L’été est là et si la période des congés a commencé, notre vigilance ne doit en être qu’accrue. C’est en effet lors des congés de Juillet et d’Aout que l’on constate le plus de fraude « au Président », les malveillants profitants les absences au sein des services financiers et achats et de la Direction.
Au cours des derniers mois le périmètre CYLLENE a poursuivi son évolution: installation du site de Procession, rachat de la société AW Innovate (strasbourg), et nouvel actionnariat 100% français, toujours dans la même logique de souveraineté. La désignation de Jean Baptiste Courtin comme RSSI adjoint s’inscrit dans le développement de la Fonction Sécurité, dont nous reparlerons bientôt.
L’offre Cyber est maintenant mature et nous sommes en capacité d’accompagner les demandes de nos clients, en particulier pour les prestations SOC.
En cette période de rentrée, un rappel sur l’adresse de contact de la cellule Cyllene Cyber à privilégier pour les demandes d’infos (expertises de la cellule, offres commerciales, etc…) et les problèmes internes de sécurité, remontées d’incidents : Cyber@groupe-cyllene.com. Pour mémoire, l’adresse SOC@groupe-cyllene.com n’est destinée qu’à la réception de mails provenant d’expéditeurs (clients, services de l’État…) Explicitement autorisés à l’utiliser.
Les séances de sensibilisation obligatoires pour tous les nouveaux arrivants au sein du Groupe ont repris. Elles sont organisées par le département RH qui organise les dates et les groupes en liaison avec les managers et l’activité. Elles peuvent se dérouler à Nanterre ou Procession. Elles vont être complétées par des séances plus « techniques » destinées en particulier aux développeurs.
L’actualité Cyber pour tous
- L’aperçu des principales menaces de sécurité mobile en 2022
Votre smartphone est votre compagnon quotidien. Il y a de fortes chances que la plupart de vos activités en dépendent, de la commande de nourriture à la prise de rendez-vous médicaux. Cependant, le paysage des menaces nous rappelle toujours à quel point les smartphones peuvent être vulnérables. Les principales menaces pour la sécurité mobile sont la fuite de données, un logiciel espion prétendant être une mise à jour, les logiciels malveillants via SMS. Mais alors comment défendre son appareil mobile, utilisez des systèmes d’exploitation mis à jour, ayez toujours un pare-feu sécurisant votre appareil, soyez prudent sur les magasins d’applications, utilisez un VPN et ne jailbreakez / rooter pas votre appareil. Pour en savoir plus, nous vous invitons à lire l’article de Thehackernews.
- Cybersécurité : le gouvernement lance son module «Assistance cyber en ligne»
À l’occasion du Forum International de la Cybersécurité (FIC) 2022 qui s’est déroulé à Lille, le gouvernement a annoncé le lancement de son module «Assistance cyber en ligne», propulsé par le dispositif cybermalveillance.gouv.fr. Ce module s’adresse aussi bien aux particuliers, qu’aux entreprises ou aux administrations publiques. Il peut être intégré sur n’importe quel site Internet, sous la forme d’un widget qui va venir se positionner sur l’écran. En cliquant dessus, l’utilisateur peut accéder à ce fameux outil de diagnostic en ligne, sans même quitter le site sur lequel il se trouve, même si au final on est renvoyé vers une page d’aide du site cybermalveillance.gouv.fr. Une série de questions est posée pour effectuer le diagnostic : statut (particulier, entreprise…), où se situe le problème (ordinateur, smartphone, site Internet, e-mail, banque…), ce que constate l’utilisateur (fonctionnement anormal, message d’alerte, piratage constaté…), etc… La souscription est gratuite et le gouvernement mentionne que l’intégration du module «Assistance cyber en ligne» est simple, tout en étant configurable. Au sein d’un espace privé, le site qui intègre le module bénéficie de statistiques des menaces rencontrées par les victimes. L’article est consultable sur le site d’IT-Connect.
- Vers le renforcement du cadre réglementaire européens cyber (NIS 2)
Le 13 mai 2022 un accord provisoire a été annoncé entre le Conseil européen et le Parlement européen portant sur les mesures contenues dans la directive NIS 2 visant à mettre à jour et renforcer les exigences juridiques européennes en termes de cybersécurité. Les principales mesures visées par la directive NIS 2 sont la précision et l’extension du champ d’application de la directive, l’extension des obligations de cybersécurité (principalement sur la gestion des risques, les obligtions de reporting, la divulgation de vulnérabilités, les contrôles, les sanctions). L’effort d’actualisation, de renforcement et d’harmonisation des exigences européennes de cybersécurité ne peut être que salué au vu de la place centrale qu’occupent désormais les risques cyber d’un point de vue géostratégique, économique ou social. La prise en compte des entités tierces, le déplacement vers une approche proactive, et la prise en compte des évolutions des pratiques comme celle de vulnerability disclosure font de ce texte une avancée certaine pour encourager le développement d’une Europe digitale forte et soudée. L’article est consultable sur le site de journaldunet.
Sécurité Technique
- SearchNightmare : une nouvelle faille zero-day qui affecte Windows
Mauvaise semaine pour Microsoft avec la découverte par des chercheurs d’une vulnérabilité critique, nommée Follina et devenue la CVE-2022-30190. Elle s’appuie sur des documents Word malveillant capable d’exécuter des commandes PowerShell via l’outil de diagnostic Microsoft (MSDT). Hier, c’est autour de l’outil de Windows Search d’être utilisé pour ouvrir automatiquement une fenêtre de recherche. Là encore le mode opératoire est similaire avec le simple lancement un document Word. Le problème de sécurité peut être exploité car Windows supporte un gestionnaire de protocole URI appelé « search-ms ». Il donne la capacité aux applications et aux liens HTML et lancer des recherches personnalisées sur un terminal. En l’absence de patch, Microsoft propose une solution d’atténuation. Ainsi, les administrateurs et les utilisateurs peuvent bloquer les attaques exploitant CVE-2022-30190 en désactivant le protocole URL MSDT. Par ailleurs, l’antivirus Microsoft Defender 1.367.719.0 ou une version plus récente contient désormais des détections de l’exploitation possible de vulnérabilités sous différentes signatures. L’article est consultable sur le site Lemondeinformatique.
- La bague Zimbra permet de voler des identifiants de messagerie sans interaction de l’utilisateur
Des détails techniques sont apparus sur une vulnérabilité de haute gravité affectant certaines versions de la solution de messagerie Zimbra que les pirates pourraient exploiter pour voler des identifiants sans authentification ni interaction de l’utilisateur. Le problème de sécurité est actuellement suivi en tant que CVE-2022-27924 et affecte les versions 8.8.x et 9.x de Zimbra pour les versions open-source et commerciales de la plate-forme. La faille a été décrite dans un rapport de chercheurs de SonarSource, qui l’ont résumée comme «l’empoisonnement Memcached avec une requête non authentifiée». L’exploitation est possible via une injection CRLF dans le nom d’utilisateur des recherches Memcached qui est une instance de service interne qui stocke des paires clé/valeur pour les comptes de messagerie afin d’améliorer les performances de Zimbra en réduisant le nombre de requêtes HTTP au service de recherche. Memcache définit et récupère ces paires à l’aide d’un protocole textuel simple. Les chercheurs expliquent qu’un acteur malveillant pourrait écraser les entrées de route IMAP pour un nom d’utilisateur connu via une requête HTTP spécialement conçue à l’instance vulnérable de Zimbra. Ensuite, lorsque l’utilisateur réel se connecte, le proxy Nginx dans Zimbra transmet tout le trafic IMAP à l’attaquant, y compris les informations d’identification en texte brut. Le 10 mai, le fournisseur de logiciels a résolu les problèmes via ZCS 9.0.0 Patch 24.1 et ZCS 8.8.15 Patch 31.1 en créant un hachage SHA-256 de toutes les clés Memcache avant de les envoyer au serveur. Pour en savoir plus sur les détails techniques de la vulnérabilité, n’hésitez pas à consulter cet article depuis le site web de Bleepingcomputer.
- Microsoft a corrigé la faille zero-day Follina qui touche le composant MSDT
Au sein de son Patch Tuesday de juin 2022, Microsoft a introduit un correctif pour la vulnérabilité zero-day baptisée «Follina» qui touche le composant MSDT de Windows. La faille de sécurité Follina est exploitée au travers de documents Word malveillants qui s’appuient sur un appel «ms-msdt://» pour exécuter du code malveillant (commandes PowerShell, par exemple) sur les machines, sans même avoir besoin d’utiliser une macro. Le fameux composant MSDT pour Microsoft Support Diagnostics Tool, est un utilitaire de Microsoft qui est utilisé pour collecter des données qui seront ensuite analysées par le support afin de diagnostiquer et résoudre un incident. Ici, son usage est détourné. Cette vulnérabilité touche toutes les versions de Windows, à partir de Windows 7 et Windows Server 2008. Dans son bulletin de sécurité associé à la CVE-2022-30190 (Follina), la firme de Redmond précise : «Microsoft recommande vivement aux clients d’installer les mises à jour afin d’être entièrement protégés contre cette vulnérabilité. Les clients dont les systèmes sont configurés pour recevoir des mises à jour automatiques n’ont pas besoin de prendre d’autres mesures.». Par ailleurs, Microsoft invite ses clients à installer la mise à jour dès que possible. C’est compréhensible puisque cette vulnérabilité est exploitée activement dans le cadre d’attaques informatiques, notamment par les groupes de cybercriminels TA413 et TA570. L’article est consultable sur le site d’IT-Connect.
Comprendre et Appliquer la protection des données
- Comment PostgreSQL Anonymizer aide les entreprises à se conformer au RGPD
Dalibo vient de mettre la touche finale à PostgreSQL Anonymizer, une solution qui permet d’anonymiser les données à la source. Cet outil clé pour la mise en œuvre d’une stratégie de privacy by design a su intéresser la DGFiP et bioMérieux. La plupart des outils d’anonymisation utilisent le principe de l’ETL (Extract, Transform, Load), qui consiste à se connecter à la base de données, à en extraire les informations voulues puis à les anonymiser. Le traitement visant à se conformer au RGPD est donc fait lors de la phase d’exploitation de la donnée et non dans la base de données elle-même. « Avec cette méthode, on sort la donnée de PostgreSQL. Pour des raisons de sécurité, nous préférerions que ce soit PostgreSQL qui anonymise lui-même les données et non un outil externe. » Avec PostgreSQL Anonymizer, les architectes de base de données peuvent dès la conception préciser les règles de masquage à appliquer à telle ou telle colonne de la base de données, recollant ainsi au principe de privacy by design prôné par le RGPD. L’architecte de la base de données est en mesure de repérer les identifiants indirects et de préciser comment les protéger. Et lorsqu’une nouvelle technique permet d’identifier une personne, elle est remontée à l’administrateur de la base de données, afin qu’il crée une règle adaptée. Règle qui sera alors globale et intégrée directement dans le modèle de données, et non uniquement appliquée lors du traitement incriminé. PostgreSQL Anonymizer 1.0 est accessible gratuitement, sous licence open source, depuis le site du Dalibo Labs. N’hésitez pas à consulter l’article de ZDNet.