Tag Archives: sécurité

LinkedIn : bug ou “feature” ?

Oups. Lorsque l’on ne fait pas une recherche sur un nom précis, LinkedIn masque, dans ses résultats de recherche, les noms complets des personnes correspondant à la recherche.

Mais il semble qu’il suffise d’une demande de mise en relation – refusée – pour accéder au nom complet et, ainsi, pouvoir tenter d’entrer directement en relation avec la personne voulue. C’est du moins ce qui vient de m’arriver.

De fait, lorsque LinkedIn indique qu’une demande de mise en relation a été rejetée, un message est généré qui contient, probablement par erreur, le nom complet de la personne avec laquelle on souhaitait être mis en relation.

Autant pour la vie privée.

Tagged , , , ,

Userlock : sécuriser les accès et les infrastructures

La mode est au DLP, les gourous de la sécurité cherchent de plus en plus à sécuriser « l’information »… parfois au détriment de l’infrastructure. Il existe pourtant un outil simplissime qui, à la fois, facilite les « politiques d’accès » et, indirectement, résout les questions de fuite ou de modification d’informations.

Userlock d’IS Décisions en quelques mots ? Un logiciel de gestion des accès destiné à toute la gamme des serveurs Windows actuellement en service (nos essais se sont déroulés sous 2008 Server). Mais surtout un logiciel capable d’appliquer à des groupes entiers (d’utilisateurs, de stations, ou les deux associés) des restrictions ou autorisations d’accès à des ressources, des plages temporelles d’utilisation, le moyen de forcer un verrouillage ou une déconnexion à distance d’un utilisateur en particulier… le tout accompagné d’un solide outil de reporting.

En termes plus simples, les trois avantages principaux de Userlock sont :

–        l’interdiction de login d’un utilisateur ou groupe sur deux consoles simultanées (ou en dehors de stations préalablement définies),

–        l’application de règle « par groupe » (par défaut, les restrictions sous Windows s’appliquent fastidieusement « user par user ») et

–        la possibilité de « jeter » rapidement un intrus d’un simple mouvement de souris depuis la console d’administration. Le tout avec un niveau de complexité proche de celui nécessaire à la maîtrise de Powerpoint. C’est dire.

A qui s’adresse-t-il ? Aux administrateurs souhaitant renforcer les politiques de logon sans avoir à écrire le moindre script ni modifier le plus petit service en place : Administrations, établissements hospitaliers, Lycées ou Universités, et entreprises constituées de plusieurs départements ou filiales exigeant un niveau minimum de cloisonnement entre fonctions et emplacements géographiques. Il n’existe strictement aucune limite haute ou basse du nombre d’administrés pris en compte. Si historiquement ce logiciel se destine surtout aux infrastructures de plusieurs centaines de postes, rien n’interdit de l’installer sur un petit système SBS appartenant à une entreprise « à données sensibles » et haute valeur ajoutée. Le tarif le plus élevé (configuration de 10 à 19 postes) ne dépasse pas 8 euros par station et chute à moins de 5 euros entre 100 et 200 postes.

Continue reading

Tagged , , ,

Scada : le temps de la panique est-il venu ?

Cette année, à Davos, la sécurité du monde numérique s’est invitée au menu des débats des dirigeants de la planète. En témoigne, si c’était nécessaire, l’entretien publié par nos confrères du Monde avec Hamadoun Touré, secrétaire général de l’Union Internationale des Télécommunications (l’impréparation de l’Inde face à cette menace a d’ailleurs l’objet d’un article aujourd’hui dans le Business Standard). Mais ce qui a fait le plus de bruit, c’est probablement cette étude conduite par McAfee le think tank américain CSIS mettant en garde contre les lacunes de sécurité des systèmes Scada, publiée la semaine dernière. Bon, cette question commence à prendre à des airs de marronnier chez McAfee : en novembre dernier, l’éditeur l’avait déjà évoqué dans son étude sur la cyberguerre. Certes, l’éditeur peut s’appuyer sur des exemples concrets, comme l’intrusion, en avril dernier, dont a été victime le réseau électrique américain. Quelques semaines plus tôt, Leif Kremkow, directeur technique de Qualys, avait d’ailleurs souhaité alerter, dans les colonnes du MagIT, sur les vulnérabilités des infrastructures industrielles automatisées de type Scada. Reste que, pour certains, ces menaces restent surestimées. Et si, lors d’une conférence de presse organisée en amont d’Infosecurity Europe, qui se déroulera à Londres, du 27 au 29 avril prochain, IOActive est revenu sur la question du hacking des éléments d’infrastructure SmartGrid, le sujet fait clairement débat. D’autant plus, en fait, que l’essentiel des vulnérabilités ne semble pas venir des protocoles utilisés en eux-mêmes mais plutôt de leurs diverses implémentations.

En fait, pour Rik Ferguson, expert menaces et solutions chez Trend Micro, rencontré en décembre dernier à Londres, la menace sur les Scada est avant tout « théorique. » Pour lui, « oui, il est possible de compromettre un réseau Scada, d’en prendre le contrôle, et de conduire des activités malicieuses. » En quoi, alors, la menace ne serait-elle que théorique ? Parce qui lui « ne pense pas que les réseaux Scada soient interconnectés et ne croit pas qu’il y ait, à ce jour, de réel besoin pour cela. » Bref, l’absence d’ouverture, « c’est probablement la meilleure protection que l’on puisse imaginer. » Quid alors de l’ouverture des infrastructures Scada pour, par exemple, permettre les astreintes à distance ou encore la sous-traitance ? « Si l’on fait une analyse de risque sérieuse, les bénéfices pour l’entreprise à autoriser le personnel à faire du contrôle à distance sont plus faibles que les risques. Quand vous considérez en plus le potentiel des actions malicieuses dans ce contexte… » Et pour la sous-traitance ? Même son de cloche : « là encore, plus on ouvre, plus on expose. C’est à intégrer dans le calcul de risque. » Bref, un discours qui tranche avec les doctrines en vogue. Un peu trop ?

Tagged , , , , , , , , ,

Sécurité informatique : de la difficulté du disclosure (et même pas full)…

Mon histoire est sans commune mesure avec l’affaire à laquelle est confronté Damien Bancal, de Zataz.com – attaqué par une entreprise après lui avoir fait part de la découverte fortuite d’un défaut de sécurisation de son système d’information. Mais elle met bien en évidence toute la difficulté de ce processus de disclosure – qui consiste à informer un tiers que son SI est vulnérable sans pour autant chercher à exploiter les failles découvertes; et je ne parle même pas de ce full disclosure qui consiste à diffuser publiquement l’information.

Ce mardi 22 septembre, quelqu’un s’est lancé dans une vaste campagne de spam, pour des pilules bleues, avec des adresses d’expéditeur bidon du type jenexistepasmemedanstesreves@lemagit.fr. Je parle de “vaste” parce, après avoir constaté une surconsommation anormale – mais significative – de CPU et de bande passante sur nos serveurs de messagerie, nous avons mis en place un catchall temporaire pour essayer de comprendre ce qui se passait, en collectant un maximum de trafic. Bilan : en l’espace de seulement deux heures, quelque 1 500 retours NPAI…

L’intérêt du NPAI, c’est que l’on peut retrouver l’émetteur – ou plutôt les adresses IP des machines ayant été utilisées pour envoyer les pourriels (à moins bien sûr qu’il n’y ait eu là usurpation, ou spoofing). Je ne ferai pas d’inventaire complet ici mais, dans un premier batch d’une petite centaine de retours, j’ai pu trouver ce qui ressemble à deux machines en Allemagne, deux en Arabie Saoudite, une en Argentine, deux au Brésil, sept en Corée, trois en Espagne, une en Grèce, une autre à Hong Kong, neuf en Inde, une en Israël, trois en Italie, deux au Japon, une en Norvège, trois en Pologne, une en Roumanie, treize en Russie, une en Suède, trois à Taïwan, autant en Thaïlande, une en Turquie, cinq en Ukraine, quatre au Vietnam et… une en France. Bref, tout cela m’a fait penser à un botnet.

J’ai assez vite décidé de décrocher mon téléphone pour joindre le responsable informatique de l’organisation française concernée – très facile à retrouver grâce à un rDNS (reverse DNS lookup, en gros, on part de l’adresse IP pour retrouver un nom de domaine) au résultat pour le moins explicite : si l’une de ses machines est compromise, il peut apprécier de le savoir… Surtout compte tenu des informations qu’est susceptible de traiter cette organisation : un office notarial.

La conversation téléphonique qui s’en est suivie n’a pas manqué de me surprendre. Et de m’instruire. De fait, mon interlocuteur ne semblait pas tout à fait avoir bien conscience de la manière dont son SI était susceptible d’être compromis : “nos serveurs de messagerie ne sont pas dans nos locaux; ils sont gérés à l’extérieur…” Et moi de lui indiquer que, probablement, la machine compromise n’a rien à voir avec ses serveurs de messagerie mais qu’il s’agit de l’un de ses PC sur lequel un logiciel malveillant envoie des messages électroniques.

Et puis, au détour d’une conversation assurément courtoise, j’ai eu droit à cette question au sujet des pourriels reçus en NPAI, suggérant qu’ils avaient pu être « …envoyés par l’un de vos amis ? » Certes, la remarque était marquée d’une pointe d’espièglerie. Mais le sous-entendu qu’elle cache est désobligeant : c’est l’hypothèse d’une intention initiale malveillante ou, à tout le moins, opportuniste; bref, que la compromission n’a pas été découverte par hasard et que celui qui se dit victime ou se présente en chevalier blanc pourrait bien être coupable ou complice… Essayez donc de rendre service. Et encore, là, il n’est même pas question de donner publiquement le nom de l’organisation concernée !

Au-delà, il n’y a plus qu’à espérer que le responsable informatique concerné ait pris l’information suffisamment au sérieux pour prendre des mesures correctrices ou, à minima, de vérification. A moins que, vis-à-vis des botnets, ne règne en maître l’idée du “ça n’arrive qu’aux autres”…

Tagged , , ,