Réseaux de Confiance

Verizon Business pare les attaques DoS dans le nuage

Olivier Bouzereau — 2009-02-11T16:35:44Z

Verizon DoS Defense est un service hébergé, géré de bout en bout, dans le nuage. Il regroupe deux fonctionnalités complémentaires : la détection des attaques et la réduction des risques.

Verizon Business délivre son expertise de la sécurité des réseaux IP aux entreprises via une nouvelle suite de sécurité hébergée, "dans le nuage".

Le service permet de lutter contre les dénis de services transmis par Internet à la dorsale du réseau étendu de l'entreprise. Il apporte un moyen de détection et de réduction des risques d'inactivités pour l'ensemble des services fournis aux clients et partenaires, via l'infrastructure IP. La défense DoS intercepte les cyber-attaques sur la dorsale avant qu'elles n'atteignent les réseaux informatiques locaux de l'entreprise.

Cette protection de Verizon Business couvre actuellement 24 pays, dont les USA, le Canada, 14 pays en Europe et 8 pays de la zone Asie-Pacifique. Son mode opératoire consiste à effectuer une recherche de toute activité suspecte du trafic Internet afin d'éviter à l'entreprise d'en subir les conséquences.

Le service fonctionne de la même façon partout où il est disponible, avec les mêmes engagements de Qualité de Service (SLA), prévoyant que Verizon Business intervient dans les 15 minutes suivant la notification d'une attaque. La réduction des risques apportée protège les réseaux en aiguillant les paquets malveillants afin de garantir aux utilisateurs autorisés l'accès continu aux ressources intra-Internet de l'entreprise.

Pour en savoir plus : www.verizonbusiness.com/fr

Nouvelle évaluation chiffrée des fuites de données

Olivier Bouzereau — 2009-02-02T19:57:33Z

Commandée par l'éditeur PGP, une étude récente de Ponemon Institute révèle un gros manque à gagner économique provoqué par les fuites de données numériques.

La fuite d'informations numériques forme un choc en trois temps pour l'entreprise qui en est victime. Premier choc à sa détection, second choc à sa notification et dernier choc, au moment d'évaluer le manque à gagner.

Selon le Ponemon Institute, c'est ce troisième coup qui serait le plus souvent fatal.

En effet, les activités perdues représenteraient 69% du coût des failles de données en 2008 (+4% en un an). Quant au coût total, il atteindrait 202 dollars par enregistrement perdu en 2008, soit une augmentation de 5 dollars en un an.

Qui est en cause ? La négligeance des salariés plus souvent que les hackers.

Internet : les FAI Européens fiables à 99,9%

Olivier Bouzereau — 2009-01-26T10:33:26Z

Pas plus de 10 heures d'interruption d'accès au réseau mondial par an. C'est ce que recense une étude Européenne menée par IDC pour le compte de l'ENISA.

La disponibilité de l'accès au réseau Internet devient vitale pour les collectivités, les entreprises privées et un nombre croissant de particuliers, en télétravail par exemple.

La disponibilité délivrée par les fournisseurs d'accès européens constitue, pour l'Agence ENISA (European Network and Information Security Agency), une agréable surprise.

Avec 10 heures d'interruption par an (sur les 54 réponses obtenues par IDC en provenance de 17 pays de l'UE), la disponibilité moyenne de l'accès à Internet atteint 99.9%. La preuve que ce critère est pris en considération par les opérateurs du Vieux Continent.

Les principales menaces pesant sur le réseau sont liés aux incidents sur site, incidents matériels ou logiciels, mais les incidents liés au personnel restent encore significatifs.

Selon les opérateurs, les procédures de gestion des risques et réseaux sont mûres.

On note peu de variation quant aux procédures d'activités continue, selon la taille de l'opérateur.

Pour lire la synthèse de l'étude, cliquez ici.

Des budgets sécurité en stagnation

Olivier Bouzereau — 2009-01-19T16:33:50Z

Face à la crise économique et malgré le nombre croissant d'attaques en réseau, la tendance est à la stagnation voire même à la réduction des budgets informatiques. Néanmoins, une part croissante de ce budget devrait être allouée à la protection des actifs cruciaux de l'entreprise.

L'éditeur de passerelles web sécurisées Finjan publie les conclusions d'une enquête menée en décembre 2008 auprès de 200 professionnels de la sécurité informatique.

43% des sondés prévoient un budget sécurité informatique égal à celui de l'an passé.
34% des répondants s'attendent à une légère diminution du budget IT mais à une hausse de la portion consacrée à la sécurité, dans les administrations et la finance en particulier.

Conclusion de l'enquête : en 2009 plus que jamais, l'entreprise devrait rechercher des solutions de sécurité au coût d'exploitation le plus bas possible. D'autres pistes pour résoudre la quadrature du cercle ?

Quelle confiance accorder aux prochaines moutures de Windows ?

Victor O'Neill — 2009-01-12T08:34:12Z

A défaut d'avoir réussi à imposer Windows Vista, pourtant plus sûr que XP, Microsoft accélère la sortie de Windows 7 pour les PC de bureau. Quelle différence pour le RSSI ?

Le mois prochain, le Mobile World Congress de Barcelone verra débarquer les nouveaux smartphones (notamment de Motorola) sous Windows Mobile 6.5. On évoque leur disponibilité commerciale dès le second trimestre. Quant à Windows 7, prévu pour les PC de fin d'année, il pourrait surgir sur les nouveaux ordinateurs vendus dès cet été, sous la forme d'une mise à niveau gratuite de l'actuel Vista préinstallé.

Pourtant, en termes de sécurisation du poste de travail, Windows Vista ne pose pas de problème particulier. Il forme même une amélioration par rapport au passé, en dépit des multiples fenêtres surgissantes qui interrompent tout téléchargement, installation, ou modification de paramétrage. Restons positif : l'utilisateur a peut-être appris, grâce à Vista, que toutes ses manipulations ne sont pas aussi inoffensives qu'il ne l'imaginait et qu'un minimum d'attention s'impose. Des problèmes de performance ? Pour les joueurs ou les graphistes, soit. Mais pour l'entreprise et ses applications bureautiques standards, ils sont nettement moins perceptibles.

Cela dit, le soudain changement de cap de Microsoft (pour qui lâcher un OS, n'est pas plus évident que pour mon chien), doit plutôt à l'accueil glacial réservé à Vista par les entreprises. Les particuliers, pour leur part, achètent leur PC avec l'OS pré-installé, une vente subordonnée pourtant illégale en France. S'ils hésitent entre Ubuntu et le successeur de Vista, ils doivent reporter leur acquisition, se rabattre sur un matériel d'occasion ou sur l'une des rares boutiques acceptant de dissocier l'ordinateur de Windows.

D'où vient la réticence des professionnels ? La réponse à cette question varie probablement selon le métier des membres de notre communauté. En effet, Vista apporte un certain nombre d'avantages pour la sécurisation des informations confidentielles : le démarrage sécurisé et le chiffrement du disque via Bitlocker, la protection des applications, la granularité des droits d'utilisateurs...

Mais Vista ne garantit pas la compatibilité des applications métiers en place. Pour les directions informatiques, cette marche forcée, imposée par Microsoft, est intolérable. Elle rappelle cruellement la version intermédiaire payante Millenium Edition qui devait assurer la transition entre Windows 98 et XP. Le rejet de Vista s'expliquerait donc par une simple question de productivité, premier souci de l'entreprise, bien avant la sécurité des informations.

Voici de quoi nous faire réfléchir alors que la crise économique bat son plein et que les budgets informatiques se contractent. Quel sera le juste prix pour se protéger contre une éventuelle perte de données confidentielles, dans six mois, vis à vis de l'opportunité d'un nouveau marché à conquérir ? C'est le type de question risquant de se poser, de plus en plus, dans les semaines a venir...

Avalanche de NetBook dans le parc micro

Olivier Bouzereau — 2008-12-23T14:02:17Z

Compacts en format et en prix, les NetBook sont souvent acquis à titre personnel. A l'occasion des fêtes de fin d'année, de nombreux ultra-portables vont tenter de se connecter à la messagerie et au réseau de l'entreprise. Un cauchemard pour les RSSI.

Acer, Dell, HP, Fujitsu, LG, Samsung et Sony emboitent le pas d'Asustek et de son Eee PC. Pour les gestionnaires de parc micro comme pour les responsables de la sécurité informatique, ces Netbook conçus pour le grand public apportent leur lot de surprises et de patches incontournables.

En effet, qu'ils fonctionnent sous linux ou Windows, avec un disque dur ou une mémoire SSD, l'un de leurs usages favoris reste la messagerie Internet, via les réseaux sans fil WiFi et 3G.

Mais ils sont presque toujours dépourvus de logiciel de chiffrement et de connexions sécurisées. Pire, les outils de gestion de parc ignorent encore leur référencement et leurs vulnérabilités.

Ces jouets pour hackers en herbe ont tôt fait de se prêter à l'escalade de privilèges. Du coup, un 'young man in the middle' peut rapidement obtenir le statut d'administrateur puis détourner des informations et crédences confidentielles.

Nous ferons prochainement un état des lieux à partir de vos constats et de vos expériences en la matière. N'hésitez pas à nous écrire via les formulaires du site. D'ici là, toute l'équipe Réseaux de Confiance vous souhaite de très agréables fêtes de fin d'année.

Dix sources de vulnérabilités consolidées dans 1 tableau de bord

Olivier Bouzereau — 2008-12-19T17:48:31Z

Le site Security Database a élaboré un joli tableau de bord des vulnérabilités systèmes qui a le mérite d'être clair et détaillé à défaut d'être exhaustif.

Ce tableau de bord surveille l'évolution de 10 sources d'alertes sur les environnements systèmes. Les OS concernés sont ceux des équipements Cisco, mais aussi les distributions linux (Ubuntu, Mandriva, Red Hat, Debian), les environnements pour serveurs et postes de travail de Sun et de Microsoft. Soit, à ce jour, plus de 39.000 alertes.

Le but de Security Database n'est pas de devenir l'historien des failles systèmes. Il consiste plutôt à promouvoir les méthodes et standards ouverts en matière de sécurité IT (OVAL, CVSS, CVE, PTF, OSSTMM, OWASP...).

Ce collectif trace donc les alertes de vulnérabilités pour mieux informer les auditeurs sur les dernières mises à jour des logiciels de sécurité. Là, une ébauche de modèle économique commence à se dessiner. L'intention n'en reste pas moins louable. Et le tableau de bord sera précieux à plus d'un administrateur aussi, pour sa centralisation des problèmes connus et ses liens pour en savoir plus.

Douze cadeaux empoisonnés pour Noël

Olivier Bouzereau — 2008-12-18T06:39:00Z

L'esprit de Noël et les cadeaux de fin d'année forment une aubaine pour les pirates du Net, tout au moins tant que les internautes restent crédules.

McAfee recense 12 mauvais tours ciblant les internautes et tous ceux qui feront leurs emplettes sur Internet, au dernier moment :

Les scams de phishing caritatifs.
Les scams par e-mail bancaire.
Les e-cards de voeux.
Les fausses factures.
Vous avez un nouvel ami !
Des recherches en ligne pour les fêtes ? Attention, danger !
Le cybercrime vous attend… au cybercafé du coin.
Le voleur de mot de passe.
La fraude sur les sites de vente aux enchères.
E-mails, spam et pièces jointes, sur le thème des fêtes.
Le vol d'identité en ligne.
Le vol de portable.

Pour en savoir plus : téléchargez le communiqué de Noël.

La sécurité des navigateurs, sous l'angle Google

Olivier Bouzereau — 2008-12-17T10:50:21Z

Michael Zalewski - visiblement fan d'Android et de Chrome, les deux browsers de Google - dresse un constat en trois parties sur la sécurité comparée des browsers Web.

Des concepts de base aux mécanismes expérimentaux de sécurisation, en passant par les protections actuelles des navigateurs Internet, le Browser Security Handbook dresse un tableau des propriétés et des lacunes de sécurité des browsers les plus utilisés.

Le guide sera apprécié des développeurs de services Web comme des experts en sécurité. En effet, il aide à comprendre des caractéristiques méconnues et mal documentées à l'origine de plusieurs vulnérabilités.

On pourra regretter cependant que la prochaine version 8 d'Internet Explorer (en béta) ne soit pas testée car elle corrige de nombreux défauts et vulnérabilités enfouis dans le code propriétaire de Microsoft. Et on reprochera aussi à l'auteur son manque d'objectivité, la génèse récente d'Android et de Chrome permettant à Google d'échapper à un long héritage de failles, mûrement explorées et largement exploitées. Ses tableaux et conclusions n'en demeurent pas moins intéressants.

Si les codes des navigateurs provoquent des problèmes de gestion de mémoire et d'overflow dans le traitement des entiers, c'est qu'ils sont écrits en C et C++, prétend Michael Zalewski.

Pire, l'absence de compartiments de sécurité délivre un accès complet au pirate qui provoque le débordement ou la défaillance du programme.

Cette perte d'intégrité du système est évitée par Android - le navigateur pour smartphone s'exécutant sous un compte client dédié aux droits restreints. Elle l'est aussi par Chrome, dont le bac à sable sépare les processus du moteur de rendu, pour éviter de déclencher des actions non sollicitées par l'utilisateur.

Les navigateurs stockent des informations sous plusieurs formes pour leurs configurations, pour les téléchargements, mots de passe, cookies, liens journalisés et mémoire cache. Parmi les mécanismes retenus, retenons la base de registres, les fichiers plats, les répertoires de données, les fichiers XML et les binaires maison répartis un peu partout sur le système d'exploitation.

De nombreux soucis proviennent du défaut de contrôle sur l'ensemble des ressources ainsi dispersées, en particulier lorsque plusieurs utilisateurs partagent un même système ou lorsqu'un même utilisateur utilise plusieurs browsers. Gestion d'accès quand tu nous tiens...

Menaces 2009 : les tendances prévues

Olivier Bouzereau — 2008-12-15T14:32:25Z

Les pirates évaluent et apprécient les dernières techniques du Web. Ils investissent dans les architectures récentes d'Adobe et de Microsoft pour infiltrer des logiciels malicieux capables de générer des gains financiers.

En 2009, de nouvelles attaques tireront parti des fonctionnalités remontées au niveau du nuage (Cloud Computing), mais aussi sur les plateformes SaaS/PaaS, le Webtop et les technologies Web 2.0.

"La sortie du navigateur Google Chrome, l'annonce prochaine d'Internet Explorer 8 et le développement d'applications riches reposant sur les plateformes Microsoft Silverlight et Adobe Integrated Runtime forment autant de nouvelles voies d'attaques, toutes prêtes à être exploitées", prévient le directeur technique de Trend Micro, Raimund Genes.

Le cybercrime imagine de nouveaux modèles et architectures de menaces. Les botnets et les attaques de l'année prochaine s'accrocheront donc aux tendances émergeantes : modèle SaaS, Cloud Computing, plateformes Azure de Microsoft, Amazon EC2, Google App Engine, VMware infrastructure 3...

Les navigateurs Internet et leurs plug-ins (en particulier Flash et les lecteurs de clips) resteront les vecteurs d'infection préférés des pirates. "Les logiciels malicieux vont progresser dans deux autres domaines", prévoit le CTO de Trend Micro :

Les pirates vont continuer à développer et diffuser des codes conçus pour échapper à la détection, et donc au nettoyage.

Nous devrions voir davantage de familles d'attaques, mais moins de variantes. Le but étant de rendre plus difficile la création de signatures heuristiques et génériques pour la détection.

Les cybercriminels continueront d'utiliser comme appât les grands événements internationaux, les célébrités et les personnages politiques, dans le cadre de l'ingénierie sociale. Les joueurs qui attendent impatiemment la sortie de « Starcraft 2 » et de « WoW : Wrath of the Lich King » feraient bien de se méfier. Les pirates devraient même continuer à tirer parti de la crise financière mondiale, un thème attiirant d'innombrables internautes.

Microsoft restera la cible des auteurs de logiciels malicieux. Avec Windows 7 annoncé l'an prochain, les cybercriminels feront sans aucun doute des efforts pour faire mentir la promesse d'un Windows « sans virus ».