Linkedln est confronté à de graves problèmes de Sécurité

Information du 6 Juin 2012

Suite à une communication de « Naked Security » de la Société « Sophos », spécialisée dans la sécurité des données, Linkedln aurait (information non confirmée par l’éditeur lui même) été piraté : 6,5 millions de mots de passe des comptes seraient en possession de personnes malveillantes. Malgré leurs cryptages, il est conseillé de rapidement changer son mot de passe….
Informations plus complète sur http://www.pcinpact.com/news/71490-linkedin-application-donnees-mots-de-passe-fuite.htm?vc=1

Les sept points clés pour une externalisation réussie de son Plan de Continuité d’Activité (PCA)

Toute entreprise se doit de mettre en place un plan de Continuité d’Activité (PCA) afin de se prémunir de risques tels que :

  • Les pannes matériels (Serveurs, switch, routeurs…)
  • Les pertes de données ou données inaccessibles (Base de données cassées…)
  • Les dégâts des eaux ayant pour conséquences la destruction de l’ensemble du matériel Informatique,
  • Les incendies,
  • Les vols de matériels,
  • Etc…

Chacun des risques cités ci-dessus sont susceptibles d’arrêter partiellement voir totalement l’activité d’une entreprise.

L’objectif d’un PCA est la remise en route de l’ensemble des outils et données informatiques stratégiques de l’entreprise.

Sept recommandations nécessaires à la mise en place d’un PCA de qualité :

1 – Multiplier les fournisseurs.

Il faut différencier les actions de « création du PCA » et « son exécution »  (en cas de sinistre, par exemple). Il convient de donner la réalisation du PCA (c.-à-d. la rédaction et les tests) à un fournisseur, et l’exécution de celui-ci à de multiples fournisseurs.

Par exemple, les fournisseurs de matériels doivent être multiples  – pour s’assurer de la livraison dans un temps le plus court possible de l’ensemble des composants physiques (Serveurs, Ordinateurs fixes & portables, Routeurs, Switch, cablage…) – afin de prévenir leurs possibles défaillances.

2 – Mettre de la distance entre l’entreprise et les données sauvegardées.

La séparation d’au moins 2 Km est conseillé entre l’entreprise et les sauvegardes. Il convient aussi de s’assurer de l’accessibilité du site de sauvegarde. Doubler les sauvegardes sur deux sites est aussi une sécurité supplémentaire.

3 – Identifier les applications et données critiques ainsi que les délais acceptables de remise en route.

4 – Opter pour une réplication des applications.

La solution logicielle la plus efficace dans la constitution d’un PCA est la réplication des applications : Cela consiste à avoir une copie exacte des serveurs & applications sur un site délocalisé.

5 – Réaliser des tests réguliers et complets.

Il est recommandé d’effectuer, au minimum, un test complet par an et de l’évaluer via les indicateurs standards (Recovery Time Objective, Recovery Point Objective,

6 – Associer tous les acteurs de l’entreprise à la réalisation du PCA.

Les utilisateurs fonctionnels sont aussi importants que les informaticiens, car ils sont garant de la validité du PCA via leurs connaissances, recommandations et tests de validité.

7 – Faire évoluer le PCA en temps réel.

Un Plan de Continuité d’Activité n’est valide que si il est revu régulièrement, c-a-d de 1 à 3 fois par an, suivant la taille du système d’Information.

Actualité du 1er Trimestre 2011 : Les attaques sur Android, Facebook et Anonymous ont été importantes (Avril 2011)

Les trois premiers mois de l’année ont été marqués par trois incidents majeurs en matière de sécurité : L’attaque contre les smartphones Android via la boutique officielle Android Market, des malveillances informatiques sur des comptes Facebook, et l’attaque du groupe d’hacker « Anonymous » sur une société Américaine  – HBGary Fédéral – travaillant dans le domaine de la Sécurité pour, entre autre, le Gouvernement Fédéral Américain.

Mais intéressons nous uniquement aux deux attaques concernant Android Market et Facebook.

L’attaque contre Android Market a été très simple à mettre en place : Il a suffit d’insérer dans cet outil propre aux Smartphone Android des applications contenant un cheval de Troie, qui importé sur les téléphones portables, pouvait dérober des informations personnelles et télécharger automatiquement d’autres applications à l’insu de l’utilisateur.

Evidement, Google (propriétaire d’Android) a immédiatement supprimé en quelques jours les applications du « Market » et des téléphones portables infectés. Cette attaque pose cependant  la question sur la confidentialité des données sur Smartphones et sur l’utilisation de ces téléphones dans le monde de l’entreprise.

A l’identique des outils de messagerie et d’internet ou il est fortement conseillé  de mettre en place une charte d’utilisation pour les salariés, l’utilisation des Smartphones en entreprise doit être assujettie à ces mêmes règles de fonctionnement et de sécurité.

L’affaire de piratage sur Facebook provient d’un jeune Américain ayant utilisé les informations publiques des profils Facebook pour « mettre la main sur les comptes de messagerie (de diverses personnes). Une fois qu’il avait obtenu l’accès à la messagerie de ses victimes, il recherchait des informations personnelles et des photos confidentielles qu’il pourrait utiliser pour les faire chanter » (Cf Note d’information sur le rapport PandaLabs – Avril 2011).

Facebook est un outil de plus en plus utilisé dans la communication des entreprises. Cette attaque montre la nécessité d’être prudent sur le type d’information posté sur ce réseau social et de diriger, voir d’interdire, la communication des salariés sur le compte privé de l’entreprise.

Ref : Rapport trimestriel Année 2011 de Pandalabs

Découverte de faux certificats sur des sites de communication majeurs. (Mars 2011)

Alerte officielle émise par COMODO – Organisme Américain créateur à la demande de certificats.

Qu’est ce qu’un certificat ? Quelle est sa fonction ?

Un certificat est une carte d’identité d’un site publique. Il s’installe, après votre accord, sur votre ordinateur afin de sécuriser la connexion au site auquel elle appartient.

Il est composé, entre autre, d’une clé comprenant chiffres et lettres, du nom du propriétaire, d’une durée (date de début et de fin), qui via la fonction de hachage crée une empreinte unique et privée gérée par l’autorité de régulation des certificats (ARCEP). Celle ci est chargée de délivrer les certificats, de leurs donner une date de péremption et de les révoquer en cas ou (soit constatation d’une fraude ou sur demande du propriétaire).

Dans le monde professionnel, les certificats sont principalement utilisés pour toutes les connexions des entreprises vers les sites marchands ou bancaires.

Quelle est la fraude constatée ainsi que ses conséquences ?

Une personne serait parvenue à générer neuf vrais-faux certificats pour des domaines majeurs (Google Mail, Yahoo, Live.com, addons.mozilla.org et Skype notamment…). Cela signifie que l’attaquant est en mesure de remplacer tous ces sites par des copies parfaites. Les utilisateurs qui s’y connecteraient de manière sécurisée (via HTTPS) seraient alors dans l’incapacité de faire la différence entre le vrai site et sa copie contrôlée par l’attaquant.

Comodo a annoncé avoir détecté la fraude et révoqué les certificats concernés en quelques heures.

En conclusion :

La conséquence immédiate est minime car l’attaque ne concerne que des sites de communication. Par contre, cette attaque signifie que la sécurité des certificats pour les transactions B to B et bancaires ne seraient plus assurées avec ce type de technologie…

La liste des domaines usurpés :

addons.mozilla.org / login.live.com / mail.google.com / www.google.com / login.yahoo.com / login.skype.com / global trustee

Les entreprises négligent trop souvent l’importance de la Sécurité de l’Information (Mars 2011)

Suivant un rapport récent du Cofondateur et Président d’I-Tracing ( Société de Conseil spécialisée dans la manipulation des données sensibles) , les entreprises françaises ne se sentent pas concernées par la sécurisation de leurs systèmes d’Informations sous prétexte que « mettre en place une protection efficace engendre des coûts ».

Mais comme le souligne ce rapport,
« L’altération, le vol et la destruction des informations ont des conséquences financières non négligeables. » Et « lorsqu’un sinistre se produit, l’entreprise s’emploie à le réparer… sans en supprimer les causes … Or, la sécurité est globale ; la sécurité physique bien sûr est indispensable, mais il ne faut pas oublier pour autant la sécurité applicative, la sécurité des bases de données, la sécurité des procédures et du comportement des informaticiens, etc. »

Cependant, la sécurité « n’est pas toujours une affaire d’argent. C’est le plus souvent une question de motivation stratégique et de priorité, au plus haut niveau de l’organisation ! »

Et le rapport conclu de la manière suivante :

Heureusement, l’application des réglementations comme Sarbanes-Oxley, ont rendu obligatoire la mise en œuvre de procédures.

L’objectif est d’identifier et de cartographier les emplacements contenant des données sensibles (bases de données, systèmes CRM, ERP financiers et comptables, données de géolocalisation, données d’usage d’Internet et télécoms, etc.) au sein du système d’information. On vérifie, teste, mesure et analyse le niveau de sécurité et de protection des données et des accès. Il faut en effet collecter, corréler, analyser et paramétrer les données provenant du système d’information et des réseaux pour assurer une meilleure protection des équipements, certes, mais aussi des données et des procédures… en un mot de toute l’entreprise. La sécurisation et la mise en conformité légale sont établies à partir du constat effectué. Le résultat est une meilleure défense de l’entreprise, de ses clients et des utilisateurs. Il faut une protection pensée en amont, avant d’être attaqué ou volé. En un mot, une défense préventive. ».

(Retrouver le rapport complet à l’adresse suivante http://www.mag-securs.com/Communiqués/tabid/65/id/28278/Securite-le-reveil-peut-etre-brutal.aspx)

Formé aux normes Sarbanes Oxley depuis 2001 et responsable de la sécurité de plusieurs PME (Filiales d’OTIS) pendant 7 années, je suis à même de vous apporter mes compétences sur la mise en place de ces normes de sécurité à moindre coût. Retrouver toutes les informations sur mon site à l’adresse suivante : www.stephaneseban.com