiale localisée dans un pays différent.

Qu’en est-il alors des entreprises françaises ? Quelles solutions existent pour assurer la confidentialité des informations privées des entreprises ?

Le risque de fuite de l’information

Dans un environnement hyperconcurrentiel, les risques de divulgation d’informations confidentielles pèsent sur toutes les entreprises puisque chacune a une part de marché à défendre ou une image à préserver. Néanmoins, toutes ne sont pas forcément impactées par l’étendue du Patriot Act, cela va dépendre de leur système d’information (organisation, gérance, etc.). Aujourd’hui, le développement de logiciels et la gestion des systèmes d’informations sont souvent sous-traités partiellement ou totalement à des fournisseurs pour notamment réduire les coûts de gestion ou bien bénéficier du savoir-faire et l’expertise de spécialistes. Cependant, cette externalisation (en mode Saas ou autre) peut ouvrir la porte au Patriot Act en faisant le choix, délibérément ou par manque d’informations, d’un prestataire de services de nationalité américaine pour l’hébergement des données.

En outre, l’Agence Nationale de la Sécurité Américaine (NSA) bénéficie de l’accès direct aux informations stockées sur les serveurs américains, et même aux données des fournisseurs de services informatiques américains (et donc de leurs clients) dont les serveurs sont situés en dehors des Etats-Unis ! Rappelons qu’en mai 2014, Microsoft (société de droit américain relevant donc du Patriot Act) a été sommé de céder aux autorités américaines les informations privées d’un client, bien que celles-ci fussent hébergées en Irlande.

 Qui des données issues d’Office 365?

Si l’on prend maintenant l’exemple des solutions Microsoft 365 (Outlook en accès web), les informations sont enregistrées et traitées par un serveur américain qui relève du Patriot Act. Les entreprises, en utilisant ces services, peuvent donc être espionnées et leurs informations sensibles exploitées. De plus, les autorités américaines qui n’ont aucune obligation d’informer les propriétaires des données consultées ni des modalités de conservation ! Ainsi, du moment où elles passent par un serveur américain, les données des entreprises ne sont plus considérées comme sécurisées et courent donc un risque non négligeable de confidentialité (au niveau de l’intelligence économique notamment). C’est un risque que l’on peut comparer au piratage informatique sauf que dans le cas Patriot Act, il s’agit d’une intrusion légale.

 

Assurer la confidentialité des données privées

Dans ce contexte, trois étapes apparaissent essentielles pour permettre aux entreprises de ne pas être sujette à cette éventuelle fuite de l’information, et pour s’assurer le contrôle sur l’accès aux données :

Faire le tri

Dans un premier temps, il appartient aux entreprises de catégoriser leurs données, afin de cibler et de trier les informations sensibles, celles-ci pouvant revêtir de nombreux aspects : secret des affaires, communication financière et stratégique, brevets, éléments de recherche et développement, débats des conseils d’administration, mais aussi tout ce qui relève des échanges électroniques du quotidien.

Sensibiliser les collaborateurs

Pour prévenir le risque d’être confronté au Patriot Act, on note aussi l’importance de la communication au sein même de l’entreprise pour informer et responsabiliser les collaborateurs à la sécurité des données. Cette sensibilisation peut éviter une soumission par négligence au Patriot Act, comme c’est le cas lors des échanges par email via des services de messagerie grand-public (webmails) qui sont très populaires, mais souvent américains. Ainsi, former ses employés aux enjeux de la confidentialité des données et aux conséquences que peuvent avoir certains de leurs actes virtuels, c’est protéger le capital informationnel de l’entreprise tout en instaurant de bonnes pratiques en matière de sécurité informatique.

Être vigilant

Une fois les données catégorisées et les collaborateurs sensibilisés, l’entreprise doit être très attentive aux conditions de stockage de l’information dite sensible.

Le meilleur moyen de se protéger du Patriot Act américain consiste à être vigilant quant à l’origine de l’hébergeur et du serveur. Une vérification de toute la chaîne de fournisseurs – et pas uniquement du serveur – s’impose donc pour s’assurer que les données ne sont pas concernées par cette loi américaine.

Ainsi il faut que l’entreprise privilégie les opérateurs européens dont les serveurs sont situés sur le territoire européen. Dans le cas d’une entreprise française, il est bien évidemment préférable de choisir des prestataires à caractère souverain dont les serveurs sont localisés en France.

En effet, pour protéger l’information sensible de l’entreprise, la France et les acteurs européens créent des certificats (par exemple le Label Cloud Confidence ou le Label Cyber Sécurité France) dans l’idée de labéliser les services qui respectent le principe de conservation de l’information dans le cadre juridique européen.

Enfin, d’autres mesures classiques existent pour protéger ses informations privées : chiffrement des données, engagement de confidentialité, audits systématiques pour tester régulièrement la sécurité des logiciels utilisés, etc. Tous ces moyens de protection témoignent d’une véritable prise de conscience de la part des entreprises de la valeur critique de leurs données et de la nécessité de les protéger.

Par Nadim Baklouti, Directeur R&D Leading Boards (solution de dématérialisation des Conseils d’Administration), et Gaetan Fron, Directeur DiliTrust (service de datarooms électroniques).

Les Français face à la cybercriminalité: une fraude de 6 milliards d’euros en 2017

Selon Norton by Symantec, le coût de la cybercriminalité visant le grand public a plus que triplé en France. La fraude par carte bancaire arrive en tête des préjudices subis.

La note est salée pour la France : en 2017, plus de 19 millions de personnes ont été victimes d’actes de piratage, soit 42 % de la population d’internautes adultes.

Les pertes financières cumulées atteignent 6,1 milliards d’euros et elles ont passé l’équivalent de deux jours pour réparer les dommages causés.

Ces chiffres issus du dernier rapport Norton by Symantec sur les cyber-risques (*) montrent une très forte progression de la cybercriminalité. Lors de la précédente édition,  la facture s’élevait à « seulement » 1,783 milliard d’euros.

Quand on regarde plus en détail la nature des préjudices, on trouve la fraude par carte bancaire (1212 euros en moyenne), devant le détournement du réseau Wi-Fi domestique (496 euros) et les vols de données associés au paiement sur smartphone (463 euros).

Les cyber-victimes semblent présenter un profil similaire, sous le prisme de Norton. Ultra-connectées, elles possèdent de multiples appareils qu’elles utilisent à domicile ou en déplacement. Elles font aussi des achats sur mobile hors domiciles.

Paradoxalement, cette appétence pour les nouvelles technologies ne les rend pas plus matures en matière de cybersécurité.

De fait, les victimes françaises de la cybercriminalité ont plus tendance à utiliser le même mot de passe en ligne sur tous leurs comptes (23 % des victimes contre 12 % chez les non-victimes) ou à communiquer le mot de passe d’au moins un compte à des tiers (41 % contre 21 %). Et si elles utilisent des mots de passe différents, elles sont presque deux fois plus susceptibles de les enregistrer dans un fichier !

Des comportements à risques qui rappellent ceux observés en entreprise selon une récente étude d’Ovum et LastPass.

Dans le même ordre d’esprit, la moitié des Français avouent ne jamais faire de sauvegarde et plus d’un sur vingt reconnaissent ne jamais appliquer les mises à jour logicielles.

Les cyber-victimes dans le déni

Le rapport Norton montre une forme de déni. En dépit de leur expérience malheureuse, 43 % des victimes ont confiance dans leur capacité à protéger elles-mêmes leurs données et informations personnelles contre de futures attaques et une sur quatre estiment que leur risque de subir des actes de cybercriminalité était faible.

Spécialiste en cybersécurité chez Norton by Symantec, Laurent Heslault évoque « une frappante déconnexion de la réalité ». Un comble pour des personnes hyperconnectées.

Parmi les principales typologies d’attaques, on trouve à égalité (45 %) le malware et le phishing, puis le piratage d’un compte d’e-mail ou de réseau social (34 %). Autre indication : 22 % des utilisateurs impactés par un ransomware ont payé la rançon sans rien obtenir en retour.

Enfin, le rapport montre qu’une part non négligeable des Français ont une définition élastique du respect de la vie privée. 21 % trouvent qu’il est toujours ou parfois acceptable d’installer un logiciel espion sur l’appareil d’une autre personne et 15 % de dérober les informations personnelles d’un tiers.

(*) Le Norton Cyber Security Insights Report est une enquête en ligne réalisée du 5 au 24 octobre 2017 par le cabinet d’études Reputation Leaders auprès de 21 549 individus majeurs dans 20 pays, pour le compte de Norton by Symantec. Les données concernant la France portent sur 1 059 adultes de plus de 18 ans.

Le RGPD arrive : les responsables de la sécurité IT sous pression

Etude CESIN: Les Responsables de la sécurité des systèmes d’information sont fébriles entre les assauts en nombre et la mise en conformité avec le RGPD.

Les cyberattaques se multiplient à l’approche de l’entrée en vigueur, le 25 mai prochain, du Règlement général sur la protection des données (RGPD) qui constituera en Europe le nouveau cadre de référence  de l’exploitation de la data à l’ère numérique.

L’activité des Responsables de la sécurité des systèmes d’information (RSSI) et les budgets des entreprises sont directement impactés.

C’est le principal enseignement de la 3e édition du baromètre de la cybersécurité des entreprises du CESIN.

L’enquête a été réalisée par OpinionWay auprès de 142 RSSI de grands groupes français membres du Club des experts de la sécurité de l’information et du numérique.

Selon les résultats de l’enquête, 79% des entreprises ont été touchées par des cyberattaques en 2017. Et leur nombre a augmenté pour près d’une entreprise sur deux.

Les organisations ont le plus souvent été victimes d’attaques de ransomware (73%).

La demande de rançon pour récupérer le contrôle du système compromis devançant largement l’attaque virale générale (38%).

La fraude externe (30%) et la fuite d’informations (30%) figurent également au Top 3 des attaques subies.

Cyberattaques multiples, budgets serrés

Dans un cas sur deux, ces attaques ont un impact concret sur l’activité des entreprises touchées, observe le CESIN.

L’activité des entreprises peut être en partie freinée par : une indisponibilité de leur site Internet (15%), l’arrêt de la production pendant une période significative (12%). Ou encore la perte de chiffre d’affaires (9%) et le retard de livraison auprès des clients (7%).

Pour faire face aux attaques, les entreprises déploient, en plus des antivirus et pare-feu, une dizaine de solutions en moyenne : dont les VPN (85%), le filtrage Web (78%) et l’antispam (75%).

D’autres solutions et techniques, dont le chiffrement et la double authentification, sont considérées comme efficaces. Pourtant, elles sont encore peu utilisées.

Par ailleurs, malgré la prégnance des cyberattaques, la sécurité représente moins de 5% du budget IT des deux tiers des entreprises.

C’est un sujet sensible, tout comme le Règlement général sur la protection des données (RGPD)

RSSI, un DPO en puissance ?

Se conformer au RGPD permettra un réel renforcement de la protection des données personnelles pour 8 répondants sur 10 à l’enquête CESIN.

Mais ils sont plus nombreux encore à redouter son impact sur les budgets des organisations et la charge de travail des RSSI.

Ainsi, 94% des professionnels interrogés pensent que la mise en conformité au RGPD représente un coût supplémentaire pour les entreprises.

Et 89% redoutent une charge de travail supplementaire pour les RSSI.

Le cumul des fonctions de RSSI et de délégué à la protection des données (DPO en anglais) étant considéré comme compatible par plus d’un tiers (39%) des répondants.

Shadow IT redouté

Par ailleurs, 94% estiment que la sécurisation des données hébergées dans le Cloud nécessite des outils spécifiques. Le Shadow IT (les applications et services informatiques qui échappent au contrôle du département informatique) est redouté.

73% des RSSI jugent que les salariés sont sensibilisés aux risques, mais qu’ils restent peu proactifs.

62% des organisations ont donc mis en place des procédures de vérification du respect des recommandations de sécurité par les collaborateurs.

La gestion du cyber-risque passe également par la souscription d’une cyberassurance pour 40% des grandes entreprises. 22% envisagent de le faire. Il reste du chemin à parcourir sur le volet de la couverture.

Par ailleurs, 71% des RSSI pensent que les enjeux de cybersécurité et gouvernance des données sont bien pris en compte par le COMEX.

Enfin, l’entité jugée la plus légitime pour informer les entreprises en matière de cyber-risques est l’ANSSI (Agence nationale de sécurité des systèmes d’information).

Ce qui s’explique par son engagement de longue date auprès d’acteurs des secteurs privé et public. Parallèlement à l’accompagnement des opérateurs d’importance vitale (OIV).

crédit photo © Olivier le Moal-Shutterstock

Meltdown et Spectre : qu’est-ce que c’est et pourquoi ces failles de sécurité sont graves ?

Meltdown et Spectre sont les noms donnés à deux failles de sécurité majeures annoncées début janvier 2018 par deux chercheurs du projet Google Zero. Ces failles ne sont pas de banales failles logicielles, mais des failles de sécurité directement liées…

Cet article Meltdown et Spectre : qu’est-ce que c’est et pourquoi ces failles de sécurité sont graves ? est apparu en premier sur PhonAndroid.

Meltdown et Spectre sont les noms donnés à deux failles de sécurité majeures annoncées début janvier 2018 par deux chercheurs du projet Google Zero. Ces failles ne sont pas de banales failles logicielles, mais des failles de sécurité directement liées à la manière dont certains processeurs sont conçus, en particulier les processeurs Intel, AMD et ARM. Elle donnent accès à la mémoire système, et de là à une infinité de manières de pirater un ordinateur, un smartphone voire une tablette. Des patchs de sécurité sont en cours de publication, mais ceux-ci pourraient lourdement impacter les performances de certaines machines.

Sommaire

  • Meltdown et Spectre : qu’est-ce que c’est ?
  • Est-ce dangereux ? Quels sont les risques ?
  • Quels sont les ordinateurs, smartphones et tablettes concernés par Spectre et Meltdown ?
  • Le patch contre Meltdown et Spectre affecte lourdement les performances : faut-il vraiment faire le correctif ?
  • Comment vraiment se débarrasser une bonne fois pour toutes de Meltdown et Spectre ?
  • Conclusion : il va falloir s’armer de patience

Mercredi 3 janvier 2018, dans la soirée, deux équipes de chercheurs emmenées par Jann Horn (Google Project Zero) ont révélé l’existence de deux failles de sécurité majeures affectant virtuellement tous les processeurs Intel fabriqués depuis 1995 à nos jours, ainsi que potentiellement des processeurs AMD et ARM. Il s’agit de failles un peu particulières puisque celles-ci sont liées à la manière dont les processeurs sont concrètement conçus. Des patchs commencent à être déployés mais ces derniers impactent parfois lourdement les performances des machines touchées. Les risques pour la sécurité sont pourtant tels qu’il est vivement conseillé d’appliquer dès que possible le correctif.

Meltdown et Spectre : qu’est-ce que c’est ?

Meltdown casse la barrière qui isole normalement les applications de l’utilisateur du système d’exploitation. Cette faille permet donc à un programme spécialement conçu d’accéder à la mémoire vive, et de là à quantité d’informations sensibles comme vos mots de passe, clés de chiffrement… En bref, grâce à Meltdown, ce sont des dispositifs de sécurité vraiment basiques qui s’effondrent : vous pouvez en théorie prendre le contrôle de n’importe quel système affecté par le problème et en découvrir tous les secrets simplement en utilisant l’exploit.

Spectre casse quant à lui la barrière entre les applications. On peut grâce à Spectre obtenir des informations sensibles sur des applications en cours d’exécution, même si celles-ci sont particulièrement bien cadenassées. Spectre est plus difficile à exploiter que Meltdown, mais est également plus difficile (voire impossible) à patcher. Faisant peser un risque sérieux et permanent sur la sécurité des données de vos applications.

Est-ce dangereux ? Quels sont les risques ?

Ces deux failles sont extrêmement dangereuses car, on vous le disait, elles concerne de nombreux ordinateurs (et autres smartphones et tablettes) vendus potentiellement depuis 1995. On ne peut pas vraiment détecter une intrusion via cette attaque : aucune trace n’est laissée dans aucun log système. Le payload contenant Meltdown et/ou Spectre, autrement dit la partie du code malicieuse dans une application leurre, est par ailleurs plus difficile à détecter pour les antivirus. Les chercheurs de Google expliquent néanmoins que les logiciels antivirus pourront détecter ultérieurement les deux failles dans certains cas par comparaison du code.

On le voit, Meltdown et Spectre permettent, via une attaque indétectable, de soutirer des informations potentiellement très sensibles de votre ordinateur. On ne sait pas pour l’instant si cette faille a déjà été exploitée par le passé, ou si des groupes de hackers et services de renseignements l’utilisent encore aujourd’hui. Le problème c’est que les failles matérielles de ce type ne sont pas si faciles à patcher – cela se fait au prix de compromis assez imparfaits, voire inacceptables pour certains utilisateurs. Voici à quoi ressemble l’extraction des données issues de votre RAM via l’exploit Meltdown – tout ce qui passe par le processeur est en clair !

Quels sont les ordinateurs, smartphones et tablettes concernés par Spectre et Meltdown ?

Les chercheurs ont principalement testé leurs exploits sur des processeurs Intel lancés jusqu’en 2011. Ils affirment que toutes les machines dotées d’un processeur Intel vendues depuis 1995 jusqu’à nos jours sont concernées. Cela représente donc déjà une majorité de PC, mais aussi les macs qui n’utilisent plus de processeurs PowerPC depuis 2006. Dans un premier temps, les chercheurs de Google Zero expliquaient qu’ils ne savaient pas si les processeurs AMD et ARM éteint également touchés. Or on apprend que les chercheurs ont également fini par faire fonctionner une variante de Meltdown sur un processeur AMD FX-8320, et un AMD Pro A8-9600 R7.

Tous les processeurs AMD n’ont pas encore été testés, on ne sait donc pas pour le moment l’étendue du problème dans le lineup de la firme. AMD explique dans un post que le problème peut être résolu via une mise à jour « avec un impact négligeable sur les performances« . Le fabricant de SoC et processeurs mobile ARM a également reconnu que certains de ses coeurs, les Cortex R7, R8, A8, A9, A15, A17, A57, A72, A73 et A75 peuvent être affectés par une variante ou une autre de ces exploits. Les Cortex sont souvent intégrés dans des SoC fabriqués par des concurrents, qui eux-même sont intégrés dans les smartphones et tablettes.

Par exemple le tout dernier Snapdragon 845 qui se retrouvera notamment dans le Galaxy S9 devrait comporter quatre coeurs Cortex A75 concernés par la faille et quatre coeurs Cortex A53 (non concernés officiellement). Les S9 et autres smartphones sous Exynos 9810 sont a priori épargnés par la faille. Tandis que ceux sous le nouveau Kirin 970 comme le Huawei Mate 10 contiennent des Cortex A73, et peuvent donc être en théorie touchés. On ne sait pas encore si les SoC Apple sont également affectés – ils embarquent normalement eux-aussi des coeurs ARM. Que les possesseurs d’iPhone voient à nouveau les performances de leur smartphone réduites après le scandale des batteries serait sans aucun doute plein d’ironie.

Le patch contre Meltdown et Spectre affecte lourdement les performances : faut-il vraiment faire le correctif ?

On vous le disait, patcher un problème de conception matérielle avec une solution logicielle n’est pas facile. C’est même pratiquement mission impossible. Néanmoins les ingénieurs de Google Zero ont prévenu les entreprises concernées depuis déjà plusieurs mois. Microsoft, Apple, Linux Foundation… tous ont annoncé ou ont déjà déployé des correctifs. Android ne sera pas de reste, avec une mise à jour de sécurité dès vendredi. Les navigateurs web Chrome et Firefox vont également publier un patch pour éviter tout risque d’attaque via le web. Or, ces correctifs ont tous le même prix : un impact plus ou moins important sur les performances.

Les premiers tests montrent d’ailleurs que cela risque de ne pas du tout faire les affaires de nombreux utilisateurs : les pertes sont dans une fourchette de 5% à 30%. Le problème serait particulièrement grave pour les datacenters : les pires baisses de performances touchent en effet surtout les serveurs. Les premiers tests semblent montrer que Or, le problème, c’est que pour l’instant il reste des zones d’ombres sur l’étendue du problème – certains processeurs AMD sont-ils par exemple réellement immunisés contre Meltdown ? D’autant que de nouveaux ordinateurs, smartphones et tablettes vont prochainement sortir avec des processeurs toujours concernés par la faille.

Pour réellement contourner le problème il faudra également concevoir de tous nouveaux processeurs, ce qui peut prendre du temps. En tout cas bien davantage que lorsqu’il s’agit simplement de modifier un bout de code. Bref, hélas, la question de savoir si l’on doit ou non appliquer le correctif ne se pose plus vraiment, maintenant que les failles sont divulguées. À moins que vous souhaitiez laisser n’importe qui pirater vos mots de passes et autres données sensibles à votre insu… Il ne vous reste plus qu’à croiser les doigts pour que dans votre cas, cela n’impacte pas trop les performances de votre ordinateur.

Comment vraiment se débarrasser une bonne fois pour toutes de Meltdown et Spectre ?

À terme pour réellement se débarrasser de ces failles de sécurité sans le moindre impact sur les performances, il faudra nécessairement changer de matériel. On ne peut pas changer le design d’un processeur ou SoC une fois qu’il a été forgé. Une option d’autant plus incontournable que s’il existe un correctif pour empêcher Meltdown, il n’en existe pas vraiment pour Spectre, l’exploit qui permet d’accéder aux données sensibles d’autres applications. Du coup si la sécurité est un incontournable pour vous, vous en êtes quitte pour mettre votre ordinateur à la poubelle. Mais il y a un autre problème : savoir par quoi le remplacer.

Car il faudra certainement du temps pour savoir si d’autres processeurs AMD, ou ARM ne sont pas également touchés. Il faudra aussi certainement du temps pour qu’une nouvelle architecture évitant par design ce type de faille ne soit conçue. La conception de nouveaux processeurs peut prendre un temps relativement long en fonction des cas de figure et de l’équipe qui s’y consacre – de 1 à 10 ans. Les failles découvertes par Google Project Zero risquent d’obliger les ingénieurs à revoir de fond en comble le fonctionnement du processeur ce qui peut prendre potentiellement encore plus de temps.

Conclusion : il va falloir s’armer de patience

Le caractère matériel de cette faille de sécurité est, on le voit, particulièrement handicapant. Les failles matérielles Meltdown et Spectre font en effet sauter un verrou fondamental de la sécurité des systèmes d’exploitation. Sans qu’il soit possible de totalement colmater la brèche. La faille touche la plupart des ordinateurs du marché, et virtuellement tous les OS. Mais aussi, potentiellement, de nombreux smartphones et tablettes sous ARM (et Android). Il ne semble pas qu’il y ait pour l’heure d’alternative raisonnable à appliquer le correctif en attendant de changer de machine lorsque celle-ci sera vraiment en fin de vie. Les alternatives qui vous garantissent à 100% de ne pas être touché par le problème n’étant pas encore sur le marché.

Cet article Meltdown et Spectre : qu’est-ce que c’est et pourquoi ces failles de sécurité sont graves ? est apparu en premier sur PhonAndroid.

Meltdown et Spectre : deux failles pour un désastre sans précédent

Les conséquences informatiques pourraient être accompagnées de retombées écologiques, liées au remplacement des puces et aux rustines appliquées.

Dévoilées quelques dizaines d’heures après le nouvel an, les failles Spectre et Meltdown ont ouvert la liste des catastrophes informatiques de 2018. Et elles sont d’une ampleur gigantesque, puisqu’elles touchent la quasi-totalité des appareils informatiques, de l’ordinateur à la TV connectée en passant par le smartphone ou la tablette. Elles peuvent permettre à des hackers chevronnés d’accéder à des données confidentielles (étatiques, bancaires ou personnelles par exemple) au moment où elles sont traitées par le processeur.

Spectre et Meltdown sont d’autant plus graves qu’elles ne sont pas liées à un logiciel, relativement facile à corriger, mais à l’architecture même des puces. « Il s’agit d’un problème dans la conception interne des processeurs, qui ne peut pas être mis à jour », nous explique Hervé Schauer, expert en sécurité informatique depuis plus de 30 ans.

Impossible de changer tous les processeurs

Concrètement, la faille vient d’une optimisation : pour maximiser les performances, les fabricants Intel, AMD et ARM autorisent des codes à s’exécuter de façon prédictive, quitte à aller piocher des données dans un code voisin censé être confidentiel. Seule rustine possible : brider les processeurs pour en désactiver certaines optimisations fautives. La perte de performance se situerait entre 5 et 20 %, voire 30 %, en fonction des processeurs et des logiciels exécutés.

Mais même avec de telles mesures, les experts affirment qu’il faudra changer de processeur (et donc, souvent, d’appareil) pour être totalement protégé. « Réparer ce problème va nécessiter de développer une génération de processeurs totalement nouvelle, ce qui est extrêmement coûteux », nous explique Nik Simpson, vice-président du cabinet d’analyse Gartner pour la zone Europe, qui « n’imagine pas une seule seconde que les entreprises vont renouveler tous leurs processeurs », en raison du coût prohibitif.

Les systèmes cruciaux dans la tourmente

Cependant, si les particuliers et la plupart des utilisateurs professionnels peuvent accepter un faible risque de piratage jusqu’à la fin de vie de leur matériel, le remplacement pourrait être incontournable pour certains systèmes cruciaux des États, des hôpitaux, des banques, des industries, des transports, etc. Lorsque de nouvelles puces dépourvues d’optimisations défaillantes seront en vente, au mieux dans quelques mois, les opérateurs de serveurs sensibles devront donc choisir s’ils remplacent leurs équipements ou s’ils vivent avec le risque.

Dans l’industrie du cloud en particulier, les conséquences d’un tel piratage pourraient être désastreuses, car les machines sont partagées entre des milliers d’utilisateurs différents. Les données volées dans un seul processeur peuvent donc concerner de nombreuses victimes. De quoi effrayer Google, Amazon, Microsoft ou encore Facebook, qui vont dans un premier temps devoir stopper leurs serveurs pour appliquer les correctifs en urgence.

L’impact écologique oublié

Autre conséquence peu évoquée jusqu’à présent : l’écologie. Outre les processeurs traitant les données les plus sensibles qui devront être remplacés avant leur fin de vie, il va falloir combler le manque de puissance lié au bridage des processeurs qui seront conservés. En effet, si les puces perdent 5 à 30 % de leur capacité de calcul, il faudra en acheter plus pour faire le même travail…

Or, un produit informatique nécessite deux fois plus d’énergie pour être fabriqué que pour fonctionner durant toute sa durée de vie, et les matériaux qui le composent sont de plus en plus rares et polluants à extraire comme à recycler.

Le PDG d’Intel profite du désastre

Les conséquences de Meltdown et de Spectre ne seront donc pas seulement informatiques, elles seront aussi économiques et surtout écologiques. Toutefois, « il faut relativiser cet impact environnemental face à l’absurdité écologique du bitcoin et des cryptomonnaies, qui sont immensément pires pour la planète », tonne Hervé Schauer. Les cryptomonnaies (dont le bitcoin) nécessitent en effet une puissance de calcul pharaonique au quotidien, ce qui consomme d’énormes quantités d’énergie le plus souvent produite avec des combustibles fossiles très polluants.

Pendant ce temps, le PDG d’Intel, Brian Krzanich a bien profité du désastre. Il a vendu pour 24 millions de dollars d’actions Intel, le maximum dont il pouvait se séparer sans perdre son poste, en novembre 2017, soit pile au moment où tous les géants développaient des correctifs. S’est-il délesté de ses actions en toute connaissance de cause, se rendant ainsi suspect d’un possible délit d’initiés ? On peut en douter. Cette vente est « sans rapport » avec les failles découvertes, a quant à lui répondu un porte-parole du groupe. Sans toutefois en dire davantage…

WannaCry : la Corée du Nord instigatrice du plus ravageur des rançongiciels ?

L’administration Trump accuse la Corée du Nord d’avoir commandité la propagation du rançongiciel WannaCry qui a marqué les esprits en 2017.

La Corée du Nord derrière WannaCry ? Les Etats-Unis accusent cet “Etat renégat” comme l’instigateur du plus ravageur des rançongiciels (“ransomware”) qui a provoqué des dégâts considérables dans le monde à partir du 12 mai 2017.

Ce n’est pas vraiment une révélation concernant la source commanditaire. Des experts en sécurité avaient déjà pointé du doigt la responsabilité présumée du régime de Pyong Yang dans la diffusion de ce malware qui avait affecté 300 000 ordinateurs dans 150 pays (dont la France avec des grandes entreprises touchées comme Renault ou Saint-Gobain) en 72 heures.

Le préjudice global s’élèverait à des milliards [de dollars]”, selon Tom Bossert, conseiller à la sécurité intérieure du président américain Donald Trump, cité dans le Wall Street Journal.

Il faut prendre du recul dans les accusations visant la Corée du Nord en raison des tensions géopolitiques vives avec les Etats-Unis. Néanmoins, le gouvernement britannique est arrivé à des conclusions similaires de son côté alors que le système de santé public NHS avait été infecté par WannaCry.

Difficile de remettre en cause l’ampleur des dégâts. Dans une contribution blog, l’éditeur de solutions de sécurité IT KnowBe4 (installé en Floride) évaluait à un milliard le préjudice de WannaCry sur les quatre premiers jours de propagation courant mai.

“WannaCry a été irresponsable”, tonne Tom Bossert contre la Corée du Nord qui “agit mal, de manière quasi incontrôlée”. Tout en poursuivant : “Nous continuerons à exercer un maximum de pression sur Pyongyang pour afin de limiter sa capacité à mener des attaques, informatiques ou autres.”

Dans un rapport publié dans la foulée de la propagation de WannaCry, l’éditeur américain de solutions antivirus Symantec mettait en cause le groupe de pirates Lazarus soupçonné d’entretenir des liens troubles avec la Corée du Nord et d’avoir mené des assauts marquant contre Sony Pictures ou la banque centrale du Bangladesh.

Vulnérabilité d’usurpation d’identité dans plusieurs clients de messagerie

Le 4 décembre 2017, le chercheur en sécurité Sabri Haddouche a rendu publique une vulnérabilité nommée mailsploit.

Cette vulnérabilité permet lors de l’envoi de courriel de falsifier le champ émetteur qui sera affiché au destinataire et ainsi d’usurper potentiellement une identité expéditeur.

En effet, il est possible de tirer parti de la représentation des caractères et de leur encodage dans le champs « From » de l’entête d’un courriel pour amener un client de messagerie à n’interpréter qu’une partie des informations fournies. La différence entre la valeur du champ « From » et ce qui est affiché peut alors permettre à un utilisateur malveillant de falsifier les informations sur l’émetteur qui seront présentées au destinataire.

D’autre part, la vulnérabilité mailsploit rend possible l’injection de code dans le champ « From » qui pourra dans certains cas être interprété par le client de messagerie.

Contournement provisoire

Le CERT-FR met en garde contre les risques de hameçonnages liés à l’utilisation de cette vulnérabilité. De manière générale, le CERT-FR recommande la plus grande précaution quant aux liens ou pièces jointes accompagnant un courriel non sollicité ou dont la provenance peut sembler suspicieuse. Dans le cas présent, il faut faire preuve d’une vigilance accrue même si l’émetteur annoncé du courriel est considéré digne de confiance.

Solution

Pour les systèmes pour lesquels un correctif est disponible, le CERT-FR recommande de s’assurer que la version utilisée profite bien des dernières mises à jour.

Comment endiguer le cauchemar du shadow IT

Les risques du shadow IT ont le potentiel de perturber le bon fonctionnement des activités d’une entreprise. Comment les neutraliser ?

Le shadow IT est un spectre qui hante les cauchemars de tous les administrateurs informatiques. Il peut être décrit comme un matériel ou un logiciel utilisé par une entreprise mais qui n’est pas approuvé officiellement par cette entreprise.

La négativité du terme est justifiée par le fait que les employés d’une certaine entreprise, utilisent, au sein de l’espace IT de cette même entreprise, une technologie dont le département IT n’a pas connaissance, et qu’il n’a donc pas autorisée – un scénario qui mène droit au désastre.

Les risques du shadow IT sont bien connus et ont le potentiel de perturber le bon fonctionnement des activités d’une entreprise. Et pourtant, les entreprises doivent continuellement attirer l’attention des employés sur les dangers inhérents à l’utilisation de logiciels non autorisés par la direction.

Ces dernières années, le shadow IT n’a fait que croître en raison d’employés contournant la règlementation interne de leur entreprise. Avec une utilisation toujours plus répandue d’applications Cloud telles que Slack et d’outils commerciaux en ligne comme Skype qui aident à travailler plus rapidement et plus efficacement, le risque d’utilisation du shadow IT par les employés ne fait qu’augmenter.

Les développements technologiques tels que BYOD (bring your own device), bien qu’offrant des avantages significatifs et répondant à un besoin d’entreprise spécifique, ont également favorisé l’augmentation de fournisseurs tiers sur le lieu de travail, sans l’aval du département IT.

Le risque le plus important posé par le shadow IT est bien sûr lié à la sécurité. Des applications non autorisées par le département IT peuvent très rapidement créer des brèches de sécurité.

Les logiciels doivent respecter le protocole établi par le département informatique de l’entreprise car, sans cette conformité et cette surveillance, les conséquences négatives ne tardent pas à apparaitre.

Par exemple, partager ou transmettre des données à des utilisateurs ou des collaborateurs externes en-dehors du pare-feu de l’entreprise, là où la gouvernance et la conformité des données ne sont plus garanties, pose un réel danger.

De plus, la bande passante d’une entreprise peut être diminuée par les données transitant sur le réseau, créant une situation dont les administrateurs IT n’ont pas connaissance.

Une grande partie de l’attrait qu’ont les employés pour les logiciels non pris en charge réside dans la simplicité d’utilisation et la productivité offertes par ces outils.

Leur intention n’est donc pas malveillante car c’est souvent un désir d’être plus productif qui est à l’origine de l’utilisation de ces logiciels non compatibles avec la politique informatique de l’entreprise.

Malheureusement, le résultat final est tout autre, et finit même par diminuer l’efficacité de l’employé sur le long terme car il met en péril la sécurité et la conformité de l’entreprise, tout en créant une fragmentation des types de logiciels utilisés par différentes personnes au sein de l’organisation.

Neutraliser ces risques et éliminer le shadow IT requièrent donc une parfaite compréhension des défis auxquels doit faire face l’entreprise et des besoins de ses employés.

Les deux aspects doivent aller de pair afin de supprimer les motivations initiales qui poussent des employés à trouver des logiciels non pris en charge en leur offrant d’emblée un accès à des outils autorisés, simples et attractifs à utiliser.

Il est judicieux par exemple, de proposer une plateforme qui associe sécurité de pointe, gouvernance et outils d’authentification afin de veiller à ce que la sécurité, la gouvernance et la conformité exigées par le département IT soient respectées, et ce, quel que soit le choix de l’utilisateur.

Cette plateforme serait comme un point de contrôle central qui servirait à diminuer, et puis éliminer, l’utilisation du shadow IT et ainsi accroître la conformité de l’organisation.

Et bien que les entreprises souhaitent mettre en place les modèles de sécurité les plus rigoureux, tant que les employés n’adopteront pas les technologies approuvées par le département IT, aucune sécurité, gouvernance ou conformité ne sera possible.

Les entreprises doivent savoir trouver le juste équilibre entre contrôle et ressources offertes aux employés, et elles cherchent des solutions leur permettent d’y parvenir.

Globalement, les entreprises doivent prendre conscience qu’il existe des alternatives aux OneDrive et Dropbox, des solutions capables de satisfaire les utilisateurs tout en relevant le défi de sécurité des données.

En termes de matériel et de logiciels sur le lieu de travail, il existe des rôles clairement définis aussi bien pour les départements IT que pour les utilisateurs individuels.

Les entreprises prospères de demain seront celles qui auront compris cette nouvelle réalité, et qui auront mis en œuvre des politiques IT adaptées aux besoins de l’organisation et permettant aux employés de s’épanouir et de travailler efficacement.

Pour y parvenir, elles devront proposer des outils de partage, de stockage et de protection appréciés par les employés et approuvés par les administrateurs IT.