Les fuites massives de données, ou comment faire une bonne affaire en bourse

Yahoo reconnaît une fuite de 500.000.000 comptes mail

Certes, ce n’est pas la première fois pour Yahoo Mail (1), mais quand même, ça tombe pile openphotonet_phoneindex1pendant le bouclage du rachat par  l’opérateur américain Verizon. Et quel beau carnet d’adresses, avec des mots de passes réels facilement déchiffrables. De quoi enrichir les dictionnaires des outils de hacking avec quelques nouveautés.

Le montant du rachat semble être de 4.800.000.000 dollars, ou peut-être un peu moins après cette affaire ? Les chiffres sont vertigineux, à la hauteur des enjeux financiers pour les opérations de haut vol dans l’industrie, lorsqu’il s’agit d’acteurs majeurs.

Une telle opération, si elle est vérifiée, représente une exploitation intéressante de la cyber sécurité dans le monde des affaires. Parce qu’elle touche un groupe connu du grand public, ce qui en augmente d’autant les effets.

[mise à jour du 7/10/16 : verizon demande effectivement un rabais de 1.000.000.000$

Et c’est un bon moyen de garder à l’esprit que les risques ne sont pas que portés par les départements informatiques, il sont aussi et même surtout, portés par leur propriétaires réels que sont les départements marketing, juridique et commercial pour une entreprise comme Yahoo qui évolue dans le monde de la communication (régie publicitaire en tête).

 

Principe de précaution

  • Changez votre mot de passe Yahoo Mail
  • Vérifiez si vous avez des actions Yahoo! (YHOO) en portefeuille (assurance vie ? compte titres ?)
  • Changez éventuellement le mot de passe de tous les autres sites ou vous utilisez l’adresse Yahoo Mail comme identifiant, car si votre caution-tripping-hazard-1444098-639x510compte de messagerie est exploité, il a pu être utilisé pour « réinitialiser votre mot de passe » sur d’autres plateformes et en gagner l’accès
  • Activez, partout où c’est possible à commencer par Yahoo Mail, la double authentification (par SMS, avec code à usage unique type Google Authenticator ou votre app similaire préférée)
  • C’est l’occasion de (re)découvrir le site qui vous aide à vérifier si votre adresse email à été compromise : haveibeenpwned.com , vous y inscrire en veille sécurité et éventuellement y faire un petit don pour ce service inestimable

En ce moment Yahoo Mail invite à vérifier que votre compte est sécurisé

yahoo-secure-my-account

Voilà ce qui s’affiche après une connexion à une boite mail existante.

En répondant Yes, secure my account, vous êtes invité à saisir un nouveau mot de passe, puis vérifier les moyens de récupération (adresses email secondaires, numéros de téléphones).

Il n’y a pas de fumée sans feu

 

 

 

(1): 5.000.000 comptes fuités le 10/09/2014.

 

Le point d’équilibre entre sécurité et facilité

Pourquoi est-ce si difficile de trouver le bon équilibre entre sécurité et facilité ?

Probablement parce-que, contrairement au man-standing-on-finger-jpg

principe réducteur que pose ce titre, il n’y a pas un seul point fixe d’équilibre entre sécurité et facilité d’utilisation.

Comment pourrait-il y en avoir d’ailleurs ? Chaque utilisateur, chaque métier est régit par ses propres besoins « en libertés » et sous « contraintes » de sécurité. De plus, côté client s’impose la transparence, c.a.d. la sécurité maximale et invisible pour ne pas altérer la qualité de la relation.

Et maintenant, à quelle vitesse, dans une entreprise agile, évoluent ces paramètres ?

 » Vitesse lumière Mr. Spock « 

Les contraintes

La liste est longue, prenons les grandes familles de contraintes possibles.

bibliotheque-et-livres

  • Légales, qui se déploient au gré des avancées de l’Union Européenne, puis des déclinaisons en droit local.
  • Stratégiques, à l’appréciation du comité de sécurité (ou Risk Manager, RSSI, Inspecteur/Auditeur/Contrôleur interne).
  • Systémiques, quand un ensemble d’acteur évolue dans un domaine sensible (santé, défense).
  • Réglementaires, quand le règlement intérieur ou les chartes d’usages appliquent les restrictions souhaitées par les directeurs. J’aurai plutôt tendance à classer ici les préconisations, par exemple celles de l’Agence Nationale de la Sécurité des Systèmes d’Information.
  • Techniques. Aussi surprenant que ça puisse être, quelque fois, la limitation est d’origine technique. Par exemple quand un sous ensemble du système d’information n’est pas intrinsèquement suffisamment sécurisé, et doit faire l’objet d’une mise à l’écart des accès et ressources externes.
  • Sociales, il arrive que certaines populations utilisatrices du système d’information ne soient pas à même d’apprécier les risques encourus. Alors l’entreprise, l’institution publique, est obligée de prendre des mesures de précaution, comme dans l’enseignement (utilisateurs mineurs et de tous ages).

 

Les libertés

La liberté, que l’on considère ses motivations profondes, telles que le libre arbitreabove-adventure-aerial-air, l’autonomie, le processus créatif, est dans une certaine mesure une nécessité pour la performance des entreprises. Sinon à quoi bon déployer une démarche d’entreprise agile, de transformation digitale, et vouloir être innovant sans liberté ?

Liberté nécessaire aussi car l’hyper informatisation, le sur-équipement fait que le moyen de contournement est souvent à portée de main. A moins d’avoir recours aux restrictions drastiques appliquées dans le secteur défense, à la R&D, voire chez les Opérateurs d’Importance Vitale. Exemple : abandon du téléphone mobile avant d’entrer dans la zone démilitarisée, réseaux internes et externes physiquement séparés, passerelles sous haute surveillance…

Donc ici inutile de nous lancer dans une liste, vous êtes libres de l’imaginer.

 

Les solutions ?

Actuellement, l’empilage de mesures, de couches de sécurité, de technologies de prévention, afin d’arriver à une granularité à peu près satisfaisante est franchement en train d’atteindre ses limites.

640px-swiss_cheese_model_of_accident_causation
Image par Davidmack, CC BY-SA 3.0 / Wikipedia

La preuve en est les éditeurs champions de la sécurité, qui en arrivent eux aussi à prêcher l’éducation, la formation des utilisateurs et à désigner le facteur humain comme vecteur de risque principal. Et ceux quelque soit leurs offres et les différents moyens de déploiement (on premise, cloud). Ok donc, la technologie ne suffit plus, et les fournisseurs de solution produisent d’importants efforts de R&D face aux évolutions des menaces (ransomware, APT), en étant plutôt suiveurs du moins pour le moment. Le côté positif est qu’à présent l’offre est suffisamment vaste pour outiller la problématique  (sans la résoudre durablement).

Reste que la nécessité de protection du système d’information, des données, des secrets ou de la sûreté si on pense aux processus industriels et SCADA  ne laisse aucune marge de manœuvre, et implique le déploiement du maximum de solutions que les moyens ou la raison permettent. Plus, bien entendu, les efforts de formation (des collaborateurs) et d’éducation (du grand public).

 

1789 – 2016 La prise de la Bastille

Une révolution dans le domaine de la sécurité informatique semble inévitable, car pris un par un: le firewall et l’antivirus sont dépassés. Les GPOs, les modèles RBAC … ne sont finalement qu’un ensemble de règles et outils bas niveau. Les firewall NG (IPS, Applicatifs), les HostIPS ne sont qu’une étape, déjà franchie donc quasi obsolète.

Une nouvelle étape est atteinte avec la vision globale des menaces, des vecteurs d’attaque, de leurs effets sur le

2 système d’information. Elle se matérialise dans l’offre de quelques éditeurs (FireEye).

Ce concept de clairvoyance au travers de toutes les couches systèmes, réseaux, équipements du SI ou personnels,

Ajouté d’une capacité de stockage et traitement de données massives (HP: le big data appliqué à la sécurité),

Consommés par une intelligence artificielle (IBM: Watson for Cyber Security)…

IA et Big data, voilà ce qui semble bien être l’avenir de la sécurité informatique. Ce qui, en soit, mérite une série d’articles dédiés à ce sujet…

Constructeurs, éditeurs, intégrateurs, reprenez l’initiative aux pirates, c’est à votre tour de vous lancer à l’assaut du bastion de la sécurité…!

 

 

La transformation digitale et l’IT en entreprise

Big data, intelligence artificielle, consumérisation des services IT, cloud, amasser des données, en traiter toujours plus, plus vite.
Mieux connaître pour s’adapter, devancer le marché et les attentes des clients.

C’est la voie de l’avenir ouverte par les entreprises natives dans un monde digital, c’est une opportunité pour les entreprises naturellement innovantes, c’est une transformation obligatoire voire urgente pour les autres.

Ce processus transformation à son lot de nouveaux défis humains, informatiques, sécuritaires ou réglementaires, car eux aussi sont transposés vers de nouveaux contextes, nouvelles métaphores, nouvelles compétences.

Si elle est réalisée en restant hermétique à ces considérations, via une approche superficielle ou excessive, l’entreprise se retrouve alors dans un paradoxe : à la fois plus performante et plus fragile.

L’IT si peu citée à propos de transformation digitale doit pourtant y contribuer, car elle y joue un rôle majeur, quitte à se réinventer, car où est l’IT dans une entreprise née digitale ? Omniprésente et invisible, un autre paradoxe de ce phénomène.

Faut-il alors une transformation organique de l’IT pour plus de transversalité, d’accompagnement humain et d’agilité, plutôt qu’un bastion depuis toujours numérique…!

Certainement, en réussissant une nouvelle évolution du métier pour les professionnels de l’informatique.

Mieux connaître pour s’adapter, devancer le marché et les attentes des clients (internes aussi).

Les coffres-forts numériques et les petites lignes du contrat 

 

Vos identifiants sont strictement personnels et confidentiels

Processed by: Helicon Filter;C’est tellement évident que cette petite phrase n’est plus systématiquement écrite sur les formulaires d’inscription, mais reléguée aux petites lignes des CGU (conditions générales d’utilisation).

De même que « jamais un employé de … ne vous demandera votre mot de passe ou code confidentiel ».

Prenons quelques exemples pour commencer.

 

Votre banquebank-safe-lease

Vous offre un coffre fort numérique pour stocker dans l’espace client vos fichiers importants (impôts, actes notariés etc). Comme par exemple Digiposte du CIC Quoi que peut-être moins courant ces derniers temps, les banques ont repris leur offre de location de coffre privé en le dématérialisant.

 

Votre cloud

Où l’hébergeur vous assure la Disponibilité, l’Intégrité, la Confidentialité des données hébergées. L’endroit idéal pour stocker votre fichier excel des mots de passe, ou mieux encore le coffre keepass,  pour le distribuer et l’utiliser sur tous vos appareils.

 

Votre gestionnaire de mot de passe

Au sens large : le trousseau iCloud d’Apple, ou celui de Firefox/Edge/Chrome a peut être déjà appris plus d’identifiants que vous ne le souhaitez sans vraiment vous en rendre compte.

Ou avec votre accord explicite dans la famille des gestionnaires de mot de passe spécialisés  à la keepass/1password/dashlane/lastpass… et dans ce cas pas forcément gratuitement, ce qui est déjà un mieux car vous avez explicitement passé un contrat pour cela avec une entreprise dont c’est le cœur de métier.

 

Tout le reste

Je ne vous apprends rien en disant que votre smartphone sait tout sur vous n’est-ce pas ?

Avec les apps de centralisation et stockage de cartes de fidélité type FidMe &  cie, les « cliquez ici pour mémoriser ces identifiants », et autres « rester connecté ». Plutôt léger (cookies de sessions) par rapport aux gestionnaires de mot de passe, mais avec le même objectif d’alléger votre charge cognitive.

Les petites lignes du contrat

Maintenant que vous avez la puce à l’oreille, à propos de qui peut avoir vos identifiants et mots de passe, vos références, demandez vous a qui d’autre à part vous même avez vous promis de les garder secrets et strictement confidentiel, de ne pas les transmettre à un tiers, et prendre toutes les mesures nécessaires pour ne pas les divulguer ?

Indices: tous vos fournisseurs de services, financiers, sites et institutions diverses qui ont blindé leur contrat et CGs…

Avant un clic sur « j’accepte les conditions », ou en retrouvant les CGs que vous avez déjà signé: Bonne lecture…!

 

Corollaire

Bon, bien sur, en cas de vol massif d’identifiants chez un fournisseur spécialisé dans les coffres forts numériques, difficile de vous en vouloir puisque c’est une défaillance de votre prestataire. Et plutôt que d’essayer de gérer votre stock de mots de passe seul ou avec de fausses bonnes solutions (le fichier excel) : en passant un contrat de service (abonnement payant) avec un des leaders du marché, vous avez déjà davantage de recours possibles pour prouver que vous avez pris les mesures nécessaires afin de protéger vos comptes. Donc il peut-être intéressant de ne pas comparer que le coût d’abonnement avant de souscrire, en vérifiant par exemple la réputation, l’historique des incidents avec la communication associée et les améliorations qui ont suivi, ou encore ce que propose votre fournisseur de coffre en cas d’incident.

 

Internet, ce grand illusioniste

Si internet était une fête foraine, sa meilleure attraction serait le palais des glaces

 

Toujours prête à vous renvoyer une image multiple, déformée dans tous les sens du terme.

On peut y entrer seul puis se croire légion, réunis autour d’une cause universelle, pourtant particulière.

Větruše, zrcadlové bludiště.jpg

Photo par ŠJů, Wikimedia Commons, CC BY-SA 3.0

Failles de sécurité chez un gestionnaire de mot de passe : en attendant le prochain, que faire ?

wp-1472981987629.jpg

Voilà qui incite à la formation en sécurité et la prudence pour tous Utilisateurs et Informaticiens

Car même les entreprises qui n’existent que pour la sécurité ne sont, et seront jamais à 100% … Ces spécialistes commencent à éduquer en communicant sur le fait que les pratiques à risque sont un facteur aggravant, qui est de plus en plus exploité (sans s’étendre sur le sujet, sur le blog Zataz.com ou le blog.lastpass.com vous trouverez les détails d’incidents et la réponse/remédiation des éditeurs).

Quand on considère qu’une pratique à risque, ça peut aller d’utiliser un laptop professionnel pour surfer (perso?) depuis le wifi ouvert de l’hôtel, en se débrouillant pour contourner le filtrage d’URL et autres VPNs d’entreprise, comme de consulter tout à fait normalement un site d’information ou métier depuis le bureau, et ne même pas soupçonner que les bandeaux de pub, ou ces sites propres sur eux peuvent-être détournés pour distribuer des malwares… (des logiciels réellement malveillants, pas que les fameux cookies analytiques/publicitaires, qui souvent serviront de porte d’entrée à des menaces plus élaborées).

 

Il reste quoi pour « garantir » la sécurité ?

L’illusion perdue de la perfection, c’est fait. En espérant que ce n’est pas à cette occasion que vous le découvrez. Car si ça arrive fréquemment aux acteurs de la cybersécurité eux-mêmes, statistique malheureusement normale au vu de leur nombre de l’étendue de ce marché, « ça vous est arrivé » peut se conjuguer à tous les temps.

we-need-youDonc pour tout le reste il y a : D’abord vous, moi, tout le monde en fait. Puis le bon sens, et ensuite seulement la technique, les solutions et autres logiciels.

 

Savoir interpréter les signes

Repris par le triumvirat de la presse

Bon c’est un concept assez personnel, voilà un exemple pour illustrer:

C’est le signe que même si le sujet est cryptique, au vu de son impact et du fond, il mérite d’être médiatisé y compris (et surtout) aux yeux du grand public.

Car il illustre à la fois la complexité de la sécurité informatique aujourd’hui, et le besoin impératif de la simplifier (ses impacts, ses contraintes surtout) pour la rendre vaguement supportable au quotidien sans la dévoyer ou l’affaiblir au point d’en devenir ridicule (LesEchos.fr le mot de passe le plus utilisé sur internet est 123456).

 

Que faire pour réduire ce type de risque ?

Sur-réagir : peut-être…

  Changer d’outil pour un autre gestionnaire de mots de passes : Non, car en étant simplement réaliste, chacun à son tour tombe sous le coup de vulnérabilité plus ou moins faciles à exploiter, d’un impact plus ou moins important etc.

⊗  Jouer la carte « déconnecté » : avec un programme gestionnaire et coffre fort numérique strictement local, non plus. Car vous allez bien finir par le faire voyager (vos sauvegardes sont faites automatiquement dans le cloud/NAS/drive n’est-ce pas ?). Et un exploit sur le gestionnaire ou votre système reste bien possible etc.

⊗  Abandonner le principe d’un gestionnaire de mots de passes / coffre fort numérique / gestionnaire d’identité ? Quelle idée ! Là vous ne passez même pas par la case départ et vous ne touchez pas 30€48. Cf. l’équilibre sécurité-facilité que vous venez d’annihiler, en plus des bénéfices collatéraux de ces solutions comme la traçabilité, et la conformité entre autres.

Améliorer en continu, pour limiter…

  Faire un minimum de veille, c.a.d. tout simplement rester à l’écoute de votre presse favorite, ou un petit peut mieux en ajoutant à vos flux de news une source sécurité ou informatique professionnelle.

  Partager l’information, former et informer. Là c’est probablement une de vos missions et obligations si vous lisez ceci, et c’est une de mes mesures préférées en ce moment, au vu de son efficacité large spectre et son rapport efficacité x coût x complexité avantageux. L’humain à le premier rôle dans la sécurité, donc un peu de formation, de bon sens, ça permet de partager la confiance et les enjeux plus sereinement.

  Changer d’avis:  Interrogez vous, car le choix (de logiciel, de service, de prestataire, de principe…) qui vous a paru optimal il y a quelque temps n’est peut-être plus adapté aujourd’hui face à l’évolution de la menace, de la réglementation ou de vos propres objectifs.

  Encourager et continuer l’effort: pas facile de réussir pleinement ou faire évoluer ce type de sujet en perso comme en entreprise (AAA, IAM, PAM…), est pourtant c’est à peu près tout ce qu’il y a aujourd’hui dans la boite à outil.

En attendant la suite

Les solutions qui se dessinent à l’horizon ne peuvent être que meilleures, enfin espérons.

Pour ne prendre qu’un seul exemple, l’une des entreprises qui gèrent des millions de comptes, profils, identités, droits & cie pourraient bien révolutionner cet aspect de la sécurité informatique sans même que ce soit leur cœur de métier : Usine-Digitale.fr : L’astucieuse idée (très intrusive) de Google pour remplacer les mots de passe

Théorie de l’évolution (informatique)

Si les mainframes ont disparu, ce n’est pas à cause d’un astéroïde, mais parce-que le cloud leur est tombé sur la tête.

cloud-icon-png-cloudwaves

… ceci dit, l’informatique à toujours été en évolution perpétuelle, c’est même un de ses principes fondateurs.