<\/p>\n\n\n\n
L\u2019\u00e9t\u00e9 est l\u00e0 et si la p\u00e9riode des cong\u00e9s a commenc\u00e9, notre vigilance ne doit en \u00eatre qu\u2019accrue. C\u2019est en effet lors des cong\u00e9s de Juillet et d\u2019Aout que l\u2019on constate le plus de fraude \u00ab au Pr\u00e9sident \u00bb, les malveillants profitants les absences au sein des services financiers et achats et de la Direction.<\/p>\n\n\n\n
Au cours des derniers mois le p\u00e9rim\u00e8tre CYLLENE a poursuivi son \u00e9volution: installation du site de Procession, rachat de la soci\u00e9t\u00e9 AW Innovate (strasbourg), et nouvel actionnariat 100% fran\u00e7ais, toujours dans la m\u00eame logique de souverainet\u00e9. La d\u00e9signation de Jean Baptiste Courtin comme RSSI adjoint s\u2019inscrit dans le d\u00e9veloppement de la Fonction S\u00e9curit\u00e9, dont nous reparlerons bient\u00f4t.<\/p>\n\n\n\n
L\u2019offre Cyber est maintenant mature et nous sommes en capacit\u00e9 d\u2019accompagner les demandes de nos clients, en particulier pour les prestations SOC.<\/p>\n\n\n\n
En cette p\u00e9riode de rentr\u00e9e, un rappel sur l\u2019adresse de contact de la cellule Cyllene Cyber \u00e0 privil\u00e9gier pour les demandes d\u2019infos (expertises de la cellule, offres commerciales, etc…) et les probl\u00e8mes internes de s\u00e9curit\u00e9, remont\u00e9es d\u2019incidents : Cyber@groupe-cyllene.com<\/a>. Pour m\u00e9moire, l\u2019adresse SOC@groupe-cyllene.com n\u2019est destin\u00e9e qu\u2019\u00e0 la r\u00e9ception de mails provenant d\u2019exp\u00e9diteurs (clients, services de l\u2019\u00c9tat\u2026) Explicitement autoris\u00e9s \u00e0 l\u2019utiliser.<\/p>\n\n\n\n Les s\u00e9ances de sensibilisation obligatoires pour tous les nouveaux arrivants au sein du Groupe ont repris. Elles sont organis\u00e9es par le d\u00e9partement RH qui organise les dates et les groupes en liaison avec les managers et l\u2019activit\u00e9. Elles peuvent se d\u00e9rouler \u00e0 Nanterre ou Procession. Elles vont \u00eatre compl\u00e9t\u00e9es par des s\u00e9ances plus \u00ab techniques \u00bb destin\u00e9es en particulier aux d\u00e9veloppeurs.<\/p>\n\n\n\n L\u2019actualit\u00e9 Cyber pour tous<\/strong><\/p>\n\n\n\n Votre smartphone est votre compagnon quotidien. Il y a de fortes chances que la plupart de vos activit\u00e9s en d\u00e9pendent, de la commande de nourriture \u00e0 la prise de rendez-vous m\u00e9dicaux. Cependant, le paysage des menaces nous rappelle toujours \u00e0 quel point les smartphones peuvent \u00eatre vuln\u00e9rables. Les principales menaces pour la s\u00e9curit\u00e9 mobile sont la fuite de donn\u00e9es, un logiciel espion pr\u00e9tendant \u00eatre une mise \u00e0 jour, les logiciels malveillants via SMS. Mais alors comment d\u00e9fendre son appareil mobile, utilisez des syst\u00e8mes d\u2019exploitation mis \u00e0 jour, ayez toujours un pare-feu s\u00e9curisant votre appareil, soyez prudent sur les magasins d\u2019applications, utilisez un VPN et ne jailbreakez \/ rooter pas votre appareil. Pour en savoir plus, nous vous invitons \u00e0 lire l\u2019article de Thehackernews<\/a>.<\/p>\n\n\n\n \u00c0 l\u2019occasion du Forum International de la Cybers\u00e9curit\u00e9 (FIC) 2022 qui s\u2019est d\u00e9roul\u00e9 \u00e0 Lille, le gouvernement a annonc\u00e9 le lancement de son module \u00abAssistance cyber en ligne\u00bb, propuls\u00e9 par le dispositif cybermalveillance.gouv.fr. Ce module s\u2019adresse aussi bien aux particuliers, qu\u2019aux entreprises ou aux administrations publiques. Il peut \u00eatre int\u00e9gr\u00e9 sur n\u2019importe quel site Internet, sous la forme d\u2019un widget qui va venir se positionner sur l\u2019\u00e9cran. En cliquant dessus, l\u2019utilisateur peut acc\u00e9der \u00e0 ce fameux outil de diagnostic en ligne, sans m\u00eame quitter le site sur lequel il se trouve, m\u00eame si au final on est renvoy\u00e9 vers une page d\u2019aide du site cybermalveillance.gouv.fr. Une s\u00e9rie de questions est pos\u00e9e pour effectuer le diagnostic : statut (particulier, entreprise…), o\u00f9 se situe le probl\u00e8me (ordinateur, smartphone, site Internet, e-mail, banque…), ce que constate l\u2019utilisateur (fonctionnement anormal, message d\u2019alerte, piratage constat\u00e9…), etc… La souscription est gratuite et le gouvernement mentionne que l\u2019int\u00e9gration du module \u00abAssistance cyber en ligne\u00bb est simple, tout en \u00e9tant configurable. Au sein d\u2019un espace priv\u00e9, le site qui int\u00e8gre le module b\u00e9n\u00e9ficie de statistiques des menaces rencontr\u00e9es par les victimes. L\u2019article est consultable sur le site d\u2019IT-Connect<\/a>.<\/p>\n\n\n\n Le 13 mai 2022 un accord provisoire a \u00e9t\u00e9 annonc\u00e9 entre le Conseil europ\u00e9en et le Parlement europ\u00e9en portant sur les mesures contenues dans la directive NIS 2 visant \u00e0 mettre \u00e0 jour et renforcer les exigences juridiques europ\u00e9ennes en termes de cybers\u00e9curit\u00e9. Les principales mesures vis\u00e9es par la directive NIS 2 sont la pr\u00e9cision et l\u2019extension du champ d\u2019application de la directive, l\u2019extension des obligations de cybers\u00e9curit\u00e9 (principalement sur la gestion des risques, les obligtions de reporting, la divulgation de vuln\u00e9rabilit\u00e9s, les contr\u00f4les, les sanctions). L\u2019effort d\u2019actualisation, de renforcement et d\u2019harmonisation des exigences europ\u00e9ennes de cybers\u00e9curit\u00e9 ne peut \u00eatre que salu\u00e9 au vu de la place centrale qu\u2019occupent d\u00e9sormais les risques cyber d\u2019un point de vue g\u00e9ostrat\u00e9gique, \u00e9conomique ou social. La prise en compte des entit\u00e9s tierces, le d\u00e9placement vers une approche proactive, et la prise en compte des \u00e9volutions des pratiques comme celle de vulnerability disclosure font de ce texte une avanc\u00e9e certaine pour encourager le d\u00e9veloppement d\u2019une Europe digitale forte et soud\u00e9e. L\u2019article est consultable sur le site de journaldunet<\/a>.<\/p>\n\n\n\n S\u00e9curit\u00e9 Technique<\/strong><\/p>\n\n\n\n Mauvaise semaine pour Microsoft avec la d\u00e9couverte par des chercheurs d\u2019une vuln\u00e9rabilit\u00e9 critique, nomm\u00e9e Follina et devenue la CVE-2022-30190. Elle s\u2019appuie sur des documents Word malveillant capable d\u2019ex\u00e9cuter des commandes PowerShell via l\u2019outil de diagnostic Microsoft (MSDT). Hier, c\u2019est autour de l\u2019outil de Windows Search d\u2019\u00eatre utilis\u00e9 pour ouvrir automatiquement une fen\u00eatre de recherche. L\u00e0 encore le mode op\u00e9ratoire est similaire avec le simple lancement un document Word. Le probl\u00e8me de s\u00e9curit\u00e9 peut \u00eatre exploit\u00e9 car Windows supporte un gestionnaire de protocole URI appel\u00e9 \u00ab search-ms \u00bb. Il donne la capacit\u00e9 aux applications et aux liens HTML et lancer des recherches personnalis\u00e9es sur un terminal. En l\u2019absence de patch, Microsoft propose une solution d\u2019att\u00e9nuation. Ainsi, les administrateurs et les utilisateurs peuvent bloquer les attaques exploitant CVE-2022-30190 en d\u00e9sactivant le protocole URL MSDT. Par ailleurs, l\u2019antivirus Microsoft Defender 1.367.719.0 ou une version plus r\u00e9cente contient d\u00e9sormais des d\u00e9tections de l\u2019exploitation possible de vuln\u00e9rabilit\u00e9s sous diff\u00e9rentes signatures. L\u2019article est consultable sur le site Lemondeinformatique<\/a>.<\/p>\n\n\n\n Des d\u00e9tails techniques sont apparus sur une vuln\u00e9rabilit\u00e9 de haute gravit\u00e9 affectant certaines versions de la solution de messagerie Zimbra que les pirates pourraient exploiter pour voler des identifiants sans authentification ni interaction de l\u2019utilisateur. Le probl\u00e8me de s\u00e9curit\u00e9 est actuellement suivi en tant que CVE-2022-27924 et affecte les versions 8.8.x et 9.x de Zimbra pour les versions open-source et commerciales de la plate-forme. La faille a \u00e9t\u00e9 d\u00e9crite dans un rapport de chercheurs de SonarSource, qui l\u2019ont r\u00e9sum\u00e9e comme \u00abl\u2019empoisonnement Memcached avec une requ\u00eate non authentifi\u00e9e\u00bb. L\u2019exploitation est possible via une injection CRLF dans le nom d\u2019utilisateur des recherches Memcached qui est une instance de service interne qui stocke des paires cl\u00e9\/valeur pour les comptes de messagerie afin d\u2019am\u00e9liorer les performances de Zimbra en r\u00e9duisant le nombre de requ\u00eates HTTP au service de recherche. Memcache d\u00e9finit et r\u00e9cup\u00e8re ces paires \u00e0 l\u2019aide d\u2019un protocole textuel simple. Les chercheurs expliquent qu\u2019un acteur malveillant pourrait \u00e9craser les entr\u00e9es de route IMAP pour un nom d\u2019utilisateur connu via une requ\u00eate HTTP sp\u00e9cialement con\u00e7ue \u00e0 l\u2019instance vuln\u00e9rable de Zimbra. Ensuite, lorsque l\u2019utilisateur r\u00e9el se connecte, le proxy Nginx dans Zimbra transmet tout le trafic IMAP \u00e0 l\u2019attaquant, y compris les informations d\u2019identification en texte brut. Le 10 mai, le fournisseur de logiciels a r\u00e9solu les probl\u00e8mes via ZCS 9.0.0 Patch 24.1 et ZCS 8.8.15 Patch 31.1 en cr\u00e9ant un hachage SHA-256 de toutes les cl\u00e9s Memcache avant de les envoyer au serveur. Pour en savoir plus sur les d\u00e9tails techniques de la vuln\u00e9rabilit\u00e9, n\u2019h\u00e9sitez pas \u00e0 consulter cet article depuis le site web de Bleepingcomputer<\/a>.<\/p>\n\n\n\n Au sein de son Patch Tuesday de juin 2022, Microsoft a introduit un correctif pour la vuln\u00e9rabilit\u00e9 zero-day baptis\u00e9e \u00abFollina\u00bb qui touche le composant MSDT de Windows. La faille de s\u00e9curit\u00e9 Follina est exploit\u00e9e au travers de documents Word malveillants qui s\u2019appuient sur un appel \u00abms-msdt:\/\/\u00bb pour ex\u00e9cuter du code malveillant (commandes PowerShell, par exemple) sur les machines, sans m\u00eame avoir besoin d\u2019utiliser une macro. Le fameux composant MSDT pour Microsoft Support Diagnostics Tool, est un utilitaire de Microsoft qui est utilis\u00e9 pour collecter des donn\u00e9es qui seront ensuite analys\u00e9es par le support afin de diagnostiquer et r\u00e9soudre un incident. Ici, son usage est d\u00e9tourn\u00e9. Cette vuln\u00e9rabilit\u00e9 touche toutes les versions de Windows, \u00e0 partir de Windows 7 et Windows Server 2008. Dans son bulletin de s\u00e9curit\u00e9 associ\u00e9 \u00e0 la CVE-2022-30190 (Follina), la firme de Redmond pr\u00e9cise : \u00abMicrosoft recommande vivement aux clients d\u2019installer les mises \u00e0 jour afin d\u2019\u00eatre enti\u00e8rement prot\u00e9g\u00e9s contre cette vuln\u00e9rabilit\u00e9. Les clients dont les syst\u00e8mes sont configur\u00e9s pour recevoir des mises \u00e0 jour automatiques n\u2019ont pas besoin de prendre d\u2019autres mesures.\u00bb. Par ailleurs, Microsoft invite ses clients \u00e0 installer la mise \u00e0 jour d\u00e8s que possible. C\u2019est compr\u00e9hensible puisque cette vuln\u00e9rabilit\u00e9 est exploit\u00e9e activement dans le cadre d\u2019attaques informatiques, notamment par les groupes de cybercriminels TA413 et TA570. L\u2019article est consultable sur le site d\u2019IT-Connect<\/a>.<\/p>\n\n\n\n Comprendre et Appliquer la protection des donn\u00e9es<\/strong><\/p>\n\n\n\n Dalibo vient de mettre la touche finale \u00e0 PostgreSQL Anonymizer, une solution qui permet d\u2019anonymiser les donn\u00e9es \u00e0 la source. Cet outil cl\u00e9 pour la mise en \u0153uvre d\u2019une strat\u00e9gie de privacy by design a su int\u00e9resser la DGFiP et bioM\u00e9rieux. La plupart des outils d\u2019anonymisation utilisent le principe de l\u2019ETL (Extract, Transform, Load), qui consiste \u00e0 se connecter \u00e0 la base de donn\u00e9es, \u00e0 en extraire les informations voulues puis \u00e0 les anonymiser. Le traitement visant \u00e0 se conformer au RGPD est donc fait lors de la phase d\u2019exploitation de la donn\u00e9e et non dans la base de donn\u00e9es elle-m\u00eame. \u00ab Avec cette m\u00e9thode, on sort la donn\u00e9e de PostgreSQL. Pour des raisons de s\u00e9curit\u00e9, nous pr\u00e9f\u00e9rerions que ce soit PostgreSQL qui anonymise lui-m\u00eame les donn\u00e9es et non un outil externe. \u00bb Avec PostgreSQL Anonymizer, les architectes de base de donn\u00e9es peuvent d\u00e8s la conception pr\u00e9ciser les r\u00e8gles de masquage \u00e0 appliquer \u00e0 telle ou telle colonne de la base de donn\u00e9es, recollant ainsi au principe de privacy by design pr\u00f4n\u00e9 par le RGPD. L\u2019architecte de la base de donn\u00e9es est en mesure de rep\u00e9rer les identifiants indirects et de pr\u00e9ciser comment les prot\u00e9ger. Et lorsqu\u2019une nouvelle technique permet d\u2019identifier une personne, elle est remont\u00e9e \u00e0 l\u2019administrateur de la base de donn\u00e9es, afin qu\u2019il cr\u00e9e une r\u00e8gle adapt\u00e9e. R\u00e8gle qui sera alors globale et int\u00e9gr\u00e9e directement dans le mod\u00e8le de donn\u00e9es, et non uniquement appliqu\u00e9e lors du traitement incrimin\u00e9. PostgreSQL Anonymizer 1.0 est accessible gratuitement, sous licence open source, depuis le site du Dalibo Labs. N\u2019h\u00e9sitez pas \u00e0 consulter l\u2019article de ZDNet<\/a>.<\/p>","protected":false},"excerpt":{"rendered":" L\u2019\u00e9t\u00e9 est l\u00e0 et si la p\u00e9riode des cong\u00e9s a commenc\u00e9, notre vigilance ne doit en \u00eatre qu\u2019accrue. C\u2019est en effet lors des cong\u00e9s de Juillet et d\u2019Aout que l\u2019on constate le plus de fraude \u00ab au Pr\u00e9sident \u00bb, les malveillants profitants les absences au sein des services financiers et achats et de la Direction. […]<\/p>","protected":false},"author":11,"featured_media":4869,"comment_status":"open","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"inline_featured_image":false,"footnotes":""},"categories":[33,90],"tags":[86],"class_list":["post-4871","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-tout","category-bulltetin-de-securite","tag-cybersecurite"],"acf":[],"yoast_head":"\n\n
\n
\n
\n
\n
\n
\n