Terminal Server Hosting & Workgroup Infrastructure Management
Le Cloud hybride pour les entreprises francophones de taille humaine
Durée: 9:3 mn
Auteur: Michel Cusin
Lors de la dernière conférence Toorcon de San Diego en Californie, Eric Butler un développeur de la région de Seattle, a présenté et rendu public sa dernière création : Firesheep. Il s'agit d'un « add-on » s'intégrant au fureteur Firefox et qui permet de « Hi-jacker » des sessions Web vers des sites comme Facebook, Twitter, flikr, Wordpress et bien d'autres, via des connexions wifi non sécurisées.
Durée: 9:54 mn
Auteur: Michel Cusin
Faites-vous parti de ceux qui croient au mythe qui veut qu'un réseau commuté (switché) ne puisse pas être sniffé? Ou croyez-vous que votre réseau interne est sécuritaire et qu'il n'est pas nécessaire d'utiliser des protocoles qui utilisent du chiffrement tel que SSH pour effectuer la gestion de votre environnement même à l'interne?
Durée: 9:30 mn
Auteur: Michel Cusin
Les attaques de type injection SQL ne sont pas nouvelles. Toutefois, elles sont très répandues et utilisées par les pirates. Ils s'en servent notamment pour voler toutes sortes d'information sensibles et confidentielles telles que des numéros de cartes de crédit, des renseignements personnels, etc... Cette vidéo fait donc une démonstration d'attaque par injection SQL à l'aide de l'outil sqlmap. La cible de l'attaque est un servant qui roule Damn Vulnerable Web Application (DVWA).
Une étude a montré que 93 % des incidents de sécurité entre avril et juin 2014 sont dus à une erreur humaine. Selon Ray Stanton, conseiller en sécurité et vice-président exécutif Services de British Telecom, « près de la moitié de ces incidents ont impliqué la transmission de données par e-mail à un mauvais destinataire ».
Le manque de conscience et de compréhension des risques par les utilisateurs est l’un des plus grands défis pour la sécurité de l’information. Les mots de passe trop simples, identiques pour tous les comptes, stockés par son navigateur, notés sur un post-it, ou sur son Smartphone, représentent la faille la plus difficile à combler.
Avec les vidéos ci-dessous, si vous ne le saviez déjà , découvrez avec quelle facilité un pirate peu obtenir un accès à un compte et pénétrer une organisation. L'auteur de ces vidéos est Michel Cusin, Consultant en sécurité de l'information et Owner at Cusin Sécurité Inc. Si vous êtes néophyte, une bonne partie de ces présentations vous paraîtront incompréhensibles, mais jetez-y un oeil rapide, juste pour vous rendre compte qu'il faut peu de choses pour arriver à ses fins et surtout, qu'il n'est pas nécessaire de faire une école d'ingénieur ou d'être surdoué. Bien au contraire, ces outils sont en libre accès sur le net et ne requièrent en apprentissage guère plus que ce qu'il faut pour maîtriser Word ou Photoshop, c'est-à -dire un bon tutoriel et un peu de pratique.
La sécurité est avant tout une affaire de discrétion et de sensibilisation
Comment Noomi-hall répond-il à ce problème?
La création d'un compte utilisateur à partir de la console permet de générer automatiquement un mot de passe respectant les critères de complexités nécessaires: une longueur de 14 caractères, composé de minuscules, majuscules, chiffres et symboles. La console peut faire la même chose pour le login de l'utilisateur, sur 20 caractères. Ces informations ne sont pas communiquées à l'utilisateur qui n'a pas à les saisir. Cela représente une facilité d'emploi pour lui et une sécurité au niveau des tentatives d'intrusions. Un Keylogger ou un Bulletspassview sont inefficaces.
BYOD et WIFI public, des dangers qu'il faut maîtriser.
Noomi ne fonctionne que sur Windows, il n'y a pas de version iOS ou Android. Ceci est un avantage non négligeable dans la gestion du risque lié au BYOD et à l'utilisation dangereuse du WiFi public en déplacement.
iOS et Android n'ont rien à envier en terme de failles de sécurité à l'OS de Microsoft. Freak en est une judicieuse illustration.
Le WiFi public est un canal facilement exploitable par des pirates. Noomi ne dialogue avec son Terminal Server Noomi-hall que d'une manière cryptée, selon plusieurs protocoles différents qui changent avec le temps.
Il n'y a aucun moyen pour le hacker de récupérer les mots de passe RDP puisque Noomi ne stocke pas ces informations-là où Windows le fait. Il n'y a aucun moyen pour le hacker de remonter depuis l'ordinateur local vers la station distante.
Mais le hacker a tous les moyens, et des plus faciles, pour récupérer des mots de passe stockés par le navigateur, donc celui de la messagerie web, du profil Facebook, Twitter, etc.
Heureusement, les clients RDP Noomi n'utilisent rien de commun.
Pas de backdoor. Des logiciels signés par Thawte.
La transmission par email des éléments nécessaires à un utilisateur pour qu'il puisse se connecter se fait à partir de la console, l'adresse email étant renseignée dans les paramètres du compte (évitant des erreurs de saisie).
Dans le cadre de notre prestation d'infogérance et Software Assurance Noomi-hall, nous avons recours à plusieurs techniques de défense active, et nos mises à jour logicielles intègrent des modifications sur nos méthodes de chiffrements qui rendent obsolètes les travaux de décryptages ou de reverse engineering qui auraient pu être entrepris par un pirate expérimenté et décidé.
Le client RDP Noomi et le serveur Noomi-hall ne contiennent pas de backdoor. Il n'est pas possible de faire exécuter un code non voulu au serveur ou au client.
Tous les programmes Noomi-hall sont signés numériquement avec un certificat de sécurité qui vous assure que le logiciel que vous utilisez n'a pas été falsifié. Notre équipe de développement est réduite à des hommes de confiance et nous ne sous-traitons rien en externe.
50% des malversations sont d'origines internes.
Avec Noomi, les données des comptes de vos utilisateurs ne sont pas contenues dans une base SQL centralisée sur un serveur. Il n'y a tout simplement pas de base de données, donc rien de classique à pirater.
Donner un accès administrateur à un prestataire informatique ne donne pas accès au coeur de votre système. Vous augmentez votre défense contre les hommes du milieu, autrement dit les personnes ayant un accès privilégié de par leur fonction. 50% des malversations sont d'origines internes.
Les paramètres de connexions peuvent verrouiller l'utilisation du client RDP Noomi à un support, voir même à un couple support externe/ordinateur. Noomi ne se lancera et ne se connectera que si elle reconnaît telle clé USB et tel ordinateur/disque/profil.
L'utilisateur peut ajouter son propre mot de passe qui bloquera l'accès à Noomi avant toute connexion au serveur. Il peut aussi indiquer un temps limite d'inactivité après lequel Noomi se fermera et se déconnectera de sa session distante. Une sécurité qui servira lors de réunions, de présence à des conférences ou des salons.
Les dangers du WIFI public en voyage d'affaire.
En déplacement, salariés et chefs d'entreprise résistent difficilement au besoin de se connecter aux réseaux wi-fi publics. Une pratique qui n'est pourtant pas sans risques comme le démontre l'enquête du « Parisien Economie ».
Des cadres de grandes entreprises espionnés durant leurs voyages d'affaires en Asie... grâce au piratage des connexions wi-fi de leurs hôtels. C'est l'affaire dite du « Darkhotel », qui vient d'être révélée par Kaspersky Lab, entreprise russe de solutions de sécurité informatique. Et qui prouve, s'il en était besoin, que les dangers de se connecter en wi-fi à un réseau public (dans des aéroports, des gares, des chaînes de restauration) ou semi-public (dans les hôtels où les connexions sont réservées aux clients ayant la clé) sont bien réels.
Avec le wi-fi, les informations passent par des ondes radio rayonnant autour de l'émetteur. Lorsqu'il est public, « on se connecte à un équipement dont on n'a pas la maîtrise : on ne connaît pas forcément les niveaux de cryptage et les mises à jour qui ont été réalisées », avance Arnaud Jacques, gérant de la société Securiteinfo.com, qui déconseille carrément son utilisation.
Les données transmises peuvent être interceptéesLe principal danger ? Le « sniffling » (en français le « reniflage ») : « Des personnes malveillantes interceptent les communications entre l'équipement (PC, smartphone, tablette) et la base wi-fi », explique Nicolas Caproni, blogueur et consultant en cybersécurité. Ils peuvent ainsi tout capter : mots de passe, identifiants, contrats, mails... Une procédure extrêmement simple, si le réseau n'est pas crypté.
Pour cela, le pirate doit capter le même signal que celui qu'il souhaite surveiller. Il peut donc être assez proche physiquement, dans un rayon de 200 m -- il lui suffit par exemple d'être équipé d'un ordinateur portable, d'une antenne et d'un logiciel renifleur -- mais pas forcément. « Le wi-fi public peut avoir un très large déploiement : certaines villes sont équipées de nombreuses bornes.
Il suffit que le pirate soit connecté à une borne pour qu'il puisse se connecter aux autres », explique Pierre Jaury, consultant et formateur en sécurité informatique chez Sysdream. Et s'il peut espionner, il est aussi capable « de modifier à la volée tout ce qui transite par le réseau, comme par exemple changer les éléments d'un mail ou faire passer un virement d'un compte à un autre », reprend l'expert.
Le pirate peut également utiliser une autre technique : « Créer un faux hotspot wi-fi et attendre que les internautes se connectent automatiquement afin d'intercepter toutes les informations », reprend Nicolas Caproni. Une base émettrice qui prendrait par exemple le nom de l'hôtel où réside le voyageur...
Plus grave encore, la personne malveillante peut aussi s'attaquer au disque dur. Après avoir hacké un système wi-fi, le pirate peut, par exemple, « proposer de fausses mises à jour de logiciels », explique Nicolas Caproni, qui vont ainsi faire entrer sur l'équipement informatique des chevaux de Troie, soit une porte ouverte aux virus espions.
Face au danger, deux précautions possibles : utiliser plutôt des wi-fi cryptés (nécessitant un mot de passe), qui ne sont toutefois pas un gage de sécurité absolue, et se munir d'un VPN (« virtual private network »), permettant de chiffrer ses communications. Tout en gardant à l'esprit qu'avec le wi-fi public, le risque existe toujours.
Vous pouvez lire la suite de cet article publié par Flore Mabilleau sur Le Parisien.
Le facteur humain, un défi clé pour la sécurité.
Le manque de conscience et de compréhension des risques par les utilisateurs est l’un des plus grands défis pour la sécurité de l’information, selon un groupe d’experts.
« Près de la moitié de ces incidents ont impliqué la transmission de données par e-mail à un mauvais destinataire », expliquait ainsi Ray Stanton, conseiller en sécurité et vice-président exécutif Services de British Telecom.
Peu importe la qualité des équipes de sécurité et de la technologie : la sécurité restera faible si les professionnels de la sécurité échouent à influencer les utilisateurs pour qu’ils respectent les principes de bases de la sécurité, a-t-il souligné.
La sensibilisation à la sécurité de l’information devrait être obligatoire dans le cadre de l’enrôlement de toute nouvelle recrue, estime pour sa part David Blunkett, ancien ministre de l’Intérieur britannique : « les individus seront toujours la composante la plus vulnérable de la sécurité de l’information d’une organisation, parce que tout le monde commet des erreurs et peut-être aisément manipulé ».
Les organisations devraient ainsi travailler à construire une culture de la sécurité, estime de son côté Stefan Lüders, responsable de la sécurité informatique au Cern : « Les pratiques sûres doivent devenir automatiques, comme lorsque l’on traverse une rue, afin que chacun vérifie sans y penser où il adresse des données et ne clique pas sur des liens intégrés [à des e-mails] ou sur des pièces jointes ».
Pour Lüders, la formation contre le hameçonnage en utilisant des exercices de simulation peut être une façon utile de procéder, afin que chacun soit plus conscient de la sécurité et commence à se poser les bonnes questions.
Stanton estime pour sa part que les professionnels de la sécurité doivent s’assurer de rendre la sécurité pertinente pour tous dans l’organisation, adaptant le message aux fonctions et âges des utilisateurs : « expliquez ce que sécurité signifie pour eux ; comment ils sont concernés, et ce qu’ils pourraient perdre si des pirates venaient à compromettre » leur poste de travail.
En la matière, Stanton considère qu’il revient aux professionnels de la sécurité d’influencer le reste de l’organisation pour l’application des bonnes pratiques. Le tout avec un effort continu de formation.
John Colley, co-président du conseil consultatif européen de l’ISC2, suggère pour cela d’en revenir aux bases de la sécurité, et d’expliquer les fondamentaux. Un discours qui résonne comme un écho à celui tenu par Patrick Pailloux, alors patron de l’Agence Nationale pour la Sécurité des Systèmes d’Information (Anssi), aux Assises de la Sécurité, en 2011.
Et John Colley de relever qu’il y a « mille et une choses que nous faisons inconsciemment et considérons comme acquises. Alors, il est important de ne pas négliger les principes clés sous-jacents lorsque l’on cherche à former les autres. Mais il est également important de ne pas sur-compliquer les choses. » Pour lui, les collaborateurs d’une organisation doivent avoir la compréhension et les compétences pour agir de manière appropriée lorsque la technologie touche à ses limites.
Et d’illustrer son propos : « la plupart des avions de transport de passagers sont capables de voler en pilote automatique, mais il y a toujours des pilotes à bord pour prendre le contrôle lorsque c’est nécessaire. »
Vous pouvez lire la suite de cet article publié par Valéry Marchive sur le MagIT.
L'ingénierie sociale et les failles de l'humain.
Le DLP (prévention des fuites de données), le filtrage Web, et les protections contre les logiciels malveillants aident à renforcer la protection. Mais Hugh Thompson (Blue Coat Systems), expert en sécurité, estime que l’investissement dans la création d’une culture interne de la sécurité peut faire des employés une importante ligne de défense.
Les équipes de sécurité IT doivent en permanence trouver un équilibre entre maîtrise du risque et productivité des employés, pour s’assurer que ceux-ci peuvent utiliser des outils adéquats pour travailler, sans compromettre des données sensibles. Les services de partage de fichiers, les messageries Web, les réseaux sociaux et autres outils de collaboration en ligne créent un défi intéressant pour la gouvernance des données, selon Thompson.
«Comment puis-je savoir où vont mes données, où elles vont résider, et quelles règles leur sont appliquées ?» s’interroge-t-il. «C’est ce monde l’IT qui se déplace hors du regard de la gouvernance. Pour cette raison, tout cela devient un problème très important dans le domaine de la sécurité de l’information.»
Hugh Thompson est actuellement Directeur de la stratégie de sécurité et Vice-président senior de Blue Coat Systems. Il est également président du comité de programmation de RSA Conference. Il est en outre fondateur et directeur de la stratégie sécurité de People Security, une entreprise spécialisée dans la sensibilisation à la sécurité informatique et dans la formation à la programmation sécurisée.
Nous observons constamment une composante d’ingénierie sociale dans les violations de données. Dans certains cas, les attaquants n’ont pas même besoin d’exploiter une vulnérabilité : ils poussent les employés à la faute. N’est-ce pas un échec de l’instruction?
Hugh Thompson : C’est le point faible de la sécurité de nos jours. Le facteur humain. Si vous êtes un attaquant et que vous cherchez à vous infiltrer dans une organisation, entendez-vous passer des semaines, voire des mois, à chercher une vulnérabilité spécifique inconnue dans ses systèmes ou allez-vous privilégier l’ingénierie sociale ? Identifiez des employés spécifiques puis récupérez des informations sur les réseaux sociaux avant de leur passer un coup de fil ou de leur expédier un e-mail ! C’est évidemment le plus simple.
Le problème est que la plupart des gens ne pensent pas au risque lorsqu’ils font ces choix incrémentaux quotidiens de confiance ou de défiance. Cette décision, en matière de confiance/défiance est devenue bien trop compliquée.
Il fut un temps où il était assez facile de savoir si quelqu’un voulait vous avoir. Mais aujourd’hui, le problème est que ces scénarios d’attaque s’appuient sur des e-mails ou des sites Web tout aussi ennuyeux que le reste des choses ennuyeuses avec lesquelles chacun doit composer quotidiennement. Il est très difficile de faire la différence entre quelque chose qui ressemble à une attaque et quelque chose de légitime.
Je pense que nous nous approchons d’une crise de confiance parce qu’il est devenu difficile, même pour les gens instruits, prudents, voire modérément paranoïaques, de faire la différence entre un site fiable et un site dangereux, entre un e-mail légitime et un e-mail malveillant. La sensibilisation est importante mais nous avons aussi besoin d’outils qui éviteront que la décision en revienne à l’utilisateur.
Vous pouvez lire la suite de cet article publié par Valéry Marchive sur le MagIT.
La presse en parle, quelques extraits d'articles à parcourir rapidement...
Carbanak, l'ingénierie sociale peut vous ruiner.
Que pouvons-nous retenir de cette actualité concernant le pillage d'une centaine de banques à travers le monde par le groupe de cybercriminels Carbanak?
Qu’aucune faille système ou logicielle n’a été utilisée. Les pirates ont eu recours à une tactique classique qui débute par de l’ingénierie sociale avec des emails semblant provenir de collègues de bureau et qui incitent à ouvrir une pièce jointe infectée par le malware Carberp. Ce malware faisait déjà parler de lui en 2013.
Que peut-on apprendre au sujet de Carberp?
Que le code source est disponible gratuitement en téléchargement et que n’importe quel lamer serait en mesure de l’exploiter. Ce malware a permis aux cybercriminels d’espionner les employés et d’étudier les procédures de leur banque, puis de prendre à leur insu le contrôle de leur ordinateur et en usurpant leur identité, d’exécuter des transactions sans laisser de trace.
Références: Numérama.com, ZDNet.fr, Développez.com
Ne vous laissez pas tenter par les bonimenteurs.
Noomi ne fonctionne que sur Windows, il n'y a pas de version iOS ou Android. Ceci est un avantage non négligeable dans la gestion du risque lié au BYOD et à l'utilisation dangereuse du WiFi public en déplacement.
iOS et Android n'ont rien à envier en terme de failles de sécurité à l'OS de Microsoft.
Le WiFi public est un canal facilement exploitable par des pirates. Noomi ne dialogue avec son Terminal Server Noomi-hall que d'une manière cryptée, selon plusieurs protocoles différents qui changent avec le temps.
Il n'y a aucun moyen pour le hacker de récupérer les mots de passe RDP puisque Noomi ne stocke pas ces informations-là où Windows le fait. Il n'y a aucun moyen pour le hacker de remonter depuis l'ordinateur local vers la station distante.
Mais le hacker a tous les moyens, et des plus faciles, pour récupérer des mots de passe stockés par le navigateur, donc celui de la messagerie web, du profil Facebook, Twitter, etc.
Heureusement, les clients RDP Noomi n'utilisent ni l'adresse email comme login ni aucun mot de passe courant.
Noomi-hall a ses honeypots. Personne n'y résiste.
Ne lancez jamais d'exécutable contenu dans un email expédié par un inconnu.
Evitez d'installer les jeux donnés par des amis qui n'en sont pas.
Evitez d'installer des utilitaires géniaux proposés par des amis qui n'en sont pas.
Ne connectez pas tout et n'importe quoi à votre PC, en commençant par les clés USB offertes ou prêtées. C'est par une clé USB que Stuxnet s'est introduit dans la centrale nucléaire de Buchehr en Iran.
Ne cliquez pas sur les liens d'emails que vous n'avez pas sollicités et qui peuvent renvoyer sur des sites malveillants.
Ne téléchargez jamais et n'installez jamais des jeux ou des applications piratés.
Ne vous promenez pas sur des sites douteux. Vérifiez si le site est sain avec Sucuri SiteCheck, localisez-le géographiquement avec geoipview.
Faites attention à vos mots de passe, aux informations qui transitent sur les réseaux sociaux, utilisez des adresses email jetables.
Réagissez immédiatement si vous constatez un changement subit dans le comportement de votre ordinateur. N'attendez pas qu'il en contamine d'autres.
Noomi-hall dispose de son propre service de sécurité.
Sur votre Terminal Server, vous trouverez Spiceworks Network Monitor, un outil gratuit, extraordinaire, qui nous permet de surveiller le serveur en temps réel. L'activité des disques durs, du réseau, du processeur, de la mémoire vive, déclenche des alertes par email lorsque certains seuils sont dépassés.
Vous aurez aussi Cyberarms Intrusion Detection, le flic par excellence qui est en mesure de détecter les tentatives d'intrusions et de bloquer l'adresse IP du malfaiteur. Un email est émis à chaque alerte, notre réaction est immédiate.
Lorsque nous aurons fini nos installations, que votre équipe informatique aura fini les siennes, que les comptes utilisateurs seront créés et que votre machine entrera en exploitation, nous nous livrerons à une dernière opération. Nous lancerons OpenVas, l'un des meilleurs détecteurs de vulnérabilité. C'est une opération qui fait partie de notre infogérance, dont le but est de vérifier mois après mois que des brèches, des failles de sécurité ne se sont pas ouvertes.
Il suffit d'omettre une mise à jour de PHP pour que soudain, votre serveur soit compromis.
Si vous êtes dans vos locaux et que votre stratégie de sécurité bloque les communications sortantes, vous allez certainement obtenir un message le signalant lors de votre tentative de connexion. N'ayez crainte, vous pouvez faire le test à un autre moment de chez vous ou depuis une connexion 3G/4G.