Sécurité, Réseaux et SI - Orange Business Services

Une campagne de spam pour la vente de pilules d'amour est considérée comme étant "réussie" dès que son pourcentage d'efficacité est de l'ordre de 2% ou 3% : En effet, envoyer des dizaines de milliers de mails est très peu couteux. Pour le phishing classique, le pourcentage doit être du même ordre, voir peut-être plus faible si il s'agit de compromettre des comptes bancaires.

Dans le cas du "spear phishing" ("phishing ciblé") le message s'adresse directement à vous via votre nom ou celui de votre société : Ce type d'attaque est d'autant plus dangereux car particulièrement efficace.

C'est ce qui est arrivé à 10.000 utilisateurs du réseau social professionnel LinkedIn : Au lieu de recevoir une liste de contacts qu'ils auraient prétendument demandé, il s'agissait en fait d'un programme malicieux de type trojan/malware destiné à infecter leur machine...

Par ailleurs, ces d'attaques étant soigneusement préparées en amont, les malwares diffusés sont très souvent du "sur mesure" donc à priori indétectables via des antivirus classiques.

Pour autant, faut-il être pour ou contre l'utilisation des réseaux sociaux dans un contexte professionnel ?
Faites nous part de votre avis sur le sujet via la fonction commentaires !

Cet article a été publié le 29 Septembre dans les "Tribunes" du JDNet Solutions.

Les services de sécurité managés (Managed Security Services) peuvent être un atout précieux pour une organisation si sélectionnés et utilisés de manière appropriée et contrôlée. Depuis ces dernières années, le nombre de fournisseurs de services de tels services (MSSP ou « Managed Security Services Provider ») est en pleine expansion et les services proposés variés.

Parmi les services les plus souvent proposés :

• La gestion d'équipements de sécurité comme des firewalls
• La collecte et l'analyse d'événements de sécurité (SEM)
• La veille sécurité (suivi des vulnérabilités et correctifs)
• Les services de détection de vulnérabilités en mode "hébergé"

Les raisons pour lesquelles une entreprise souscrit à de tels services sont multiples : Absence d'expertise en interne ; besoin d'un service disponible 24h sur 24 ou encore d'outils ou systèmes trop coûteux.

Avant de souscrire à de tels services, quelques recommandations.

La révélation étonnante sur la vente sur eBay  supposée d'un appareil photo d'un agent du renseignement de sa Majesté  (cf. Le Figaro - AFP  )qui contenait des photos particulièrement sensibles pose la question de l'attitude des entreprises vis à vis des nouveaux formats d'information.

Une photo, une conversation enregistrée ou une vidéo peut contenir beaucoup d'informations clés pour l'entreprise.

Quelques exemples ? la dernière enquête qualité qui révèle des défauts graves dans une pièce grâce à un cliché, la Vidéo du dernier meeting de lancement de produit avec ses débats sur les prix et la marges, le "chat" sur les  contrats chauds en cours de négociation, le PowerPoint remplis de graphe sur les  rémunérations. etc...

Faut-il attendre que la carte SD de l’APN qui contient ces photos sensibles mélangées à des clichés de vacances finisse au labo photo pour en prendre conscience ? Il est temps pour les entreprises de prévenir ces usages, maitriser ces flux "collaboratif multimédia", et s'assurer (au moins) qu'elle en dispose d'une copie.

Je sais ! Ce n'est pas sur le disque dur officiel du pc officiel !

Mais est ce une raison pour perdre ces informations ?

Après avoir pris place dans nos foyers, la Voix sur IP (ou VoIP) est désormais au catalogue de tous les opérateurs de communications et de sociétés spécialisées. De nombreuses entreprises, de la PME au grand s comptes préfèrent déployer des systèmes téléphoniques IP lors du remplacement de leurs PABX vieillissant ou lors de l'installation de nouveaux sites.

Les enjeux sécurité liés à la VoIP sont multiples et ne sont pas simples, ce thème sera d'ailleurs développé lors du prochain salon IP-Convergence qui se déroulera les 21, 22 et 23 octobre. Si les aspects techniques sont en progression, ceux relevant du domaine juridique et réglementaire sont encore à une phase plus embryonnaire : Les informations sont rares et les juristes spécialisés dans le domaine sont aux aussi très demandés.

Afin de vous faire une première idée de quoi il retourne coté "juridique et VoIP", je vous invite à prendre connaissance de ces quelques articles :

• 01Net, Piratage de la VoIP : un risque juridique pour les entreprises, 29 Septembre 2008
• GlobalSecurityMag, La VoIP dans l’entreprise : comment se protéger juridiquement contre les défaillances techniques et les attaques sur le réseau ? Septembre 2008

Si je devais ne retenir que deux idées de ces articles :

1. Un manque de sécurisation d'un système de VoIP peut être assimilé à un vice de fabrication
2. La responsabilité financière du fournisseur de la solution peut être engagée en cas de manque de sa part

N'étant pas juriste de formation, je ne serai pas en mesure de statuer sur le bien-fondé juridique de ces deux assertions : Les conclusions de litiges clients/fournisseurs pourrait apporter des éclaircissements voir faire jurisprudence. L'avenir nous le dira.

Simple évolution du désormais traditionnel modèle ASP (Application Service Provider) pour certains, nouveau modèle de consommation des services IT s’appuyant sur les caractéristiques du Cloud-Computing et du Web 2.0 pour les autres, la réalité business associée à la vague SaaS (Software as a Service) n’est plus à démontrer et va modifier la donne sur les futures évolutions des Systèmes d’Information des entreprises.

La convergence est une évidence et une exigence. Enfin, le rêve se réalise :  permettre à l'utilisateur d'accéder à tout ses services à partir du terminal de son choix (ou de ses multiples  terminaux), rendre les réseaux polyvalents en offrant des accès transparents quel que soit leur nature (radio, fibre, cuivre, haut ou bas débit) et diffuser un bouquet de services IP sur l'ensemble des canaux (vous pouvez aussi appeler cela Web 2.0 , ou SAS, ou Web services, ou applications IP ).
Tout le monde y trouve son compte, l'utilisateur gagne en services et en simplicité, les techniciens en facilité de déploiement et d'exploitation et les producteurs de services en ligne en accès à la masse des "connectés". Nous n'oublierons pas les managers qui y voient plus d'économie, plus de réactivité dans les déploiements et d'ouverture.
Alors décidé a vous lancer ?
Oui, mais un peu angoissé ! Et si une vulnérabilité, quelque part dans la chaine bloquait un élément de la chaine ? Un serveur DNS qui est attaqué, un IPBX qui est infecté, un terminal compromis et son identité usurpée, un tronçon du réseau envahi par des flux illicites. Cela fait beaucoup de soucis en perspective. Vous l'avez compris, la convergence IP embarque aussi la convergence de la sécurité.
Et pourtant, ce qui pourrait être perçu comme une menace fatale, peut aussi être une opportunité pour la sécurité. En effet, pour la première fois depuis...longtemps, la sécurité pourrait assumer son ambition d'être globale en s'arrimant a un projet lui aussi global.
Belle ambition : mettre autour de la table de la convergence, les architectes réseaux, les responsables du poste utilisateurs et les spécialistes des plateformes IP, avec pour ambition de faire converger la démarche de sécurité.  C'est l'opportunité unique de la convergence... (A suivre)

NDA :Merci à Olivier R qui a été mon inspirateur, et qui au péril de sa vie m’a rapporté une bande sur une présentation faite par une société russe de sécurité en Italie. Je ne suis humblement que le transcripteur.

Bonjour Messieurs, je me présente, je m’appelle Boris Goudounov, et je suis Vice-Président de la société MCA dont le siège est à Moscou, MCA voulant dire Moujik Computer et Associés. Je dois tout d’abord vous remercier Monsieur Corticoleone et Monsieur Caponetti de me recevoir dans votre siège à Palerme.

Notre société fondée en 1991 à Saint Petersbourg, et regroupant alors une dizaine de hackers de l’ex KGB, s’est, d’abord de part les compétences que nous avions, investi dans l’espionnage industriel. Depuis le boom d’Internet dans les pays occidentaux, nous nous sommes naturellement positionné dans le secteur de la cybercriminalité. Nos bénéfices ont faits des bons, ainsi l’année dernière, nous avons réalisé une augmentation de 5367% de notre chiffre d’affaire. Nous vous promettons, si vous investissez dans notre société un retour sur investissement de 15 jours. Ce qui, je crois est largement inférieur à vos marchés actuels, comme le trafic de drogue, la contrebande d’alcool et de cigarettes, et la traite des blanches, respectivement avec un ROI de 6 mois, 1 an , et deux ans.

Nous avons une large gamme de produits et de solutions à vous proposer. L’espionnage, notre activité historique, ne représente maintenant que 10% de notre CA. Bien que les ordinateurs de l’armée américaine, et d’un banque anglaise soient arrivés miraculeusement à nos bureaux. Notre produit classique comme le vol d’identité(avec le numéro de carte de crédit qui va avec) ou de comptes type Paypal ou autres continue de bien marcher. Depuis quelques années, nous sommes passés au stade industriel en créant nos botnets. Cela a été facile de les créer, promettre de l’argent, des faux anti-virus ou anti-spyware freeware, et hop… Nous introduisons dans le programme un de nos chevaux de Troie maison, indétectable et indétecté, et l’affaire est faite. Ces botnets nous servent pour nos campagnes de spams ou de phishing, qui nous rapportent pas mal d’argent pour un investissement ridicule. Nous pouvons aussi les louer à des sociétés comme les vôtres, par exemple, pour exercer un chantage sur les sites marchands. Du genre, 10 Millions de dollars ou votre site sera attaqué pendant 24 heures, et cela marche. En parlant de chantage, nos experts ont crée un algorithme d’encryption qui couplé à nos chevaux de troie, chiffre toutes les données d’un poste utilisateur, et la société doit payer pour récupérer ses propres données !

Depuis peu, puisque nous avons les meilleurs experts sécurité au monde, nous pouvons réaliser tout projet d’intrusion ou de récupération.

Voilà Messieurs, j’espère que nous allons ouvrir une longue et fructueuse collaboration.

Des questions ?

NDA : MCA recrute, Boris m’a promis de mettre en exclusivité sur notre blog son annonce.

Alors que j'écrivais sur la sécurité des logiciels OpenSource, je suis retombé sur le site de TippingPoint
On y trouve la liste des vulnérabilités, découvertes dans le cadre du "projet" TippingPoint, Zero Day Initiative, pour lesquelles aucun correctif officiel n'est encore paru. TippingPoint ne manque pas de rappeler au passage que les clients de son IPS sont bien évidemment protégés contre ces failles.

Il est toutefois frappant de trouver des vulnérabilités datant de plus de 400 jours avec un niveau de criticité jugé élevé associées à des grands noms tels que Microsoft, HP, Oracle... Ces failles peuvent être exploitées dans le but d'exécuter du code à distance par exemple et compromettre grandement la sécurité du système vulnérable.

On peut alors se demander qui des logiciels proprétaires ou des logiciels OpenSource sont les plus réactifs à corriger de telles failles de sécurité. Au jour d'aujourd'hui, où il existe un réel marché des vulnérabilités (exemple de TippingPoint toujours, en anglais dans le texte : "As a researcher discovers and provides additional vulnerability research, bonuses and rewards can increase through a loyalty program similar to a frequent flier miles program."), l'argument commercial d'un éditeur de solutions de sécurité comme un IPS est bien de démontrer sa capacité à protéger ses clients là où les logiciels défaillants n'ont pas encore trouvé de parades. Personnellement, j'aime bien l'idée de la carte de fidélité. Qu'en est il en revanche des anciennes vulnérabilités pour lesquelles un correctif existe depuis longtemps mais n'aurait pas été appliqué par le client? Sont elles encore dans les bases de signature, ...? Autrement dit, les solutions actuelles sont elles à même de les détecter? Le risque le plus élevé n'est peut être pas là où on le croit.

L'une des mutations les plus importantes du Web depuis ces dernières années concerne la montée en puissance des interactions inter-humaines globales via le Web 2.0 ; changements qui ont été facilités via la mise à disposition d'applications web de plus en plus riches et simples à utiliser.

De façon parallèle, le paysage de la sécurité a lui aussi évolué, les attaquants ont bien identifié les opportunités sous-sous-jacentes : Attaques de Cross-Site Scripting, Injections SQL, Cross-Site Requests Forgeries, Drive-by attacks pour n'en citer que quelques-unes.

Semaine dernière c'est tenu à Oakland en Californie un Workshop dédié à la sécurité du Web 2.0 et aux aspects connexes de protection de la vie privée (W2SP 2008: Web 2.0 Security and Privacy 2008). Cet évenement était sponsorié par le IEEE Symposium on Security and Privacy 2008.

L'ensemble des documents et papiers sont disponibles en téléchargement depuis le site du W2SP.

Le tout IP est une réalité : Le fax fait encore de la résistance mais est en perte de vitesse et a ses jours comptés. L'IP s'est ensuite attaqué aux communications vocales : Pour commencer, le secteur du grand public s'est mis aux Skype et Gizmo puis les box (elles sont pas des stars ces boites magiques ?) se sont misent à remplacer la bonne ligne téléphonique ; le tout avec une qualité croissante et des prix en chute libre ou intégrés dans le forfait mensuel.

Les entreprises ont suivi : Les projets de "Transformation IP" (ou "IP-Transformation" pour être plus "in") font désormais partie de toute roadmap de tout DSI qui se respecte. Toutes les grandes banques ont fait le pas, ou sont en train d'y passer. Ce qu'il y a d'intéressant c'est que nous sommes dans un contexte un peu particulier : D'un coté nous avons une nouvelle technologie extrémement séduisante sur de très nombreux points qui commence uniquement a être réellement maitrisée et fiable alors que d'un autre coté nous sommes encore au début de l'aventure pour ce qui concerne sa sécurisation. Quelques démarches sont en cours, pour preuve la Voice Over IP Security Alliance (Voipsa.org) qui aide à structurer le terrain.