Archives de catégorie Sécurite

Parchafik

Baromètre de la cyber-sécurité

Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) vient de sortir le baromètre de la cyber-sécurité des entreprises.

Voici ce que je retiens de cette enquête:

– Une grande majorité d’entreprises touchées par des cyber-attaques qui ont des impacts direct sur le business.

– Le ramsomware reste l’attaque la plus fréquente.

– De plus en plus d’entreprises en plus de l’amélioration des techniques de défenses recourent de plus aux cyber-assurances.

– Le budget IT lié à la sécurité est estimé à 5% malgré la croissance fort des cyber-attaques.

– Le cloud pose des soucis aux entreprises en terme de confidentialité des données

– Le BYOD (bring your own device) met à à mal sécurité dans les entreprises

– Le RGPD est un sujet très important au sein de l’IT et représente un coût supplémentaire malgré cela, le RGPD est très bien perçu par les entreprises qui y voient un réel moyen de renforcer la protection des données.

– Beaucoup de RSSI cumulent en plus de leur fonction, celui de DPO (Data Protection Officer).

Ce dernier point me pose un souci car selon moi, il aura forcément conflit d’intérêt entre les deux fonctions ce qui n’est pas permis dans le RGPD. D’après moi, ce sont 2 rôles complémentaires mais pas unitaires.

Et vous en pensez quoi?

Source

Parchafik

Ça ne rigole pas avec la protection des données en Angleterre

Le #RGPD va donner encore plus de pouvoir aux Autorités de supervision et les sanctions seront plus lourdes en cas de manquement à la sécurité des données personnelles.

Cette semaine c’est Darty qui a été sanctionné par la @CNIL – Commission Nationale de l’Informatique et des Libertés

En Angleterre, l’équivalent de la CNIL, l’ICO, (Information Commissioner’s Office), vient d’infliger une très lourde amende de plus de 500 000€ à l’opérateur de téléphonie, @Carphone Warehouse pour une cyberattaque qui a eu lieu en 2015 où 3 millions de données clientes ont été piratées.

Les données clientes compromises comprenaient: les noms, adresses, numéros de téléphone, dates de naissance, état civil et, pour plus de 18 000 clients, les détails historiques des cartes de paiement.

L’autorité de supervision a constaté plusieurs insuffisances dans la sécurisation des données des clients et a déterminé que la société n’avait pas pris les mesures nécessaires pour protéger les renseignements personnels.

L’ICO a estimé qu’il s’agissait d’une violation grave du principe 7 de la loi de 1998 sur la protection des données en Angleterre d’où l’amende record infligée.

Je rappelle que les sanctions seront plus lourdes avec la mise en application du RGPD en cas de manquement avéré à la protection des données personnelles.

Donc il serait temps pour les entreprises européennes d’entamer la démarche de mise en conformité au RGPD avant le 25 mai 2018.

Source:

 

 

Parchafik

Processeurs AMD, Microsoft suspend les mises à jour.

Suite à de nombreuses plaintes d’utilisateurs de PC équipés de processeurs AMD, qui retrouvaient leur PC dans un état non amorçable après l’installation des dernières mises à jour de sécurité de Windows, Microsoft vient de suspendre la distribution automatique des mises à jour pour ce type de machine.

Microsoft dénonce une mauvaise documentation du côté d’AMD qui a servit à développer les patchs.

Pour ceux qui ont déjà appliqué les mises à jour et qui rencontrent des soucis il va falloir aller ici et chercher une solution.

Sources de l’article ici:

https://www.theverge.com/2018/1/9/16867068/microsoft-meltdown-spectre-security-updates-amd-pcs-issues

 

Parchafik

Failles informatiques : « Un jour, il y aura des morts »

Un article intéressant  apparu sur le site Le Point ce lundi 8/01/2018 où un expert en cybersécurité explique la dangerosité de failles Meltdown et Spectre récemment découvertes et qui constituent une menace pour tout le monde.

Cliquez ici pour lire l’article

 

 

 

Parchafik

Un backdoor sur les NAS Western Digital

Beaucoup de NAS Western Digital My Cloud ont eu un backdoor (une porte dérobée) codée en dur, ce qui signifie que tout le monde peut y accéder et vos fichiers pourraient être en danger.

Il n’est même pas difficile d’en profiter – le nom d’utilisateur est “mydlinkBRionyg” et le mot de passe est “abc12345cba” (sans les guillemets).

Pour aggraver les choses, il a été divulgué à Western Digital il y a six mois et la société n’a apparemment rien fait jusqu’en novembre 2017.

Chose bizarre, le nom d’utilisateur contient la marque dlink, comment cela se fait?

Les chercheurs ont fait des recherches et ont découvert que les dispositifs NAS WD avaient déjà partagé du code avec les dispositifs «Sharecenter» de D-Link.

Fait intéressant, ces appareils D-Link ont ​​reçu un firmware corrigé en 2014 et ne contiennent plus la porte dérobée.

Si vous ne savez pas si votre appareil MyCloud Storage est affecté, veuillez vérifier la liste ci-dessous. Si votre modèle est répertorié, vous devez le débrancher immédiatement d’Ethernet. Apparemment, le firmware 2.30.172 (publié en novembre 2017) corrige le bug, donc ne vous reconnectez pas à Internet jusqu’à ce que vous soyez sûr que votre appareil est mis à jour et que la vulnérabilité est corrigée.

  • MyCloud
  • MyCloudMirror
  • My Cloud Gen 2
  • My Cloud PR2100
  • My Cloud PR4100
  • My Cloud EX2 Ultra
  • My Cloud EX2
  • My Cloud EX4
  • My Cloud EX2100
  • My Cloud EX4100
  • My Cloud DL2100
  • My Cloud DL4100

Sachez que même si vous avez mis à jour le micrologiciel en novembre, vos fichiers auraient pu être consultés par des gens malfaisants avant cela, pendant des années . C’est très effrayant.

Vivement la mise en place du RGPD qui va obliger ces constructeurs à notifier en moins de 72h toute violation de ce genre et mettre en place les corrections nécessaires rapidement.

Sources:

https://www.theregister.co.uk/2018/01/08/wd_mycloud_nas_backdoor/

Western Digital ‘My Cloud’ devices have a hardcoded backdoor — stop using these NAS drives NOW!

Parchafik

Protection contre les failles Meltdown et Spectre

Tout le monde est concerné par les failles Meltdown et Spectre

Dans le sillage des révélations sur les bugs de Meltdown et de Spectre, beaucoup de gens se demandent s’ils sont affectés ou non. Compte tenu du nombre de puces avec cette faille, les chances que votre ordinateur ait une vulnérabilité sont très élevées.

Trois variantes de failles selon Google Project Zero

Dans un récent article, l’équipe de Google Project Zero qui avait alerté Intel, il y a plusieurs semaines des failles sur ses processeurs nous donnent plus de précision sur Meltdown et Spectre. Le groupe indique en fait qu’il y a 3 variantes de cette faille.

La variante 1 et la variante 2 ont été appelées “Spectre”. La variante 3 a été appelée “Meltdown”

  • Variante 1 ( CVE-2017-5753 ) “contrôle de contournement des limites“. Cette vulnérabilité affecte des séquences spécifiques dans des applications compilées, qui doivent être traitées sur une base binaire. Cette variante est actuellement à la base de préoccupations concernant les attaques de navigateur, l’exploitation de Javascript et les vulnérabilités dans les binaires individuels.
  • Variante 2 ( CVE-2017-5715 ), “injection cible de branche“. Cette variante peut être soit fixée par une mise à jour du microcode CPU du fournisseur de l’UC, soit en appliquant une protection logicielle appelée ” Retpoline ” aux binaires où une fuite d’informations est présente. Cette variante est actuellement à la base des préoccupations concernant la virtualisation du Cloud et les problèmes de “contournement de l’hyperviseur” qui affectent des systèmes entiers.
  • Variante 3 ( CVE-2017-5754 ), “chargement de cache de données non autorisé “. Cette variante est à la base de la discussion autour de “KPTI” ou “Kernel Page Table Isolation”. Lorsqu’un attaquant a déjà la possibilité d’exécuter du code sur un système, il peut accéder à la mémoire à laquelle il n’avait pas de permission

Bonnes pratiques pour minimiser les risques:

  • Mettre à jour votre navigateur web vers les dernières versions
  • Vérifier que votre antivirus est compatible et qu’il est à jour.
  • Mettre à jour les bios et firmwares de votre PC, voir sur le site du constructeur
  • Installer les mises à jour de sécurité Windows et le patch de Microsoft KB4056892
  • Installer patch des systèmes d’exploitation Linux et MacOs
  • mettre à jour vos smartphones (android, Iphone, windows phone) et les applications
  • Mettre à jour vos box internet, switchs et routeurs réseaux
  • Si vous accédez à un fournisseur Cloud, normalement celui-ci a déjà pris les devants

Procédure pour un PC Windows

Un plan de protection en trois phases :

  1. Vérifiez que vous exécutez une application antivirus compatible avant d’installer les mises à jour du système d’exploitation ou du micrologiciel.Contactez le fournisseur du logiciel antivirus pour obtenir des informations de compatibilité.
  2. Appliquez la mise à jour du microprogramme ou firmware applicable fournie par le fabricant de votre PC.
  3. Appliquez toutes les mises à jour du système d’exploitation Windows disponibles, y compris les mises à jour de sécurité Windows de janvier 2018 avec notamment le KB4056892.

Mise à jour du BIOS de la carte mère

Le premier réflexe consiste à vérifier la mise à jour du BIOS de votre carte-mère. Rendez-vous pour cela sur le site officiel du constructeur, et regardez si une mise à jour récente (après le 3 janvier 2018) n’a pas été déployée. Si vous ignorez le modèle exact de votre carte mère, mais connaissez au moins le fabricant, sachez que tous les constructeurs livrent sur leur site un petit utilitaire permettant d’identifier les composants de votre PC.

Mais il y a encore plus simple : cliquez à l’aide du bouton droit de la souris sur le bouton Windows de la barre des tâches. Cliquez sur Exécutez et entrez le terme cmd dans la fenêtre qui s’affiche. Entrez la commande suivante :

systeminfo.exe

info carte mere

Vous devriez dès lors retrouver le nom du fabricant et le modèle exact de votre carte mère. Il ne vous reste plus qu’à récupérer le dernier firmware en date sur le site du fabricant.

La mise à jour du firmware s’opère aujourd’hui de la manière la plus simple qui soit (plus besoin de créer un disque ou une clé USB de démarrage). Tout se fait soit depuis un utilitaire exécutable sous Windows, soit depuis l’UEFI de la carte mère. Dans ce cas précis, il suffit de redémarrer la machine, d’accéder à l’UEFI, de sélectionner l’endroit où se trouve le fichier de mise à jour (peu importe qu’il soit stocké sur un disque interne ou externe, ça fonctionne indifféremment), et le tour est joué

Mises à jour Microsoft et patch KB4056892

En attendant la sortie du patch d’Intel promettant de corriger 90% des processeurs modernes, Microsoft s’est empressé d’obtenir une solution d’urgence pour les utilisateurs de Windows 10 en sortant le KB4056892, promettant que les utilisateurs de Windows 7 et 8 seront corrigés dans un proche avenir.

Vérifiez bien que votre processeur est bien est de la marque Intel. Pour les processeurs AMD, il faut attendre encore quelques jours.

Il faut installer toutes les mises à jour de sécurité critique de Windows et le patch KB4056892

Vérification du niveau de protection de son PC Windows

En plus de la mise à jour, Microsoft a également produit un script PowerShell qui vérifie si votre PC est vulnérable.Utilisez les étapes suivantes pour installer et exécuter le test.

  1. Appuyez sur la touche Windows et tapez PowerShell .
  2. Cliquez avec le bouton droit sur le raccourci PowerShell et sélectionnez Exécuter en tant qu’administrateur .
  3. Tapez Install-Module SpeculationControl et appuyez sur Entrée .
  4. Si vous êtes invité à installer le fournisseur NuGet, tapez O et appuyez sur Entrée , et répétez si vous êtes averti de l’installation à partir d’un référentiel non approuvé.
  5. Une fois l’installation terminée, tapez Import-Module SpeculationControl et appuyez sur Entrée .
  6. Tapez Get-SpeculationControlSettings et appuyez sur Entrée .

Les résultats attendues en cas de bonne protection (patch et carte mère)

patch meltdown good result

Résultat attendu si seulement le patch a été appliqué:

patch meltdown bad result

 

Vérification de la protection sous Linux

Afin de s’assurer de la présence du mécanisme de sécurité KPTI sur un système utilisant un noyau Linux il est possible d’exécuter la commande suivante :

dmesg | grep 'Kernel/User page tables isolation'

Dans le cas où KPTI est activé un message sera affiché en sortie

Sources:

Source 1

Source 2

Source 3

Parchafik

Faille dans les processeurs AMD

Déjà touché par la faille Spectre, AMD doit en plus faire face à des révélations de l’Equipe de sécurité de Google, qui indique avoir trouvé une faille dans les processeurs AMD au niveau de la Plateforme de sécurité du Processeur (PSP).

Cette faille a été signalée à AMD en septembre 2017 et normalement la firme s’était engagée à sortir un correctif pour début décembre 2017 mais ce ne fut pas le cas, d’où la révélation au grand public de cette nouvelle faille.

D’après certains chercheurs, cette faille n’est pas exploitable à distance, il faut un accès physique afin de contourner l’amorçage sécurisé par le TPM (Trusted Plateforme Module, microcontrôleur dédié à la sécurisation d’un système par intégration de clés de chiffrement dans le matériel).

Le porte-parole d’AMD a déclaré que le fabricant de puces planifiait de remédier à la vulnérabilité d’un nombre limité de versions de firmware. Les mises à jour du BIOS des OEM sont censées être disponibles plus tard ce mois-ci.

 

Mon point de vue:

Même si effectivement il faut un accès physique à la machine et contourné le démarrage sécurisé, je trouve hallucinant ces failles à répétitions des fondeurs de processeurs.

La course à la performance leur ont fait oublié les priorités et la 1ère est la sécurité.

Attention il ne faut pas mettre à jour votre Windows avec le patch Microsoft si vous avez un processeur AMD car votre PC va planter.

 

Sources

https://www.theregister.co.uk/2018/01/06/amd_cpu_psp_flaw/

 

Parchafik

Des problèmes avec le KB4056892 pour corriger les failles Intel.

Microsoft a récemment mis à la disposition des utilisateurs de Windows 10 (version 1709) le KB4056892 afin de corriger les vulnérabilités des processeurs Intel pour corriger les failles Meltdown et Spectre.

La mise à jour est poussée depuis quelques heures. Alors que Microsoft reconnait que 3 problèmes suite à la mise à jour (échec de l’installation, des soucis avec certains anti-virus et une erreur d’appel RPC). Or depuis plusieurs heures, sur les forums et sur Twitter, sont signalés de nombreux bugs et plantages en plus des 3 cités par Microsoft:

  • Plantages des navigateurs notamment Chrome et Firefox. Mozilla a un sorti un patch afin régler ce problème
  • Certaines applications ne se lancent plus
  • Le PC se fige ou se verrouille après notamment un redémarrage
  • La liste des applications est introuvable
  • impossibilité de se connecter à Windows Update

Microsoft a indiqué qu’elle va sortir dans les prochaines heures, un patch pouvant régler ces problèmes. En attendant il faudra se poser la question de l’installation de ce KB maintenant ou attendre encore un peu que Microsoft et les autres éditeurs sortent un update plus stable.

 

Sources:

http://windowsreport.com/kb4056892-issues/

Parchafik

#RGPD #Sécurité: Une violation de données à la sécurité intérieure US

Selon le site cyberscoop, le DHS (Department of Homeland Security), organe de la sécurité intérieure américaines, a informé ses employés ce mercredi, qu’une violation de données concernant 240 000 personnes a eu lieu depuis mai 2017, mais n’a pas été divulguée en raison d’une enquête criminelle en cours.

Une copie non autorisée de son système de gestion des affaires d’enquête a été trouvée en la possession d’un ancien employé du DHS.

Les données piratées n’ont pas été exposées à une activité malveillante, a déclaré le DHS

Cette violation doit rappeler à tous les responsables de traitement du #RGPD qu’il faut aussi penser que la violation des données peut se produire de l’intérieur de la société et mettre en place les mécanismes de protection afin de rendre les données inexploitables lorsqu’ils sont sortis du périmètre de l’entreprise.

Sources:

DHS confirms data breach affecting more than 240,000 current and former employees

https://gizmodo.com/homeland-security-data-breach-affects-240-000-federal-e-1821755817

 

 

 

Parchafik

#Sécurité: Une faille de sécurité sévère du processeur Intel

L’année 2018 promet d’être tendue pour Intel si les faits sont avérés. En effet si les rapports sont exacts, il semble qu’Intel ait une faille de sécurité sévère au niveau de ses puces qui ne peut pas être simplement corrigé par une mise à jour du microcode.

Le bug affecte tous les processeurs Intel modernes datant d’au moins une décennie.

En un mot, le bug permettrait à des utilisateurs normaux d’accéder “illégalement” à certains contenus de la mémoire du noyau protégé

A priori le bug toucherait tous les environnements Windows, MacOs et Linux

Le bug

Les processeurs Intel modernes présentent un défaut de conception qui pourrait permettre à des programmes malveillants de lire des zones protégées de la mémoire du noyau d’un périphérique (mémoire dédiée aux composants essentiels d’un système d’exploitation et leurs interactions avec le matériel).

Cette faille pourrait potentiellement exposer des informations protégées comme les mots de passe avec par exemple un simple Javascript sur une page webIntel-CPU-Kernel-Memory-Bug

Des correctifs attendus bientôt mais…

Les plus grands éditeurs sont en train de préparer des correctifs mais qui s’accompagneraient également d’un gros impact sur les performance des machines, entre 5 à 30% de performances en moins.

Cependant, les processeurs Intel récents dotés de PCID (Process-Context Identifiers) peuvent avoir un impact moindre sur les performances.

Un impact sur les fournisseurs Cloud Computing?

Les 3 fournisseurs Cloud seraient probablement touchés par cette faille et on ne devrait pas tarder à voir apparaitre  des mises à jour majeurs chez Microsoft, AWS et Google dans les prochaines jour ou semaines.

Quid des processeurs AMD?

Les processeurs AMD ne seraient pas affectés par le bug en raison des protections de sécurité que l’entreprise a mises en place. Cela signifie également que les processeurs AMD ne seront pas être affectés par des hits de performance.

Conclusion:

2018 semble commencer très mal pour Intel et c’est AMD qui se frotte les mains.

Après les mises à niveau majeurs de vos différents OS, pensez à surveiller les performances de vos machines et cloud.

Sources:

https://hothardware.com/news/intel-cpu-bug-kernel-memory-isolation-linux-windows-macos

http://pythonsweetness.tumblr.com/

https://www.theregister.co.uk/2018/01/02/intel_cpu_design_flaw/

#sécurité#Intel répond aux alertes de sécurité sur ces puces mais nous rassure pas du tout.

En effet dans une réponse publiée sur son site, le fabricant indique dans un 1er temps que cette faille de sécurité ne concerne pas seulement Intel mais aussi les autres fabricants…Alors qu’AMD avait indiqué que ces puces n’étaient pas soumises à ce bug…

Sinon d’après Intel, l’utilisateur moyen ne verrait pas la baisse de performance suite à la mise à jour majeure de son OS, mais qu’est-ce qu’un utilisateur moyen? Sachant que les processeurs Intel équipent une très grande partie des serveurs dans le monde notamment chez les fournisseurs Cloud….

Enfin Intel annonce qu’elle s’engage à être transparent en cas de problèmes de sécurité, mais le souci c’est que ce problème ait connu depuis plusieurs mois par le constructeur et seul les éditeurs d’OS étaient au courant.

Si le RGDP, était mis en application, est-ce qu’Intel aurait pris une amende d’après-vous?

Bref une communication pas du tout rassurante de la part d’Intel et surtout qui laisse beaucoup d’incertitudes…

A faire à suivre…

Sources:

Intel Responds to Security Research Findings

https://hothardware.com/news/intel-responds-to-alleged-chip-flaw-claims-effects-wont-significantly-impact-average-users