Our News

Bulletin de sécurité n°10 – Juillet 2020

edito

Nous avons le plaisir d’annoncer le renforcement de l’équipe Cyllene Cyber avec l’arrivée, il y a quelques semaines, d’Isabelle Quéniart qui prend les fonctions de DPO du Groupe Cyllene et Responsable du pôle GRC, en charge plus particulièrement des problématiques de RGPD pour nos clients : comme DPO externalisée ou en accompagnement/conseil.

La période de confinement qui s’est achevée et les mesures de vigilances encore en cours permettent de valider la résilience du Groupe dans la poursuite et la réalisation de ses missions, grâce à l’implication de chacun et en particulier des parents ayant des enfants scolarisés, à l’efficacité de la DSI dans la mise à disposition des moyens informatiques sécurisés dédiés au télétravail et à la flexibilité de la Direction.

Dans le domaine des certifications l’année 2020 sera très dense : après l’acquisition fin mars de la certification HDS (hébergement de données de santé), le semestre qui s’ouvre verra les renouvellements SOC 1, SOC 2 et ISO 27001 et le lancement de la certification PCI DSS (garanties dans le domaine de la gestion des flux de paiements).

Enfin, dès la fin du mois d’Aout nous allons reprendre les séances de sensibilisation de l’ensemble du personnel du Groupe aux bonnes pratiques de la sécurité logique (Charte informatique, RGPD, etc…) et physique (accès, visiteurs, etc.).

L’ensemble de l’équipe, à Nanterre ou sur chacun des sites, se tient à votre entière disposition pour échanger avec vous sur tous ces sujets ou tout autre question relative à la cyber sécurité.

 

L'actualité cyber pour tous

1. « La Cybersécurité : quels enjeux aujourd’hui en France ? »

L’informatisation à outrance, la dépendance vis-à-vis des systèmes/logiciels des GAFA, les cyber menaces à l’heure de la pandémie COVID-19 au programme de cette conférence « confinée » du 30 avril 2020 en compagnie d’Alain Bouillé (CESIN) et Thierry Berthier (Hub France IA) étaient les principaux thèmes abordés.

Le but de cette visioconférence était d’exposer les évolutions les plus marquantes de ces 10 dernières années en lien avec l’élargissement du cyber espace, ainsi que le développement de nombreuses problématiques qui s’y agrègent sur le plan géopolitique et économique.

Les intervenants de la conférence dévoilent également un grand chantier entrepris par l’État : création du Cyber Campus en Ile-de-France dont le modèle a été inspiré par le Pôle de la Cyber Défense en Bretagne. L’idée est d’avoir une zone de regroupement de startups, d’Universités, de grands entreprises et d’investisseurs tous au même endroit. Ce Cyber Campus devrait voir le jour début 2021.

Pour en savoir plus, accédez à la visioconférence ICI.

2. «Thriller» numérique : découvrez l’histoire d’un jeune hacker Britannique qui, à 22 ans, « a sauvé Internet » de sa pire cyber-attaque avant d’être arrêté par le FBI.

3. La base de données de 9 millions clients de la société aérienne EasyJet a été dérobée.

Dans un communiqué de presse du 19 mai dernier, l’entreprise EasyJet précise avoir été victime d’une cyberattaque de haut niveau. La fuite d’adresses mails et d’informations de voyages de 9 millions de clients a été confirmée. En outre, les données de cartes bancaires de 2 208 clients ont été volées. Jusqu’à présent, EasyJet n’a aucune preuve tangible que des informations personnelles ont été utilisées à mauvais escient, mais le risque d’hameçonnage devrait être pris en considération par les victimes, qui sont en train d’être contactées par la société aérienne.

Sûreté pour les experts

1. Le 4 mai 2020, l’ANSSI a publié une alerte sur des attaques ciblées sur SaltStack : outil de gestion de tâches et de configuration à distance Open Source largement utilisé dans les Datacenters et les environnements Cloud.

Les attaques révélaient deux vulnérabilités distinctes. La première, CVE-2020-11651, est une faille de contournement de l’authentification qui permet à un attaquant d’accéder au réseau sans s’authentifier. La deuxième, CVE-2020-11652, est une vulnérabilité de traversée de répertoire qui facilite l’accès non autorisé à l’ensemble du système de fichiers du serveur.

Les recommandations techniques et organisationnelles à suivre pour permettre aux acteurs ciblés de se protéger.

2. Bluetooth : attaques BIAS

Une équipe de chercheurs internationaux a découvert une importante faille de sécurité dans Bluetooth (CVE-2020-10135). La norme Bluetooth fournit des mécanismes d’authentification basés sur des clés d’appariement à long terme, servant à protéger contre les attaques d’usurpation d’identité. Seul bémol, avec BIAS ce mécanisme peut être “cassé” et un attaquant peut usurper l’identité d’un périphérique associé. Les chercheurs ont testé des puces d’Intel, Apple, Cypress, Qualcomm, Samsung et CSR et tous les appareils étaient vulnérables aux attaques BIAS.

3. Microsoft : vulnérabilité SMBGhost

 Ce patch corrige une vulnérabilité critique (CVE-2020-0796) dans le protocole SMBv3. Cette faille de sécurité impacte toutes les versions récentes de Windows : Windows 10 build 1903 & 1909 ainsi que Windows Server build 1903 & 1909. La vulnérabilité permet aux attaquants de prendre le contrôle à distance d’un ordinateur (client ou serveur) sans authentification préalable.

4. Microsoft : vulnérabilité SigRed

 Ce 14 juillet, Microsoft a publié un patch pour corriger une vulnérabilité critique vieille de 17 ans ! Cette faille, permettant de prendre le contrôle à distance d’un serveur DNS, a été découverte par des chercheurs de CheckPoint et porte l’identifiant de CVE 2020-1350. Puisque tous les serveurs AD font office de serveur DNS, on peut dire que toutes les organisations sont impactées par cette faille. Microsoft recommande de changer la taille maximale des requêtes DNS via le registre (65280 au lieu de 65535 octets) avant d’appliquer le patch.

Le focus du mois : comprendre et appliquer le rgpd

L’invalidation du Privacy Shield : quelles conséquences ?

Il s’agit d’une décision importante qui va changer la donne pour beaucoup d’entreprises, qui voudront sortir de l’hébergement des données personnelles aux Etats-Unis. En France, plus de 5300 entreprises, dont 70 % de PME, soucieuses pour la reprise économique suite au Covid-19, seront obligées de faire des choix importants sur la suite à donner concernant ces hébergements.

À garder bien en tête également, les autorités de contrôle nationales (CNIL en France) auront plus de pouvoir à partir de maintenant quant à la suspension ou interdiction définitive du transfert de données personnelles si les conditions juridiques ne sont pas réunies.

Du nouveau du côté des cookies ?

Le conseil d’Etat a validé le 19 juin 2020 les recommandations de la CNIL en matière de « recueil du consentement aux cookies » à une exception près et de taille : les cookies Walls. Il s’agit de cookies qui bloquent l’accès au site si vous ne les acceptez pas. Dans sa recommandation, la CNIL rendait illégal le « tout ou rien », c’est-à-dire les sites qui empêchaient la navigation sur leur site si les cookies étaient refusés. Le conseil d’Etat vient d’invalider cette recommandation. La pratique qui consiste à conditionner la navigation sur un site à l’acceptation des cookies serait donc de nouveau autorisée. Cette décision aura un impact important pour les éditeurs de site web. À suivre donc pour les recommandations de la CNIL qui seront ajustées et précisées certainement au début de l’automne 2020.

Shopping Basket
en_GBEnglish (UK)
fr_FRFrançais en_GBEnglish (UK)