Lybero.net commence à voir des tentatives de fishing à destination des utilisateurs de CryptnDrive. Nous en sommes si ce n’est heureux, du moins fier : cela signifie que notre service a du succès.

Typiquement, vous pouvez recevoir un message de ce type :

Dear arnaud.laprevote,
You have pending incoming emails that you are yet to receive.
Access to ([your.name@your.company]your.name@your.company) will be restricted until you confirm ownership.
Confirm account now
Note: Access to [arnaud.laprevote@lybero.net]arnaud.laprevote@lybero.net will be restricted within 48 (forty eight) working hours.
Regards
lybero.net support Team

Avec un lien sur « Confirm account now ». Ce message est professionnel, bien fait et trompeur. Lybero.net pourrait envoyer un message de ce type là.

La version courte

Vous avez un moyen simple de savoir que ce message est du fishing : mettez votre souris sur le lien sans cliquer, et regarder le lien, le lien ne peut-être que vers un site « Lybero.net » (typiquement drive.lybero.net, www.lybero.net, votredrive.lybero.net), ce ne sera jamais un site du genre : https://microsoft1245.s3.us-east.cloud-object-storage.appdomain.cloud/ ou https://lyb-app.google.cloud ou ….

Un peu de détail

Tous les lecteurs de mails qu’ils soient en ligne ou en application de bureau permettent de visualiser des messages rédigés en html. Tous les lecteurs permettent de savoir l’adresse vers laquelle un lien vous dirige. Prenons 2 exemples : Thunderbird et Outlook web.

Thunderbird

Quand vous mettez votre curseur sur un lien, dans la barre d’état de thunderbird en bas à gauche vous voyez l’url de la cible du lien.

Outlook web

Là encore, le simple fait de placer le curseur sur le lien conduit à l’affichage de la cible du lien en bas à gauche de la fenêtre.

A quoi être attentif

Ce qui est important est le début du lien, ce que l’on appelle le FQDN « fully qualified domain name », donc le nom de domaine, ici r.news.metztoday.fr ou microsoft1245.s3.us-east.cloud-object-storage.appdomain.cloud .

Tout mail provenant de Lybero.net aura un lien pointant vers quelque.chose.lybero.net .

Malheureusement, je me suis fait avoir, que dois-je faire maintenant ?

« Errare humanum est, sed persevare diabolicum est ». L’erreur est humaine, mais persévérer dans l’erreur est diabolique.

• Informez-nous immédiatement. Envoyez un mail à support@lybero.net. Nous pouvons bloquer un compte et le rétablir ensuite quand les choses se sont éclaircies.
• Si vous avez pris l’habitude d’utiliser des mots de passe différents entre différents sites, alors vous pouvez passer à la suite. Sinon, malheureusement, il vous faut changer immédiatement tous les mots de passe sur les sites utilisant ce mot de passe ou des dérivés de ce mot de passe. En effet, les attaquants ont des bases de mot de passe et ne se privent pas d’essayer les mots de passe sur les sites les plus communs ainsi que les variations les plus communes.
• Dans les cas les plus graves, un dépôt de plainte peut être fait ou une main courante. Aujourd’hui, vous pouvez faire une pré-plainte en ligne, vous aurez ensuite un rendez-vous pour confirmer votre plainte

Comme toujours vous trouverez d’excellents conseils et de précieuses explications sur les sites de référence que sont ceux de la CNIL (par exemple cette page sur le sujet) et de Cybermalveillance.gouv.fr (par exemple ici).

Arnaud

PDG de Lybero.net

L’article Utilisateurs de CryptNDrive et fishing est apparu en premier sur Lybero.

Un datalake centralise l’ensemble des données de l’organisation ; il lui permet de stocker, traiter et analyser ses données dans une optique d’amélioration de son business. Au vu de la quantité de données que nous générons, nous vous laissons imaginer d’une part la taille de ces datalakes ou lac de données et d’autre part la difficulté pour sécuriser ces données. En cas de faille, c’est potentiellement toutes les informations de l’organisation qui fuitent ! Le dilemme de ces organisation est donc  comment  assurer la sécurité des données de ces datalakes tout en pouvant procéder aux traitements nécessaires à l’amélioration de leur activité .

De la difficulté de sécuriser les données d’un datalake

La première solution qui viendrait à l’esprit pour sécuriser les données d’un datalake serait l’anonymisation des données.  Il serait possible d’anonymiser les données avant qu’elles ne soient déposer dans le datalake.

Cela pose deux problèmes.  Le premier  concerne le fait qu’une donnée anonymisée ne peut plus être récupérée et cela d’une manière irréversible ; cela peut donc poser certains problèmes car elle ne pourra plus faire l’objet ultérieurement de certains types de traitement.

Le deuxième problème concerne la certitude de l’anonymisation des données, elle peut donc s’avérer très complexe. Prenons un exemple qui parlera aux techniciens et au moins techniciens d’entre nous.

Bob se poste à l’entrée d’une agence bancaire pendant quelques jours, il relève les gens qui vont à l’agence, il les identifie individuellement, ensuite, sans autre information que les relevés bancaires (dépôt de chèques à telle date, ou dépôt d’argent ou retrait guichet), il y a des chances qu’il arrive à identifier les comptes des personnes ou des organisations simplement avec les relevés et sans aucune information d’authentification individuelle. Ainsi avoir accès à des données qui sont anonymes peut permettre de les ré-identifier.

Une solution, en utilisant une stratégie d’anonymisation des données, serait d’anonymiser en bruitant les données soit en les modifiant.  Cependant l’anonymisation va dépendre du traitement ultérieur que l’on va vouloir faire. Si nous reprenons notre exemple de la banque:  je souhaite pouvoir établir les heures d’affluence de l’agence. Je vais donc anonymiser les données d’identité, de dépôts de montant … Mais je vais laisser en clair les données de dates et d’heures afin d’effectuer le traitement souhaité.

Mais si je souhaite effectuer un autre traitement par exemple sur le montant moyen déposé, je vais devoir anonymiser les données d’heures, de dates, d’identités … Mais laisser cette fois en clair les données relatives aux montants des dépôts.

Il y aura donc autant de stratégie d’anonymisation que de traitements. Vous pouvez aisément imaginer la complexité de cette stratégie et le véritable casse-tête qu’elle représente !

Mais alors comment sécuriser les données d’un datalake ?

Reprenons notre datalake débordant de données diverses et variées. Différentes personnes au sein de l’organisation souhaitent pouvoir faire des analyses à grandes échelles sur ces données tout en respectant le RGPD. Ces personnes souhaitent chacune faire des traitements différents.  Il est donc nécessaire de trouver une solution qui permettent à la fois :

• A différentes personnes d’effectuer des analyses
• D’effectuer différents types de traitement
• De respecter la protection des données conformément à la réglementation

En utilisant les algorithmes de chiffrement que nous utilisons chez Lybero.net,  nous vous proposons une stratégie afin de répondre à ces différentes contraintes.

Nous allons utiliser un chiffrement ElGamal à la Pedersen avec un groupe d’administrateurs de secrets, nous appelons ce groupe un groupe à quorum.

Nous avons donc d’un côté le datalake rempli de données, d’un autre côté un groupe à quorum d’administrateurs de secrets et enfin une personne souhaitant effectuer un traitement sur des données.

Le groupe a quorum est constitué de plusieurs personnes, il aura la charge de contrôler l’accès aux données qui se trouvent dans le datalake lorsqu’une personne en fera la demande. Ce groupe à quorum a sa propre clé publique.Chaque membre du groupe à quorum a une clé privée spécifique associée au groupe à quorum. Lorsque l’on chiffre avec la clé publique du groupe une information, il faut que différents administrateurs de secrets (dont le nombre est le quorum) déchiffrent chacun avec leur clé privée de groupe successivement afin d’obtenir le déchiffrement final.

Dans le datalake, chaque type de données est chiffré avec une clé de contenu AES différente. Cette même clé est chiffrée par la clé publique du groupe à quorum.

Une personne souhaite faire un traitement sur un type de données que nous appellerons A. Il va donc demander au groupe à quorum s’il peut avoir accès aux données. Cette demande est matérialisée par le surchiffrement avec sa clé publique par le demandeur de la clé de contenu associée à A chiffrée par la clé publique du groupe à quorum. La clé de contenu est donc chiffrée et surchiffrée.

Deux cas se présentent alors en fonction du traitement.

Dans le cas d’un traitement direct des données, le groupe à quorum va accepter la demande de cette personne. L’acceptation est faite via le déchiffrement par le groupe à quorum (donc les déchiffrements successifs) de la clé de contenu chiffrée par la clé publique du groupe à quorum. Ils libèrent la clé de contenu pour le type de données demandées.  La personne peut déchiffrer les données et a accès à ces données et peut effectuer le traitement souhaité.

Le quorum peut bien sûr aussi refuser la demande cette personne et la procédure s’arrête immédiatement.

Dans le deuxième cas, la personne va faire une demande pour un traitement indirect de ces données. Ceci peut être le cas s’il faut anonymiser ces données au vu de leur caractère personnel et sensible.

La personne va donc demander l’accès aux données au groupe à quorum. Comme dans le premier cas celui-ci peut accorder l’accès ou pas. S’il accorde l’accès il libère donc la clé mais non pas vers le demandeur, mais vers un process qui va faire le traitement spécifique d’anonymisation des données, avant de les rechiffrer à destination du demandeur.

Le terme libéré est dans ce cas trompeur, les administrateurs de secrets n’ont jamais accès à la clé de contenu des données ni aux données.

La personne peut donc maintenant accéder aux données anonymisées et effectuer le traitement souhaité.

Ainsi en intégrant des technologies de chiffrement et un séquestre numérique à quorum il est possible de sécuriser les données stockées sur les datalake et d’en assurer l’intégrité et la confidentialité.

A cela il est bien sûr conseillé de rajouter une architecture réseau isolée accompagnée d’accès contrôlés ou de bastions pour les VMs traitant les données afin de renforcer leur sécurité.

Avec cette stratégie, il est donc possible de sécuriser les données présentes dans les datalake de manière très sûre en :

• Garantissant une isolation maximale des rôles et des responsabilités des personnes intervenants dans le traitement des données

• Restreignant l’accès des données : les personnes qui ont besoin d’accéder à des données, auront accès uniquement aux données nécessaires.

Anne-Claire

Marketing digital

L’article Datalake et sécurité des données est apparu en premier sur Lybero.

Le CESIN a dévoilé en janvier son étude réalisée avec Opinion Way sur la cybersécurité des entreprises.

Chez Lybero.net, nous nous sommes bien sûr penchés dessus et y avons relevé quelques informations clés sur :

• Les rapports des entreprises aux cyber attaques
• Le cloud et les inquiétudes liées à sa sécurité
• Les enjeux humains

Découvrez notre focus infographie ci-dessous :

Anne-Claire

Marketing digital

L’article Baromètre de la cybersécurité des entreprises en France est apparu en premier sur Lybero.

Lybero.net est un spécialiste du chiffrement de l’information sur le web. Mais après tout, pourquoi est-il nécessaire de chiffrer ? Le système d’exploitation d’un ordinateur et les applications offrent des méthodes d’isolation permettant d’empêcher l’accès aux informations des personnes qui n’y ont pas droits. Qu’est-ce que le chiffrement apporte de plus ?

La première raison est technique. L’isolation fournie par le système d’exploitation, les applications ou les bases de données est fondamentalement illusoire. Si vous suivez l’actualité technique, vous entendez parler régulièrement de faille informatique, dans les programmes, dans les systèmes d’exploitation, dans les protocoles ou dans le matériel.

Ces failles sont ténues, il suffit de très peu de choses pour avoir une faille. Pour illustrer cela, considérons le bogue qui a conduit à la destruction de la première fusée Arianne 5. L’article wikipedia détaille ce bogue. Pour résumé, une variable représentant une accélération était codée sur 8 bits alors qu’elle aurait du être codée sur 9 bits. 1 seul bit a conduit à la destruction de la fusée au bout de 37 secondes.

Ce type d’instabilité du code est à la fois très habituelle (c’est la définition d’une bogue) et en même temps très surprenant, intellectuellement. Nous sommes trompés par notre intuition physique, de telles instabilités sont rares (même si elles existent) dans notre monde sensoriel.

Non seulement le logiciel est sensible à d’infinitésimale erreur, mais le matériel numérique aussi. L’attaque Spectre et maintenant toute la famille d’attaques associées sont liées à l’architecture des processeurs.

Il faut donc réussir à protéger les données informatiques malgré le logiciel et malgré le matériel. C’est à dire, utiliser autre chose. Cet autre chose ce sont les mathématiques, et les mathématiques pour la protection des données c’est la cryptographie.

Arnaud

PDG de Lybero.net

L’article Pourquoi faut-il chiffrer les informations ? est apparu en premier sur Lybero.

Chaque année le Clusif ( https://clusif.fr ), le club français de la sécurité des systèmes d’information, offre une présentation générale de l’état de la cybersécurité sur l’année précédente. Cette année le programme était très dense et intéressant. 14 présentations de très bon niveau que vous pouvez retrouver sur la page Panorama de la Cybercriminalité du CLUSIF.

La présentation sur les attaques qu’ont affrontées les banques en 2018 de Gérôme Billois du cabinet Wavestone a particulièrement retenu mon attention. Vous pouvez la voir ici.

3 attaques différentes ont été détaillées. Ce sont les attaques “Darkvihnya Attack”, “Bank of Chile” et “Cosmos Bank”.

Dans le cas de “Darkvihnya Attack”, ce qui a été fait est la connexion de plusieurs appareils malveillants directement sur le réseau des banques. Une fois les appareils connectés, ils sont utilisés pour exploirer le réseau de la banque puis pour pouvoir accéder depuis l’extérieur à l’infrastructure IT. Des malware sont ensuite utilisés pour faire des virements sur des comptes tiers. C’est donc d’abord un accès physique qui permet ensuite l’accès à l’IT. Cette attaque a concerné 8 banques d’Europe de l’Est.

Contrer ce type d’attaque est possible : un réseau bien configuré et une détection d’équipements inhabituels permettent de détecter l’attaque tôt. Encore faut-il les équipes suffisantes, un matériel et des logiciels adaptés. Le fait que ces attaques aient été faites dans des banques différentes géographiquement proches indique un problème de manque de culture de cybersécurité localisé.

La seconde attaque est celle de “Bank of Chile”. La méthode est très différente, les attaquants ont réussi à infecter des machines avec un code malveillant. Ce code détruisait les machines. Les équipes informatiques se sont concentrées sur la gestion de la crise. Pendant ce temps là, les pirates opéraient des virements électroniques swift. Une stratégie de diversion typique. Je vois très peu de moyens de lutter contre une telle attaque. La seule solution est d’avoir une équipe dédiée à la gestion de crise mais qui soit détachée totalement des équipes opérationnelles de surveillance.

La dernière attaque est celle de “Cosmos Bank” une banque indienne. L’infrastructure interne de la banque a été infectée avec des malware. Il a été possible d’installer un serveur qui dialoguait avec les distributeurs de billets en lieu et place de l’infrastructure normale. Lorsque les distributeurs demandaient s’il était possible de retirer de l’argent, la réponse était toujours oui. En 2 jours plus de 10 millions d’€ ont été retirés dans de nombreux pays avec des cartes clonées.

Toutes ces attaques sont très sophistiquées, nécessitant non pas un pirate mais des équipes entières de personnes, qui ont le temps et la possibilité d’étudier des systèmes bancaires, ou de se renseigner dessus. On a du mal à imaginer des petites organisations de hackers réussissant à faire cela, ce sont des moyens beaucoup plus importants qui sont mis en jeu.

Le fait qu’après plusieurs années, il est possible d’identifier ces organisations et les personnes y travaillant était mis en exergue dans la présentation “Géopolitique et attribution” de Loïc GUÉZO de Trend Micro France. Tout espoir n’est donc pas perdu.

Arnaud

PDG de Lybero.net

L’article #PANOCRIM 2018 – La banque – Des attaques plus astucieuses est apparu en premier sur Lybero.