Un moteur de recherche pour nos enfants

Quant il s’agit de laisser nos enfants découvrir les merveilles qu’offre Internet, et seulement les merveilles, il existe le filtre de recherche de Google afin de limiter les résultats à des sites moralement acceptable. Seulement, vous n’avez peut-être pas envie de laisser Google surveiller l’activité de vos enfants puis vous préférer peut-être limiter l’accès depuis la machine à un moteur de recherche dédié à nos petites têtes blondes. Qwant a exaucé votre souhait.

Si vous ne connaissez pas Qwant, il s’agit d’un moteur de recherche français créé en 2013. Grâce à un investissement de 25 millions d’euro de la banque d’investissement européenne fin 2015, le moteur prend désormais de la carrure et s’ouvre à l’Europe.

En 2014, Qwant a lancé Qwant Junior (https://www.qwantjunior.com/), un moteur de recherche destiné au enfants et adolescents, leur offrant un contenu ciblé en termes de sites, d’information, d’images et d’actualité. Qwant Junior peut-être utilisé comme moteur de recherche par défaut dans la barre de votre navigateur préféré, évitant ainsi que nos enfants ne retombent par hasard sur un résultat de recherche inapproprié via Google ou Bing.

Qwant et Qwant Junior étant des produits Français, ils sont soumis à la législation Européenne relative à la protection de la vie privée et se targuent même d’être « Le moteur de recherche qui respecte ta vie privée ».

Avec le lancement de notre projet de distribution Linux pour Raspberry Pi destinée aux enfants et aux écoles (Kidnux, bientôt en ligne sur https://www.kidnux.org), nous publieront très bientôt de nouveaux liens vers des sites éducatifs et des nouvelles astuces pour sécuriser facilement et gratuitement les ordinateurs utilisés par vos enfants et entre-autres, comment prévenir la navigation vers des sites peu recommandables.

A très bientôt.

 

Piratage informatique facile grâce à Google

On pense souvent que faire du hacking, du piratage informatique, demande des connaissances pointues, des petits génies de l’informatique et des ordinateurs surpuissant tournant sous Kali linux. C’est peut être parfois vrai mais c’est loin d’être toujours le cas.

D’abord, il y a de plus en plus d’outils de hacking et de scripting qui tournent sous Windows et leurs interfaces deviennent tellement conviviaux (tel celui de Core Impact Pro, de Core Security, qui rend l’exercice aussi facile qu’un jeux sur console).

Ensuite, il y a Google. Et oui, Google rend d’innombrables services y compris celui de faciliter et de rendre très facile la détection de certaines vulnérabilités, de trouver des fichiers de mot de passe ou d’accéder à des webcams non-protégées.

Pour rendre cela encore plus facile, Offensive Security, la société derrière Kali, la célèbre distribution Linux pour Hackers, maintient désormais à jour la Google Hacking DataBase (GHDB) (développée à l’origine par Johnny Long).

La GHDB est désormais intégrée à la Exploit Database de Offensive Security et répertorie toutes les requêtes Google qui permettent de trouver rapidement des systèmes vulnérables sur Internet (ou des webcams non protégées).

Cette recherche-ci sur Google (http://www.google.com/search?q=intext:%22powered%20by%20webcamXP%205%22) vous donne accès à la liste des Webcams non-protégées d’un certain type qui ont été indexée par Google.

Soyez donc toujours bien prudent pour ne pas vous retrouver dans une de ses listes, ce qui reviendrait à vous mettre une jolie cible sur le dos.

Quand les contrôles vous font perdre le contrôle

Cela fait quelques temps que ce constat revient tout au long de mes diverses missions: certains contrôles font plus de mal que de bien. Particulièrement, les indicateurs et systèmes de mesure en tout genre.

Quand nous mettons en place un système de gestion de la sécurité (qu’il soit conforme à la norme ISO27001 ou non), de gouvernance IT (genre CObIT) ou de gouvernance d’entreprise, arrive toujours un moment où nous devons définir des indicateurs de performance. KPIs, KGI, PI, Balance Scorecard, contrôles SMARTs et j’en passe, quel comité de direction ne vous réclame pas des indicateurs et de jolis graphiques pour égayer ses réunions?

Je suis cynique sur le sujet et je m’en explique. Ces indicateurs sont censés permettre aux dirigeants de l’entreprise de prendre des décisions éclairées pour diriger leur entreprise. Pour ce faire, les KPI doivent leur fournir des indications pertinentes par rapports aux objectifs de l’entreprise. C’est la base de la définition d’un bon indicateur. Pourtant, la pertinence de certains contrôles laisse parfois à désirer. Faire des indicateurs spécifiques, mesurable, atteignables, pertinent pour le responsable et définis dans le temps n’est franchement pas une chose aisée. Et dans cette quête à l’indicateur presque parfait, on se retrouve parfois dans l’imparfait. Et cet imparfait a de graves conséquences car définir un indicateur de performance, c’est définir les objectifs de la personne responsable de cet indicateur. Et même si nous avons défini des objectifs de plus haut niveau plus pertinent pour l’entreprise (agilité, rapidité de déploiement de nouvelles solutions, satisfaction de la clientèle), c’est ce qui sera mesuré qui aura le plus d’importance car c’est là dessus que les personnes seront évaluées (et que les bonus seront éventuellement distribués). Et voilà le piège. L’objectif individuel de certains manager n’est plus l’amélioration de la performance globale de l’entreprise et de la satisfaction des clients mais bien d’atteindre ou de dépasser ses objectifs tels que mesurés par nos indicateurs. Si ils ne sont pas alignés, vous pouvez imaginer les conséquences. Si vous n’y arrivez pas, voici quelques exemples rencontrés au cours de ces dernières années.

Anecdote 1

Un responsable de service desk ne veut pas mettre en oeuvre un système de réinitialisation automatique des mots de passe des utilisateurs car les nombreux appels reçus par son service pour ce genre de problème prend nettement moins de temps que la moyenne et fait donc baisser favorablement son indicateurs de performance sur le temps de résolution moyen tout en maintenant le nombre d’appel élevé.

Anecdote 2

un responsable réseau qui n’améliore pas son infrastructure car ses indicateurs de performance considèrent le % de bande passante utilisé (qui est dans les limites) mais ne tiens pas compte des temps de latence qui sont eux catastrophique. Et bien sûr, le temps de réponse des application étant un problème complexe qui peut dépendre du réseau tout comme des systèmes et des applications, n’ont pas de KPI sur l’équipe réseau (car ils n’ont pas le contrôle). Logique mais ennuyant car les temps de latence sont catastrophiques et cela impacte les opérations.

J’ai d’autres anecdotes sur le sujet mais le but n’est pas de faire le best of des échecs en termes de KPI mais bien d’illustrer mon propos.

Que faire alors?

Clairement, ce qui me semble le plus évident, c’est de mettre des indicateurs de haut niveau sur les performances de l’entreprise et sur la collaboration à tout le monde, avec une co-responsabilité. Tout comme dans une équipe de 400m relai, tout le monde à la responsabilité de démarrer à temps, de signaler et de passer le témoin. Tous ensemble vers un objectif commun.

 

SPF, Sender ID, DKIM et DMARC. Ou comment s’assurer que vos courriels arrivent chez leurs destinataires.

Avec l’avènement du courrier électronique les fournisseurs d’accès Internet et les entreprises ont rapidement été confrontés à la problématique des courriels non-sollicités, les spams, ou les pourriels pour les plus francophiles d’entre-vous. Il n’était pas rare à certains moment d’avoir 85% (voir même 97% selon les sources) des courriels qui étaient identifiés comme étant des spams.

Afin d’endiguer ce fléau, la communauté Internet à développer des techniques de prévention et de détection des spams: SPF (Sender Policy Framework) & Sender ID, DMARC, DKIM ou le scoring du contenu.

Comme c’est toujours le cas, toute mesure de protection apporte aussi de nouveaux risques. Dans ce cas-ci, celui que certains messages important ne soient pas délivrés à leurs destinataires parce que considérés à tort comme du spam. Comme le montre notre petit coup de sonde sur le Top 500 des entreprises mondiales et comme vous pourrez le voir prochainement sur un échantillonnage plus grand de sites belges, le nombres de sociétés ou de personnes qui ont misent en oeuvre ces technologies ne sont pas si nombreuses que cela (même si ce n’est pas négligeable) alors que pour DMARC et SPF & Sender ID, il s’agit réellement de quelques minutes de travail. C’est d’autant plus important que des sociétés comme Google et Microsoft, qui gèrent des services de messagerie électronique utilisés par des millions de personnes privées et d’entreprises, ont installés ces technologies et que vos emails ont peu de chances d’atteindre leurs destinataires si leur messagerie est hébergée chez ces deux prestataires ou chez n’importe quelle société qui aurait décidé de mettre des systèmes anti-spam performant en place.

La première étape, comme d’habitude, est de faire un état des lieux. Pour ce faire, vous pouvez utiliser un certains nombre de services gratuits accessible en ligne tels emailspamtest.com ou l’ email spam checker d’Alexis Ragot. Cependant nous aimons particulièrement Mail tester qui nous semble le plus convivial et le plus pertinent. Pour ce faire, il vous suffit d’aller sur http://www.mail-tester.com/, en d’envoyer un email à l’adresse qui s’affiche sur la page d’accueil puis de cliquer sur « Ensuite vérifier votre score » et vous verrez un joli petit rapport très complet en compréhensible e français s’afficher.

Si votre score n’est pas glorieux (en dessous de 7 chez Mail-tester, par exemple), Nous allons donc vous détailler ci-après comment mettre en oeuvre les technologies nécessaires pour remonter votre score et augmenter les chances de voir vos courriels atteindre leurs destinations.

SPF & Sender ID

Pour commencer, le plus simple est de mettre en oeuvre Sender Policy Framework (SPF) et Sender ID. Bien qu’elles ne soient pas totalement identiques, les deux techniques sont très proches et peuvent être dans certains cas configurée en une seule et même ligne. SPF est un standard ouvert qui est maintenant sous le contrôle de l’IETF (Internet Engineering Task Force) d’abord via le RFC 4408, rendu obsolète depuis par le RFC 7208 qui a été enrichi du RFC 7372. Si vous ne voulez pas vous plonger dans la lecture de ces deux derniers documents (les RFC ne sont pas fait pour être des plus agréables à lire), vous pouvez visiter le site du projet SPF: http://www.openspf.org/. Sender ID est la version Microsoft de SPF, aussi standardisée par l’IETF sous le RFC 4406. La différence principale, assez technique, est que SPF valide le serveur qui expédie le message via les informations fournies lors de la connexion SMTP: D’abord sur base du HELO, donnant le nom du serveur de messagerie qui envoie le courriel, et ensuite du MAIL FROM:, l’adresse, et donc aussi le nom de domaine, de l’expéditeur du courriel. Sender ID par contre valide l’adresse email « responsable » de l’envoi du courriel tel que défini par l’algorithme PRA (Purported Responsible Address) tel que défini dans le RFC 4407 (un de plus). L’une des conséquence de ces deux techniques, c’est qu’elle empêche un des modes de fonctionnement du courriel (SMTP) qui est l’envoi en mode différé (Store & Forward en Anglais). Néanmoins, celui-ci n’est plus fort utilisé de nos jours.

Néanmoins, si vous n’êtres pas anglophile ou si vous ne voulez pas perdre du temps à saisir toutes les subtilités de SPF et Sender ID, voici un petit cours accéléré.

En quelques mots, SPF utilise un champ texte (TXT) dans la zone DNS du domaine utilisé pour envoyer des messages afin de déterminer quels serveurs de messagerie peuvent délivrer des messages pour ce domaine. Trop compliqué? Prenons l’exemple d’un envoi d’email de Alice@A.com vers Bob@B.com. Je ne vais pas faire ici un cours sur DNS mais juste revenir rapidement sur les principes. Lorsque l’on veut envoyer un email vers une adresse email comme Bob@B.com, le serveur de messagerie de l’expéditeur (A.com) contacte un serveur DNS pour connaitre l’adresse IP du serveur de messagerie du destinataire en lui demandant les enregistrement de type Mail eXchanger (MX). Le serveur DNS communique la ou les adresses des différents serveurs qui peuvent recevoir les messages (avec une liste de priorité). Le serveur de messagerie envoie alors le message vers le premier serveur de B.com (appelons le mail.B.com). Lorsque le serveur mail.B.com reçoit une connexion du serveur de messagerie de A.com, il va le laisser s’identifier et donner l’adresse de l’expéditeur (Alice@A.com). mail.B.com va alors interroger un serveur DNS pour savoir quelles sont les serveurs de messagerie qui peuvent envoyer des messages depuis le nom de domain B.com en lui demandant les enregistrements texte (TXT) de ce domaine et en regardant s’il y a un enregistrement SPF. S’il trouve un enregistrement SPF, il utilisera l’information pour déterminer si le serveur de messagerie (mail.A.com) peut envoyer des messages provenant de Alice@A.com et donc d’accepter ce message ou non.

Une petite vidéo valant mieux qu’une longue explication, on vous à préparé une petite animation de quelques secondes pour comprendre le principe.

Maintenant, que vous avez compris le principe, entrons un peu plus dans les détails.

Que devez-vous renseigner dans un enregistrement SPF?

Dans votre fichier de configuration DNS (BIND ou autre) ou dans l’interface que vous utilisez, vous devez rajouter un enregistrement de type TXT pour votre nom de domaine (ou du moins celui que vous utilisez pour envoyer vos messages).

Un enregistrement spf commence toujours par « v=spf1« . Pour exemple, dans un fichier d’enregistrement de domaine Bind, cela donnerait ceci:

           IN TXT "v=spf1 mx -all"

Dans ce cas, seuls les serveurs renseignés comme étant vos serveurs de messagerie dans votre DNS (MX records) pourront envoyer les messages.

Une version plus simple peut être celle-ci: « v=spf1 -all« . Ceci signifie que toute tentative d’envoi d’email pour votre nom de domaine doit être refusée.

Ce peut tout aussi bien être « v=spf1 +all« , signifiant que n’importe quelle machine peut envoyer un message.

Les mécanismes sont définis après le « v=spf1 » et sont traité séquentiellement dans l’ordre de lecture (de gauche à droite). C’est le traitement du premier mécanisme qui correspond qui est utilisé. Voici une petite table des symbole pour le traitement du message:

  • ? ou pas de signe  = un traitement neutre
  • + =  Accepte
  • = Refuse
  • ~= Accepte mais marque le message 

D’autre part, les mécanismes permis sont:

  • all = Tous les mécanismes
  • ip4 = une adresse IPv4
  • ip6= une adresse IPv6
  • a = l’adresse IP du nom de domaine
  • mx = les serveurs de messagerie du domaine spécifié (ou du domaine par défaut de cet enregistrement)
  • include = ajouter les informations SPF provenant de ce domaine. Exemple: « v=spf1 include:_spf.google.com ~all » pour ajouter les serveurs de Google Apps for Business

Pour tous les mécanismes utilisant une adresse IP, une adresse de réseau avec un masque CIDR (exemple: ip4:192.168.1.0/24) peut être aussi utilisé.

Si vous voulez pouvoir envoyer des emails depuis vos serveurs de messagerie ainsi que depuis GMail et un serveur de mailing, votre enregistrement ressemblera probablement à cela:

     IN TXT "v=spf1 +mx include:_spf.google.com +ip4:10.1.2.3 -all"

Vous devez en savoir assez à ce point pour configurer vous même votre enregistrement SPF.

DKIM

DKIM ou DomainKeys Identified Mail est une technique plus compliquée de signature électronique du contenu de vos messages. DKIM est désormais définis par le RFC 6376 de l’IETF. Cette signature n’est pas propre à chaque expéditeur mais bien à chaque domaine. Cette technique est plus difficile à mettre en oeuvre car elle requiert la création et la publication dans votre enregistrement DNS de clés cryptographiques publiques et privées qui seront utilisées pour signer vos messages. Cela demande aussi l’intégration de modules de signature dans vos serveurs de messagerie ou la configuration de ces clés chez votre fournisseurs de services de messagerie. Par exemple, Google fournit ce service ainsi qu’un processus très simple permettant de générer les clés et de créer les enregistrements DNS nécessaires: https://support.google.com/a/topic/2752442?hl=fr&ref_topic=2683865

Pour l’intégration de DKIM (pour vérifier et/ou intégrer la signature dans vos emails), le site www.dkim.org fournit une liste des modules, payant ou gratuits, existants pour les nombreux serveurs et clients disponibles sur le marché. Nous reviendront ultérieurement sur la mise en oeuvre de DKIM.

DMARC

DMARC ou Domain-based Message Authentication, Reporting and Conformance est une technique qui permet de définir comment seront traités vos emails (ou les emails qui proviennent prétendument de votre domaine) par les récepteurs de ceux-ci. Il utilise aussi un enregistrement TXT  dans votre DNS. DMARC vous permet de définir la fréquence et le destinataire d’un rapport avec l’état des emails reçus par chaque récipiendaire ainsi que le pourcentage de messages « illégitimes » (ou perçu comme tels) qui doivent être bloqués (ce qui permet une montée en puissance progressive de vos mesure de sécurité et de contrôles les éventuelles pertes de message).

DMARC possède lui aussi son groupe de travail et son site internet dmarc.org. Comme pour les autres techniques, il est défini dans un RFC IETF, le 7489.

Pas besoin de réinventer la roue ici, Google à publié un très bon document sur le sujet en français: https://support.google.com/a/answer/2466563?hl=fr

J’espère que tout cela est plus clair pour vous désormais et que vous allez ainsi pouvoir mieux sécuriser l’envoi de vos courriels.

Êtes-vous encore le gérant de votre société?

Êtes-vous encore le gérant de votre entreprise? Drôle de question n’est-ce pas? Pourtant, dans la lignée des usurpations et des vols d’identités, un nouveau type d’arnaque aux entreprises s’est développé ces dernières années: l’usurpation du titre d’administrateur délégué.

La pratique est malheureusement très simple. Les malfaiteurs s’inscrivent comme « administrateur délégué » d’une entreprise auprès du Moniteur Belge. Il leur suffit de déposer une demande au greffe avec une simple signature au dos. Dix jours plus tard, le moniteur publie l’information sur son site et les malfaiteurs utilisent la publication pour avoir accès aux comptes de l’entreprise et pour faire un nettoyage de ceux-ci par le vide.

Heureusement, le cabinet d’avocat Tack51 en association avec la fédération des chambres de commerce de Belgique et la société de développement applicatif Tri-S ont développés une application qui vous permet d’être automatiquement averti lorsque que votre société est mentionnée dans les annexes du moniteur Belge: www.publications-legales.be

Un petit service simple et gratuit qui vous permet tout au moins de détecter une tentative de fraude de ce genre rapidement et sans effort.

Sources:

Trends.be

www.publications-legales.be

www.comptaplan.be

Un employé sur 5 vendrait son mot de passe!

Selon l’édition 2016 du Global Market Pulse Survey de l’éditeur de logiciel Sailpoint, 27% des employés américains sondés seraient prêt à vendre leur codes d’accès à leur réseau d’entreprise contre « seulement » 16% des répondants Français et Anglais et 12% des Hollandais. En moyenne 1 employé sur 5, parmi le millier interrogé dans de grandes entreprises (minimum 1000 personnes), serait donc prêt à monnayer son mot de passe.

Encore plus inquiétant est le prix demandé par ces employés peux scrupuleux: 1.822$ pour les Français, 3.874$ pour les Anglais et 50.770$ pour les américains. Notez que  les Hollandais qui semblent être les plus loyaux dans cette étude sont aussi ceux qui seraient le plus gourmand pour vendre leur secret: 466.667$ pour utiliser leurs accès. Ils connaissent la valeur, et probablement aussi l’impact, de leur traîtrise.

Notez aussi que parmi les employés indélicats prêt à torpiller la sécurité de leur entreprise pour quelques billets, 56% des Anglais (soit 8,96% des répondant) ne vous demanderaient pas plus de 1000$, pour 50% des Français (8% des répondants) et 40% des Américains (10,8% des répondants).

Pour corroborer le résultat de la démonstration d’ingénierie sociale que nous avions réalisé en 2015 avec la RTBF, indique que 65% des employés interrogés utilisent le même mot de passe pour toutes les applications de l’entreprise. C’est plus élevé que les 33% que nous avions trouvé mais cela peut être expliqué par la différence de taille de l’échantillon, les différence culturelles (73% chez les Français contre 53% chez les Allemands par exemple dans l’étude Sailpoint) et le fait que la question n’est pas totalement identique (Le même mot de passe partout vs. le même mot de passe sur toutes les applications de l’entreprise).
La gouvernance sécurité des grandes entreprises ne sort pas épargnée de cette étude qui indique qu’en moyenne 42% des personnes interrogées avaient encore accès au systèmes de leur entreprise précédente après l’avoir quittée. Le processus Joiner-Movers-Leavers reste une des grandes difficultés des entreprises semble t’il. Et comme d’habitude, l’être humain reste une des vulnérabilité les plus facile et les moins chère à exploiter.

Les banques à l’heure de la Cyber sécurité

La « cyber » sécurité est un sujet qui est de plus en plus prioritaire dans les grandes entreprises, en ce y compris dans les organisations financières. Je ne suis pas un grand amateur de « buzz words » et « Cyber » ne fait pas exception à ce principe. Comme souvent, on utilise un nouveau mot que personne ne comprend réellement pour parler d’un sujet qui est déjà présent depuis bien des années. Dans ce cas-ci, la cyber sécurité couvre clairement le domaine de la sécurité informatique avec une certaine tendance à s’étendre jusqu’à la sécurité de l’information (qui n’est franchement pas uniquement Cyber). Quoi qu’il en soit, on ne va pas se plaindre si ça permet de sensibiliser un peu plus les conseils d’administration et autres « board of directors » aux problématiques de plus en plus importantes de la sécurité des systèmes d’information. D’autant plus que certaines entreprises plus sensibilisées que d’autres songent, si ce n’est déjà fait, à appointer un CCSO (Chief Cyber Security Officer, le nouveau nom à la mode pour la fonction de CISO ou de RSSI) comme membre de leur comité de direction, ce qui est la position hiérarchique idéale pour pouvoir mettre en place une gouvernance transverse de la sécurité au sein de l’entreprise.

La BIS (Bank for International Settlement), un organisme international regroupant les 60 banques centrales comptant pour 95% du PIB mondial, à publié en novembre 2015 son guide pour la cyber résilience des infrastructures critiques des marchés financier (Guidance on cyber resilience for financial market infrastructures).

Dans ce document de 25 pages, les experts du CPMI (Committee on Payments and Market Infrastructures) soulignent l’importance de la mise en place du gouvernance appropriée et d’une gestion des risques spécifiques afin de gérer les risques propres à chaque entité ainsi que les risques systémiques (ceux liés aux interdépendances entre les banques) posés par les nouvelles technologies et les « nouvelles » manières de travailler. A l’heure ou de plus en plus de banques et d’opérateurs d’infrastructure financières se penchent sur le phénomène blockchain, il est de plus en plus nécessaire d’avoir des personnes qui maîtrisent les enjeux des technologies, et des risques qu’elles représentent, qui soutiendront ces nouveaux produits (s’ils arrivent sur le marché).

En soi ce nouveau guide n’apporte pas de grandes nouveautés dans ses recommandations si ce n’est de souligner l’importance des échanges entre les différentes institution pour faire face aux menaces (il me semble que ces dernières années la sensibilisation aux risques systémiques a bien fonctionné dans le monde financier). Notons aussi l’éternel rappel au point 2.3.1 de l’ultime responsabilité du comité de direction pour définir la stratégie et s’assurer qu’elle est appliquée et efficace, pour ne pas dire efficiente. Les 2 points suivant remettant une couche sur la nécessité d’établir une réelle culture de la gestion des risques informationnels et de s’assurer que l’entreprise possède toutes les ressources qualifiées pour atteindre ses objectifs (ce qui reste un véritable challenge de nos jours, surtout si l’on regarde au delà des titres d’expert et des certifications). Pas étonnant d’ailleurs que celles-ci prennent part à des événements comme le Cyber Security Challenge pour trouver les perles rares qui vont les aider à relever les nombreux défis de la cyber sécurité.

Bref, un petit pas pour la BIS qui laisse entrevoir les nombreux autres petits pas à effectuer par nos institutions financières pour pouvoir survivre à l’aire digitale.

Allo, pourriez-vous m’aider? La phrase qui va ruiner votre sécurité?

Allo, pourriez-vous m’aider? Cette phrase, n’importe quel employé d’une entreprise est susceptible de l’entendre chaque jour. Que ce soit un collègue, un client, un fournisseur qui appelle la comptabilité, le service clientèle, le support IT ou la gestion de l’immeuble, la plupart des collaborateurs d’une entreprise ont pour vocation d’aider d’autres personnes. C’est d’ailleurs de plus en plus souvent une valeur forte des entreprises. Vous avez déjà probablement lu cette phrase : « le service clientèle n’est pas un département, c’est une attitude ». Les entreprises 2.0 mettent leurs clients au centre de leur processus. Aider ses client n’est même plus qu’une tendance naturelle, c’est un objectif d’entreprise, une culture et une obligation. Même si en Europe nous avons parfois encore à apprendre sur ce sujet, de plus en plus d’entreprise améliorent l’attitude de leur personnel envers leur clients, internes ou externes, et les incitent à être plus collaboratif, empathique et aidant. Et c’est tant mieux! C’est finalement l’un des objectif principal d’une organisation: servir ses clients (et générer des bénéfices la plupart du temps)

Malheureusement, ce progrès vient avec un coup important en termes de sécurité. En effet, pour atteindre cet objectif, les employés ont souvent de plus en plus accès aux différentes informations relatives à leurs client afin de pouvoir mieux les servir et de plus, dans la mouvance 2.0, chaque collaborateur est responsabilisé et « empowered » afin de pouvoir atteindre ses objectifs. Et là aussi, l’entreprise y trouve énormément d’avantages en termes de bien-être et d’efficience. Mais là encore, la surface de risque augmente. Chaque employé à potentiellement plus de pouvoirs qu’auparavant, exposant donc à lui tout seul encore plus l’entreprise aux risques que sont les « human hackers »

Dans la petite vidéo ci-dessous, l’émission Real Future à demandé à nos très respectés collègues de www.social-engineer.com, d’effectuer une attaque par vishing (hameçonnage téléphonique en français). Comme vous pourrez le voir, il ne faudra que quelques minutes à Jessica Clarck pour obtenir l’adresse email de Kevin Roose et pour se faire créer un nouveau compte à son nom à elle, lui permettant ainsi d’accéder au compte de Kevin. Facile n’est-ce pas! Ne négligeons pas cependant les petits détails qui font la différence entre l’échec et le succès dans ce genre d’exercice.

Commençons par les plus facile et les plus évident: D’abord, Jessica est une femme. Comme je l’ai déjà écrit dans ce blog, la séduction est une arme souvent fatale mais dans ce cas-ci c’est la vulnérabilité associée aux femmes et la tendance chevaleresque des hommes qui est exploitée. Les cris de bébés dans le fond ajoutent au climat de détresse et permettront aussi probablement à amener le correspondant, homme ou femme, à vouloir encore plus aider notre « Visher ». Les êtres humains ont une réaction quasi instinctive de désir d’aider à l’écoute de cris de bébés. Autres caractéristique, Jessica est charmante, s’excuse de prime abord et met son interlocuteur sous pression en lui expliquant qu’un tiers non-présent, son mari, lui demande de faire quelque chose aujourd’hui même. Elle joue donc sur la réciprocité, la dissolution de responsabilité et sur la pression du temps, d’autres facteurs importants dans les techniques d’influence.

Un autre facteur plus complexe, très important et pourtant peu mis en avant dans cet exercice est le « spoffing » (l’usurpation) du numéro de téléphone. Les opérateurs téléphoniques utilisent fréquemment des systèmes qui affichent automatiquement les informations de leurs clients lorsqu’ils appellent avec le numéro de téléphone que ce même opérateur leur a attribué. Cela met d’office l’opérateur en confiance vu que son système lui dit que la personne qui l’appelle est bien qui elle prétend être. Ce n’est pas une petit élément et il n’est pas facile à obtenir même si ce n’est pas des plus compliqués. En effet, l’usurpation de numéro est une fonction qui existe chez tous les opérateurs et qui permet, par exemple, d’avoir votre propre numéro de GSM qui s’affiche quand vous appelez avec un opérateur VoIP comme Skype.

Notez aussi comment Jessica contourne la proposition de l’opérateur d’envoyer un PIN par SMS. Elle ne peux pas le recevoir en même temps. Avec les cris du bébé, l’opérateur ne va pas lui proposer une alternative et va l’aider directement. Dans la mise en place de contrôle d’identité, comme pour tout contrôle de sécurité en général, la convivialité, la simplicité doivent être pris en compte. L’opérateur aurait du pouvoir poser quelques questions simple à la personne (adresse de résidence, second prénom de son mari, date de naissance) afin d’identifier la personne. Simple mais efficace. Ce n’est pas le contrôle que l’on définirais par défaut mais il ne ferait pas de tort d’avoir la possibilité de le faire si d’autres contrôles s’avère impossible. un autre contrôle aurait pu être de proposer de rappeler la personne afin de s’assurer qu’il n’y a pas eu de spoofing (mais il faut déjà accepter la possibilité que ce soit possible pour penser à mettre de tels contrôles en place).

Bien sûr, comme souvent, la clé reste dans la préparation et dans la formation. Ce genre de vidéos, tout comme celle que nous avons réalisé dans le cadre de l’émission de la RTBF « On n’est pas des pigeons » font partie des moyens didactiques qui permettent d’augmenter la conscientisation et la capacité à identifier les techniques utilisées par les hackers.

Bien sûr des tests « in vivo », annoncés ou non, permettent aussi d’augmenter la vigilance, la reconnaissance et de mesurer l’efficacité des mesures de prévention et des contrôles mis en place. Qu’importe les moyens que vous avez décidé ou que vous déciderez de mettre en oeuvre pour prévenir ce genre d’attaque, qui peuvent coûter des millions d’Euro comme nous l’a malheureusement encore rappelé l’attaque réussie contre Crélan, il est important que ce soit un effort soutenu et régulier. Quand il s’agit d’éducation, la répétition est le maître mot.

Le binômage: plus rapide, plus sûr et pourtant si peu fréquent.

Photo of pair programming from pexels.com

De nos jours, la gestion de projets en mode « agile » est de plus en plus utilisée dans les entreprises. Elle est même à la mode. En effet, ses principes, ou du moins certains de ses modes de fonctionnement sont même appliqués à des processus de transformation de l’entreprise qui se doit elle-même d’être de plus en plus agile, réactive. Cependant, cette méthode est encore souvent employée dans un cadre qui n’est pas agile, avec, dès le départ, une demande du « client » d’avoir certaines fonctionnalités livrées à un moment donné (ce qui va en soi un peu à l’encontre du principe même des méthodologies agiles). Entre parenthèse, il me semble aussi assez souvent qu’une partie des quatre principes de base de la méthodologie (le focus sur les personnes et de leurs interactions, l’importance de livrer un logiciel opérationnel avant tout, l’implication forte du « client » dans le processus et l’adaptation continue aux changements) sont souvent ignorés ou minimisés, probablement de par la différence culturelle que cela implique au sein de l’entreprise.

Mais ce n’est pas là que je veux porter votre attention aujourd’hui. Parmi les méthodes « agiles », celle que je rencontre le plus souvent, pour ne pas dire exclusivement, est la méthode Scrum. Pourtant, ce n’est pas la seule méthode agile existante. XP, eXtreme Programming, développée en 1999,  un peu après Scrum (en 1995), s’inspire aussi des principes de la méthode agile. Une des pratiques courantes de la méthode XP est le binômage, la programmation en binôme. Ce mode de programmation requière deux programmeurs: le conducteur (driver) et l’observateur (observer). Le conducteur programme pendant que l’observateur l’assiste en faisant une revue du code en direct. Déjà, du point de vue des bonnes pratiques de sécurité, telles celles édictées par la désormais incontournable OWASP, la case « revue du code source par une tierce partie » peut-être cochée. Mais de plus, cette pratique semble permettre d’augmenter la vitesse de livraison et la qualité du code fourni. Quand on connaît le coût et le temps passé à tester et re-tester les applications, une augmentation de la qualité du code devient très vite un avantage financier non-négligeable, sans compter la diminution de la frustration chez les utilisateurs quand ils tombent sur un « bug ». Parmi les autres avantages, celui qui doit théoriquement venir avec les méthodes agiles  mais qui devient une condition sine qua non est l’amélioration de la communication au sein de l’équipe, tout au moins, au sein du binôme.

Alors, quand verra t’on le binômage dans nos exigences de sécurité pour les projets de développement?

Stéganographie et cryptographie dans l’antiquité romaine

 bâton de bois utilisé pour lire ou écrire une dépêche chiffrée. Considérée comme le plus ancien dispositif de cryptographie militaire connue (Wikipedia)
bâton de bois utilisé pour lire ou écrire une dépêche chiffrée. Considérée comme le plus ancien dispositif de cryptographie militaire connue (Wikipedia)

J’ai eu le plaisir aujourd’hui de tomber par hasard sur les 7ème et 8ème feuillets des Folia Electronica Classica de la faculté de Philosophie et Lettre de l’UCL. Ces deux feuillets sont consacrée à la reproduction du mémoire de Brigitte Collard, Licenciée en langues et littératures classiques, ayant pour titre « Les langages secrets. Cryptographie, stéganographie et autres cryptosystèmes dans l’Antiquité gréco-romaine ».

Ce document qui n’est plus tout récent (2004) reste néanmoins fort intéressant (les connaissances historiques n’évoluent pas trop vite en général) pour ceux qui veulent aller un peu plus loin que le chiffre de César ou les messages tatoués sur les cranes des serviteurs qui sont si souvent mentionnés comme étant aux origines de la cryptographie et de la stéganographie. D’autant que si la technique à bien évoluée depuis l’antiquité, les principes restent les même et les recettes d’antan pourraient très bien être légèrement améliorées pour s’adapter au contexte actuel. Imaginez la quantité d’information que l’on peut transporter sur une carte micro SD de 64 GB attachée à un pigeon voyageur sans risquer de se faire intercepter à la douane ou tracer sur Internet.

Négliger l’histoire, c’est refuser de tirer des leçons du passé et se vouer à répéter ses erreurs. Je vous invite donc à lire ce travail très intéressant et agréable à lire de Brigitte Collard: La Cryptographie et la stéganographie et les signaux.

 

Bonne lecture