Sécurité, Réseaux et SI - Orange Business Services

   Les utilisateurs se sont tellement appropriés les outils mis à disposition par l'entreprise que la frontière entre les domaines pro/perso est de plus en plus floue. Ces mêmes utilisateurs sont de plus en plus mobiles et collaboratifs, ce qui rend les informations de l'entreprise de plus en plus vulnérables.

   Une récente étude à l'initiative de Cisco et menée par InsightExpress LLC, a mis en avant les comportements à risque des utilisateurs :

Le niveau de prise en compte de la sécurité dans les entreprises est très disparate. D'un coté, nous retrouvons les grandes structures dont certaines sont à la pointe dans le domaine (Banques, Assurances, industries sensibles, ...) et de l'autre les petites structures comme les PME/PMI pour qui le sujet est très souvent éludé ou tout simplement méconnu.

Afin de mieux comprendre comment les petites entreprises approchent la sécurité de l'information et quelles sont leurs préoccupations, nous avons choisi d'interviewer Mr. Philippe VACHER d'Orange Business Services. Les experts des équipes de Philippe interviennent sur l'ensemble du territoire national et réalisent quotidiennement des audits pour des structures de type PME/PMI.

En continuité du bulletin du 8 octobre intitulé "Le "Clickjacking" : Détournement d'actions depuis votre navigateur", Adobe vient d'annoncer la disponibilité d'une nouvelle version de son logiciel phare "FlashPlayer". Cette nouvelle mouture intègre notamment les mesures nécessaires afin de bloquer toute tentative de manipulation du centre de configuration à l'insu de l'utilisateur.

Avec cette nouvelle version du player Flash, il ne sera plus possible de détourner les clics de l'utilisateur dans le but d'activer la caméra ou le micro au nez et à la barbe de celui-ci.

Suite aux derniers bulletins que Philippe et moi-même avons pu poster ces derniers jours, vous avez pu vous rendre compte par vous même que pour protéger un poste de travail de façon efficace, un éventail de mesures est requis. Il n'est en effet pas suffisant de se limiter à la dernière version de la suite de sécurité "à la mode" ni de ne limiter aux fonctions de type "Host Intrusion Prevention System".

Pour rester basique et au risque d'être considéré comme "vieux jeu", les correctifs se sécurité (les fameux patchs) sont essentiels. Ceux-ci doivent être déployés uniformément et ne doivent pas se limiter aux système d'exploitation ou à une application.

Vous aller me dire, "c'est un travail de fou" ou "infaisable en pratique" : Sans un outil comme Personal Software Inspector de Secunia, c'est vrai cela est très compliqué ou alors c'est un travail de psychopathe sécurité à tendance chronique...

Je vais prendre pour exemple une mise à jour de l'unique machine personnelle de la maison qui tourne sous Windows XP (et oui, la conversion à Linux n'est pas encore complète). Comme vous pouvez le voir dans le screenshot suivant, une synthèse "type manager" me donne une vision high-level d'où j'en suis coté patchs sur ladite machine. La semaine actuelle est "pas top" (en jaune) par contre sur les 3 semaines précédentes c'était le top (les 3 barres de couleur verte).

Secunia vient de publier les résultats d'un comparatif de 12 suites de sécurité (PDF) dans lequel ils ont testé le niveau de détection de chacune des suites contre 300 vulnérabilités connues et référencées.

Les résultats sont assez consternants : pour les vulnérabilités considérées comme étant les plus critiques, la moyenne est d'environ 5% de détection avec un seul et unique produit dépassant la barre des 4% (près de 30% de détection en l'occurrence)... Damned.

Au vu de ces chiffres, on peut se demander si la proposition de valeur de ces solutions est fondée ou si elle repose sur de fragiles équilibre que l'on pourrait qualifier de "bullshit marketing" ou "snake-oil" ?

Quelle analyse faire de ces résultats ?

L’enrôlement de nouvelles machines dans des réseaux de zombies (botnets) ou pour la collecte d’informations personnelles fait partie des activités « de base » de l’économie du cybercrime.

Il y a quelques années la méthode la plus utilisée de prise de contrôle d’une machine utilisateur était l’exploitation de failles de sécurité de type « réseau ». Avec la généralisation des routeurs ADSL ou autres logiciels de firewalling personnels protégeant les machines depuis l’externe, les méthodes d’exploitation ont évoluées : Exploitation des vulnérabilités des navigateurs Internet et des « plugins » (Acrobat, Flash,….) qui vont de pair.

Un autre grand classique est de faire en sorte que l’utilisateur le fasse lui-même : La créativité des attaquants est très riche : Cela va du « codec vidéo frelaté » au logiciel de sécurité en passant via les barres d’outils de navigateurs. Le « mix produit » est double : Une bonne dose d’ingénierie sociale avec un soupçon de technique et l’affaire est emballée !

Tout commence par une recherche sur Google : Vous cliquez sur l’un des résultats et vous arrivez sur la page suivante :

Quelques nouvelles concernant la faille de "détournement de clics" (ou "clickjacking") évoquée dans mon bulletin du 29 Septembre "Clickjacking: Une faille à priori détonante...".

Un chercheur Israëlien a publié une démonstration d'une attaque de clickjacking : Sous le prétexte d'un petit jeu il détourne les clics de l'utilisateur afin de modifier les paramètres de sécurité du player Flash. Cela lui permet d'activer, à l'insu de l'utilisateur, la webcam ou le microphone de l'utilisateur... La page de démonstration reste accessible ICI mais son contenu a été désactivé, une vidéo est disponible sur YouTube.

Adobe n'a pas tardé à réagir : Un patch devrait être disponible avant la fin du mois d'octobre. Entre-temps, une solution de contournement est présentée dans le bulletin officiel d'Adobe "Flash Player workaround available for "Clickjacking" issue". Le problème c'est que très peu d'utilisateurs ou d'administrateurs vont effectuer cette manipulation... donc le mois d'octobre va être celui du "clickjacking" :-(

Quels sont les principes de fonctionnement de cette attaque ? Comment s'en protéger ?

Le fabriquant d’ordinateur bien connu DELL a commandité une étude sur la perte ou le vol d’ordinateurs professionnels. Bilan : 3300 PC sont perdus/volés par semaine dans les principaux aéroports européens. Oui, oui 3300 vous avez bien lu et en plus, plus de la moitié ne sont même pas réclamés ! ! !
Plusieurs conclusions s’imposent :

• Les pcs n’ont plus une grande valeur
• Pour acheter des portables à bon prix il faut passer par Charles de Gaulle ou Heathrow

Plusieurs questions se posent :

• Les entreprises mesurent elles l’impact ?
• Que font-elles pour éradiquer ce problème ?

Je continue de penser que les technologies DLP ont de beaux jours devant elles. Pour plus d’informations sur ce sujet vous pouvez vous reporter aux 2 articles suivants, sur le Chiffrement et la Protection des données.

Et ici je ne parle que des Pcs, mais n'oublions pas toutes les autres terminaux et tous les moyens de connexion possibles pour perdre des données sensibles !!!

Le détournement du système de résolution de noms (DNS) est l'une des techniques couramment utilisée par les "malwares/spyware" de tout poil afin de désactiver les fonctions de mises à jours des antivirus ou des correctifs de sécurité.

Lors du processus d'infection d'une machine par un malware celui-ci procède à une re-configuration cachée de votre système de deux façon différentes :

1. Changement des paramètres des serveurs DNS afin que les requêtes soient envoyées vers des serveurs DNS contrôlés par l'attaquant.
2. Encore plus simplement, modification du fichier "hosts" local à la machine.

Le "DNS-Blackholing" est une technique défensive s'appuyant sur des techniques similaires.

Décryptage.

L'évènement est assez rare pour le noter : Ces derniers jours, la sécurité informatique a fait les gros titres de certains journaux et l'information a même été relayée sur les ondes radio. Le sujet de toutes ces attentions : Le protocole DNS. L'alerte ayant été lancée Mardi 8 Juillet par le CERT-US

Le DNS, dont le rôle est de traduire les noms de sites en des adresses IP, est au cœur du fonctionnement de l'Internet : Si cet "aiguilleur de l'Internet" se grippe tout tombe en panne ou fonctionne de manière erratique...

Le problème ? Il est possible de tromper cet aiguilleur. Mais qu'en est-il vraiment ? Fuzz/Buzz/bullshit ou la menace est-elle bien réelle ?

Update: Un message à l'attention des clients Orange Business Services est disponible en fin de bulletin.

Update: A message for Orange Business Services corporate customers is available at the bottom of this post.