fbpx
O F E P

Loading

Scanning de vulnérabilités de serveurs Linux: Qualys et le scan authentifié avec clé SSH

Pourquoi un scan authentifié, ou « authenticated scan » en anglais, avec Qualys avec un clé ssh ? Un scan réseau Qualys est souvent trop limité en scannant uniquement les ports TCP/UDP pour construire une vue complète sur l’ensemble des vulnérabilités d’un serveur.

Entre les applications non exposées sur le réseau, les seveurs à multiples interfaces réseau, les services exposés partiellement (par exemple avec un filtre ip) ou les authentifications web de type SAML et openidconnect, il est difficile d’avoir une vue d’ensemble exhaustive sur les vulnérabilités présentes sur le serveur. Tout bon CISO ou expert en sécurité doit avoir une vue exhaustive afin d’être en mesure les risques et faire les bons choix.

qualys scan ssh Logo vulnérabilités

Le scanning authentifié SSH résout ce problème, encore faut-il pouvoir l’implémenter correctement. De nombreuses organisations se limitent à définir le même login et mot de passe sur chaque serveur et configurer l’accès dans la console Qualys. Bien que l’approche semble facile à mettre en place, on peut se poser des questions sur de telles pratiques.

Création d’un compte technique du scanneur de vulnérabilités Qualys SSH

Le compte SSH a besoin des droits « root » (ou « sudo » – « root equivalent ») afin de pouvoir réaliser un inventaire complet des vulnérabilités. Nous aurions aimé que Qualys publie une liste mise à jour des commandes requises. Cette approche permettrait de mettre en place une politique de « least privileges ». Nous évitons d’éventuels abus liés au compte technique utilisé par le scanner Qualys.

Qualys indique clairement sur son site qu’ils ne publient pas ces informations et qu’ils n’ont pas l’intention de le faire: « Customers should be strongly discouraged from placing granular controls around the Qualys service account because of the reasons stated above.« 

Stratégie de protection du compte SSH (qualys)

Afin d’éviter les abus d’utilisation du compte technique Qualys, nous recommandons la stratégie suivante

  • Authentication sur base d’une clé SSH et protégée par une passphrase
  • Procédure pour la génération de la clé SSH, la passphrase et l’import dans Qualys pour garantir l’intégrité de la clé et éviter de maldadroites copies (ou l’envoi de la clé par via un canal non insécurisé ou non approprié)
  • Forcer l’utilisation de la clé SSH pour le compte Qualys (et donc interdire l’utilisation d’un mot de passe). Dans certains cas, il se pourrait que le compte nécessite une clé SSH et un mot de passe, en fonction des règles existantes définies sur le serveur
  • Limiter les connexions à l’ip du serveur Qualys (souvent une ip fixe et whitelisté dans les firewalls)
  • Automatiser le déploiement sur les serveurs via le « configuration management tool » préféré (ansible, puppet, chef,..): création de l’utilisateur, déploiement de la clé publique, déploiement sudo

Déploiement sudo (compte qualys)

Nous recommandons la configuration suivante pour le fichier sudoers

sudoers file

# Cmnd alias specification
Cmnd_Alias SU=/bin/su
# User privilege specification
qualysuser ALL= NOPASSWD:SU

qualysuser désigne ici l’utilisateur technique Qualys utilisé par le scanner.

NOPASSWD signique que le compte n’a pas besoin de mot passe pour devenir « root equivalent ». Ceci est nécessaire si aucun mot de passe n’est configuré et que l’authentication est uniquement basée sur la clé SSH.

Limiter la source ip au scanner Qualys

Pour limiter l’ip source, nous configurons le filtrage suivant sur le fichier /home/qualysuser/.ssh/authorized_keys.

ssh file

from="<ip scanner>" ssh-rsa AAAAB3N....................U7= qualyuser@qualysscanner

Configuration /etc/ssh/sshd_config

Match User qualysuser   
PasswordAuthentication no
Match Address 1.2.3.4
PasswordAuthentication no

Conclusion

Nous avons vu comment il est possible de facilement déployer une configuration à grande échelle permettant à Qualys d’avoir une meilleure vue sur les vulnérabilités.

L’article porte sur Qualys mais la configuration est très probablement identique pour un produit concurrent comme Tenable Nessus.

Il est possible d’aller encore plus loin, par exemple:

  • Protéger la clé SSH dans un Vault
  • Intégrer les logs avec un SIEM pour détecter tout abus lié au compte
    • par exemple tentative de login depuis une autre ip,
    • ou une authentication via un mot de passe,
    • une authentication échouée..
  • Désactiver les comptes techniques sur les serveurs Linux lorsque le scanner n’est pas en fonction si les scans sont réalisés de manière sporadique
  • Mettre en place une procédure pour changer la clé SSH à interval régulier (par exemple annuellement). Du côté des machines Linux, il faut simplement modifier la clé publique, tâche assez facilement réalisable avec un configuration management tool.

Le test de pénétration informatique, le comprendre.

hands1

C’est le processus qui consiste à identifier les vulnérabilités de sécurité d’une application en évaluant le système ou le réseau à l’aide de diverses techniques malveillantes. Les points faibles d’un système sont exploités dans ce processus par le biais d’une attaque simulée autorisée.

“Le but de ce test est de sécuriser les données importantes des personnes extérieures comme les pirates informatiques qui peuvent avoir un accès non autorisé au système. Une fois que la vulnérabilité est identifiée, elle est utilisée pour exploiter le système afin d’accéder à des informations sensibles.”

Un test de pénétration est également connu sous le nom de « pentest » et un test de pénétration est également appelé « hacker éthique ».

Qu’est-ce que le test de pénétration ?

expertise

Nous pouvons découvrir les vulnérabilités d’un système informatique, d’une application web ou d’un réseau grâce à des tests de pénétration.

Un test de pénétration indique si les mesures défensives existantes employées sur le système sont suffisamment fortes pour empêcher toute violation de la sécurité. Les rapports des tests de pénétration suggèrent également les contre-mesures qui peuvent être prises pour réduire le risque de piratage du système.

  • Erreurs de conception et de développement : Il peut y avoir des défauts dans la conception du matériel et des logiciels. Ces bogues peuvent exposer vos données critiques à des risques.
  • Mauvaise configuration du système : Il s’agit d’une autre cause de vulnérabilité. Si le système est mal configuré, il peut introduire des failles par lesquelles les attaquants peuvent entrer dans le système et voler les informations.
  • Erreurs humaines : Des facteurs humains tels que l’élimination inappropriée de documents, le fait de laisser les documents sans surveillance, les erreurs de codage, les menaces d’initiés, le partage de mots de passe sur des sites de phishing, etc. peuvent entraîner des failles de sécurité.
  • Connectivité : Si le système est connecté à un réseau non sécurisé (connexions ouvertes), il est alors à la portée des pirates informatiques.
  • Complexité : La vulnérabilité de la sécurité augmente proportionnellement à la complexité d’un système. Plus un système possède de fonctionnalités, plus il a de chances d’être attaqué.
  • Mots de passe : Les mots de passe sont utilisés pour empêcher tout accès non autorisé. Ils doivent être suffisamment forts pour que personne ne puisse deviner votre mot de passe. Les mots de passe ne doivent être partagés avec personne à aucun prix et doivent être changés périodiquement. Malgré ces instructions, il arrive que des personnes révèlent leurs mots de passe à d’autres personnes, les écrivent quelque part et gardent des mots de passe faciles à deviner.
  • Saisie par l’utilisateur : Vous devez avoir entendu parler de l’injection SQL, des débordements de tampon, etc. Les données reçues électroniquement par ces méthodes peuvent être utilisées pour attaquer le système récepteur.
  • Gestion : La sécurité est difficile et coûteuse à gérer. Parfois, les organisations n’ont pas une bonne gestion des risques et la vulnérabilité est donc induite dans le système.
  • Manque de formation du personnel : Cela conduit à des erreurs humaines et à d’autres vulnérabilités.
  • Communication : Les canaux tels que les réseaux mobiles, l’internet, le téléphone ouvrent la voie au vol de sécurité.

Si le pentest est l’un des leviers permettant d’optimiser la sécurité d’un système informatique, il n’est pas une fin en soi. Il s’agit d’un outil efficace qui prend corps dans une démarche globale, impliquant l’ensemble des acteurs. Le pentesting doit être considéré comme un moment d’échange constructif entre les audités et les auditeurs.

Bien que le pentesting reste une étape clé dans le cycle de sécurité d’une application, de nouvelles techniques, plus en phase avec des cycles de développement de type « agile » ont le vent en poupe. Ces méthodes inclues le « security by design » (concept bien connu dans le GDPR) et permet dès le début de cycle de développement de détecter plus rapidement des failles, afin de les corriger au plus tôt.

GDPR et cyber sécurité

gdpr 3285252 960 720
GDPR et logo EU
Pixabay License Free for commercial use – No attribution required

C’est dans l’optique de protéger les citoyens européens de la divulgation de leurs informations personnelles qu’une loi a été instaurée par l’Union européenne : celle du GDPR en anglais (General Data Protection Regulation) ou RGPD en français (règlement général sur la protection des données). Elle établit un certain nombre de principes et de recommandations à suivre.

Le GDPR / RGPD : qu’est-ce que c’est ?

Le GDPR comme son nom l’indique est une loi en vigueur pour la protection des données personnelles des citoyens. Par données personnelles, nous faisons allusion à un ensemble d’informations qui indexent directement une personne (photos, vidéos, nom …). En effet, pour promouvoir leurs services et produits, de nombreuses entreprises utilisent sans autorisations les informations intimes de certaines personnes. D’où l’apport du GDPR qui  protège ces informations et sanctionne les auteurs de ses divulgations. Voilà pourquoi pour toute adhésion ou inscription d’ordre numérique, une autorisation est demandée afin de vous envoyer des mails ou autres types de documents.

Grâce au GDPR, aucun site web ne peut accéder à vos comptes personnels ou utiliser une de vos données sans votre accord. Cette législation sur la protection de données a été initiée en 2018 et est valable pour tous les pays de l’Union européenne. Son objectif est de limiter les violations de données personnelles et de faire valoir les droits des citoyens européens. Il est important de noter qu’en cas d’infraction, les amendes peuvent aller jusqu’à 2 millions d’euros en fonction de sa gravité. Quels sont ses principes ?

Quels sont les principes du GDPR/ RGPD ?

  • Le principe de consentement

Avant tout projet impliquant les données personnelles d’autrui, l’entreprise ou l’administrateur du site doit adresser une demande d’autorisation à ce dernier sans quoi il pourra être victime de poursuites. De plus, l’entreprise a le devoir de donner au citoyen plus de contrôle sur ses données intimes.

  • Le droit à l’effacement

Ayant donné son accord pour l’utilisation de ses informations privées, celui-ci a le droit de réclamer leurs suppressions en présentant des motifs valables à l’appui. En retour, l’administrateur du site a le devoir de les effacer dans de brefs délais.

  • Le droit à la portabilité des données privées

Selon le règlement, l’auteur des informations privées a le droit de recevoir sous une forme lisible et authentique les informations le concernant.

  • En cas de fuite de données

En cas de fuite de données, le règlement voudrait que l’autorité nationale de la protection en cas de violations de données soit informée par les administrateurs du site dans les brefs délais. Par ailleurs, en cas de piratage d’informations personnelles, l’auteur des informations doit immédiatement être contacté pour prévenir de potentiels risques.

  • Le principe de responsabilisation des entreprises et administrateurs de sites web

Comme son nom l’indique, ce principe a pour but de responsabiliser les entreprises sur les dangers liés à la manipulation des informations personnelles d’autrui et sur les sanctions qu’elles peuvent subir.

GDPR et cyber sécurité

Bien qu’une partie de la GDPR se concentre sur des aspects organisationnels et juridiques (mise à jour des contrats, privacy policy,..), la cyber sécurité joue un rôle clé afin de mettre les moyens nécessaires en œuvre pour protéger efficacement les données concernées. Ces aspects techniques passent souvent par les étapes suivantes:

  • Analyse de risques et/ou DPIA
  • Documentation des risques « risk management »
  • Exercices de scanning de vulnérabilités et pentests
  • Utilisation de solutions PAM (Privileged Access Management) afin de tracer précisément qui effectue quelle tâches sur les données
  • Détection d’incidents (EDR et solutions SIEM)
  • Encryption, anonymisation et pseudonymisation des données

Pentesting et tests d’intrusions à Bruxelles, en Belgique

computer 1591018 640

Qu’est-ce qu’un test d’intrusion (pentest) ?

Un test d’intrusion est une simulation d’attaque planifiée contre un environnement informatique afin d’y identifier des vulnérabilités potentielles.

Le pentesting a pour objectif de découvrir des vulnérabilités en utilisant des «pirates éthiques» et de les corriger avant que des pirates «blackhat» (= criminels) ne les trouvent et les exploitent.

L’activité de pentest, au sens large, peut viser plusieurs cibles:

  • Site Web (application Web): comme un site Web d’entreprise, une application ERP, une application RH, ..
  • Un app mobile (Android, IOS, ..)
  • Datacenters: appelée également une “analyse de vulnérabilités” – l’objectif est de scanner les serveurs du datacenter et d’y trouver des vulnérabilités
  • Partie infrastructure spécifique (comme infrastructure sans fil, environnement de téléphonie, ..)


Il existe d’autres types de services qui sont liées de manière générale à l’activité de test d’intrusion “pentest”:

  • Audit des règles de pare-feu: assurez-vous que les pare-feu sont bien configurés
  • Audit des serveurs: assurez-vous que les serveurs sont bien configurés
  • Audits basés sur ISO27001: regardez la sécurité en général, non seulement l’infrastructure (technique), mais aussi tous les processus (par exemple, vérifiez les antécédents lorsque quelqu’un est embauché, assurez-vous que les employés signalent les incidents, assurez-vous qu’il existe une solution pour bloquer le vol) smartphones ..)
  • Red teaming
  • Blue teaming (avec en autre de la relecture de code source « Secure code review »)


Quelles industries ou clients font-ils le plus souvent appel aux service de pentesting ?

Banques et organismes financiers

Les organismes financiers sont généralement fortement incités à réaliser des pentests en vue des
1) Politiques internes, polices de sécurité (ISMS)
2) Règlements et « compliance »
Les banques gèrent de l’argent. Ils sont fréquemment la cible de cyberattaques.
Les banques ont un environnement difficile; mélange d’anciennes et de nouvelles technologies
La plupart des banques tentent de tester tous les actifs critiques et toutes les applications accessibles depuis l’Internet.

Compagnie d’assurance

Les compagnies d’assurance font généralement des pentests de toutes les applications Internet.

Éditeurs de logiciels

Toutes les entreprises qui écrivent des logiciels planifient la plupart des temps un pentest annuel.

Nous travaillons avec des entreprises de toutes tailles: de gros éditeurs logiciels comme des plus petits acteurs où le développement logiciel représente une activité accessoire.
Cette activité a pour but d’améliorer la sécurité de leurs propres produits. De plus, c’est fréquent demandé par les clients (rapports annuels) ou comme exigence dans la réponse à des marchés publics ou privés (‘Tender »).

Sociétés sous-traitantes de groupes importants et de multinationales

Nous avons reçu des demandes de la part de sociétés comptables, d’armement, de traduction, d’agences publicitaires,… Toutes ces entreprises travaillent avec de grands acteurs (gros multinationales, des gouvernements). Ces grands acteurs obligent leurs partenaires à sécuriser leurs données.
En cas d’incident (par exemple « data leak » suite à des failles logicielles) de la part du sous-traitant en manipulant les données de ses clients, cela aura également un impact sur les données des grands acteurs.

De plus, dans le cadre du GDPR, une part de responsabilité est imputable au « controller ». Ce dernier doit donc veiller que son sous-traitant met en place des mesures de sécurité proportionnelles aux risques. L’activité de pentest et surtout le rapport du pentest joue un rôle important dans la protection « en bon père de famille » de l’environnement IT.

Encryption « at rest »

[:fr]

Le « chiffrement au repos » ou encryption at rest s’avère une mesure de sécurité demandée par de nombreuses entreprises lorsqu’il s’agit de protéger les données.

Encryption

Les motivations sont multiples:

  • Encryption des données (en particulier sur les laptops) via une solution de type « bitlocker » pour se protéger des pertes ou du vol de ces derniers et des données qu’ils contiennent: documents locaux, mails locaux, mots de passe stockés localement, certificats,..
  • Encryption des données des serveurs stockés en dehors de l’entreprise (par exemple chez des clients, datacenter décentralisés,..)
  • Compliance (par exemple PCI)
  • Contre mesure dans le cadre de la GDPR et le stockage de données personnelles

OFEP a été amené à implémenter plusieurs solutions:

  • Solution dans le cadre de l’utilisation du cloud AWS où la solution AWS KMS a été retenue. Cette solution permet d’encrypter les données en toute simplicité et s’intègre avec les services AWS (tels que EBS, S3, RDS,..).
  • Solution dans le cadre de datacenter on-prem où la solution Thales Vormetric a été retenue.

La suite de cet article est un retour d’expérience sur l’implémentation Vormetric VTE (« Vormetric Transparent Encryption »).

La solution VTE est basée sur l’utilisation d’un agent, déployée sur les serveurs (Windows ou Linux) et d’un console centrale pour gérer les agents, les règles et les clés d’encryption.

Cette solution permet d’encrypter des applications sans en modifier le contenu, ni le code, ce qui est un avantage non négligeable surtout pour des applications « off the shelf » où le code et le contenu de la base de données peuvent être difficilement modifiés.

La console centrale est disponible sous la forme d’une appliance physique ou d’une virtual appliance (image OVF pour VMware) et est certifiée FIPS.

La console Vormetric (DSM) permet de gérer les différents agents, de définir quels répertoires encryptés « Guarded Folders », de déterminer des polices d’accès aux « Guarded Folders » en fonction des noms des processus, des utilisateurs, du temps,..

En cas de violation de la police d’accès, Vormetric empêche et loggue l’accès. Ceci permet également de coupler les logs à un SIEM (via syslog) et d’intégrer les alarmes avec un SIEM / SoC.

La gestion des clés et le renouvellement des clés se fait également via la console Vormetric. L’agent permet également de ré-encrypter les données si la clé doit changer (par exemple dans le cadre d’une police de sécurité de rotation de clés annuelle).

Quels sont les avantages de Vormetric par rapport à une encryption au niveau du hardware ou des disques ? Cette question légitime apparaît régulièrement. Les avantages sont les suivants:

  • Protection des données via les polices de sécurité permet d’avoir des règles fines concernant les accès aux données (proces, users,..)
  • L’encryption au niveau des disques ou filesystem n’apporte que très peu de valeur ajoutée en cas d’un accès illégitime provenant de l’OS étant donné que le proces ou utilisateur verra la partition ou le filesystem monté (par exemple un malware sur un serveur)
  • Solution universelle pour l’encryption des bases de données (Postgresql, Oracle, Mongodb,..) – contrairement à TDE
  • L’encryption des disques ne correspond pas aux exigences de certaines politiques de sécurité d’entreprise ou de compliance

 

[:en]

Le « chiffrement au repos » ou encryption at rest s’avère une mesure de sécurité demandée par de nombreuses entreprises lorsqu’il s’agit de protéger les données.

799px Encryption illustration 20180112

Les motivations sont multiples:

  • Encryption des données (en particulier sur les laptops) via une solution de type « bitlocker » pour se protéger des pertes ou du vol de ces derniers et des données qu’ils contiennent: documents locaux, mails locaux, mots de passe stockés localement, certificats,..
  • Encryption des données des serveurs stockés en dehors de l’entreprise (par exemple chez des clients, datacenter décentralisés,..)
  • Compliance (par exemple PCI)
  • Contre mesure dans le cadre de la GDPR et le stockage de données personnelles

OFEP a été amené à implémenter plusieurs solutions:

  • Solution dans le cadre de l’utilisation du cloud AWS où la solution AWS KMS a été retenue. Cette solution permet d’encrypter les données en toute simplicité et s’intègre avec les services AWS (tels que EBS, S3, RDS,..).
  • Solution dans le cadre de datacenter on-prem où la solution Thales Vormetric a été retenue.

La suite de cet article est un retour d’expérience sur l’implémentation Vormetric VTE (« Vormetric Transparent Encryption »).

La solution VTE est basée sur l’utilisation d’un agent, déployée sur les serveurs (Windows ou Linux) et d’un console centrale pour gérer les agents, les règles et les clés d’encryption.

Cette solution permet d’encrypter des applications sans en modifier le contenu, ni le code, ce qui est un avantage non négligeable surtout pour des applications « off the shelf » où le code et le contenu de la base de données peuvent être difficilement modifiés.

La console centrale est disponible sous la forme d’une appliance physique ou d’une virtual appliance (image OVF pour VMware) et est certifiée FIPS.

La console Vormetric (DSM) permet de gérer les différents agents, de définir quels répertoires encryptés « Guarded Folders », de déterminer des polices d’accès aux « Guarded Folders » en fonction des noms des processus, des utilisateurs, du temps,..

En cas de violation de la police d’accès, Vormetric empêche et loggue l’accès. Ceci permet également de coupler les logs à un SIEM (via syslog) et d’intégrer les alarmes avec un SIEM / SoC.

La gestion des clés et le renouvellement des clés se fait également via la console Vormetric. L’agent permet également de ré-encrypter les données si la clé doit changer (par exemple dans le cadre d’une police de sécurité de rotation de clés annuelle).

Quels sont les avantages de Vormetric par rapport à une encryption au niveau du hardware ou des disques ? Cette question légitime apparaît régulièrement. Les avantages sont les suivants:

  • Protection des données via les polices de sécurité permet d’avoir des règles fines concernant les accès aux données (proces, users,..)
  • L’encryption au niveau des disques ou filesystem n’apporte que très peu de valeur ajoutée en cas d’un accès illégitime provenant de l’OS étant donné que le proces ou utilisateur verra la partition ou le filesystem monté (par exemple un malware sur un serveur)
  • Solution universelle pour l’encryption des bases de données (Postgresql, Oracle, Mongodb,..) – contrairement à TDE
  • L’encryption des disques ne correspond pas aux exigences de certaines politiques de sécurité d’entreprise ou de compliance

 

[:]

(Français) Fortinet – Fortigate et le port TCP/113 (ident)

[:fr]Par défaut, Fortigate ne répond pas aux paquets bloqués par une règle ‘deny’, à une exception près: le port TCP/113, service ident.

En scannant un firewall fortigate, on peut s’apercevoir que le scanning du port TCP/113 entraîne une réponse de type state ‘closed‘, ce qui signifie qu’un TCP-RST a été envoyé.

Fortinet Fortigate TCP/113

Tout porte à croire que le port est ouvert dans le firewall et qu’un serveur distant répond.

Après une recherche dans la documentation de Fortigate, on s’aperçoit qu’une option est activée par défaut pour répondre avec un TCP-RST aux requêtes sur le port TCP/113.

 

Pour désactiver cette fonctionnalité qui nous semble peu utile de nos jours, voici la commande à exécuter:

config system interface
                edit <interface> 
                set ident-accept enable
                next
                end

Remplacer <interface> par l’interface en question, par exemple wan1.

On refait le test:

Selection 008
Cette fois-ci le résultat est différent et TCP/113 n’apparait plus en ‘closed‘.[:]

(Français) La commission de la vie privée en Belgique et la création de site Internet

[:fr]

Création de site Internet et impact de la Loi vie privée

De nombreux documents font référence à la commission de la vie privée en Belgique et la fameuse Loi vie privée.
On entend souvent parler dans le milieu professionnel de l’informatique de telle ou telle obligation liée à la commission de la vie privée et à la Loi vie privée. Il est, dès lors, important de connaître les obligations et les critères de l’utilisation, du traitement et de la sécurisation des données à mettre en place dans le cadre du développement d’applications commerciales.

Des notions tels que « une donnée à caractère personnel », « une personne concernée, « un traitement des données » sont à assimiler afin de mieux comprendre les obligations instaurées par le législateur.

La commission de la vie privée dispose d’un site qui répond à un certain nombre de questions de manière très pragmatique.
On peut notamment y lire:

Les données à caractère personnel sont des données concernant une personne directement ou indirectement identifiée ou identifiable. C’est du moins la définition d’une donnée à caractère personnel selon la Loi vie privée. Cette loi prévoit une protection spécifique de ces données lorsqu’elles sont traitées.
Par données à caractère personnel, nous entendons notamment : le nom d’une personne, une photo, un numéro de téléphone (même un numéro de téléphone au travail), un code, un numéro de compte bancaire, une adresse e-mail, une empreinte digitale, …

Source

 

 

Nous pouvons en conclure que très rapidement une application est amenée à détenir et sauvegarder des données à caractère personnel. Il ne faut pas nécessairement détenir un numéro de registre national mais un nom, adresse postale et adresse-email suffisent à être considérés comme des données à caractère personnel. Ces données sont typiquement présentes dans n’importe quel formulaire d’enregistrement présents sur un site web et donc se retrouvent automatiquement dans la base de données de l’application.

….la Loi vie privée n’est pas d’application lorsque des données sont collectées qui ne seront utiles qu’à des fins purement personnelles ou domestiques. C’est par exemple le cas d’un agenda électronique personnel ou un fichier d’adresses privé. Par ailleurs, les journalistes, les écrivains et les artistes sont dispensés de certaines obligations dans le cadre de la liberté artistique et journalistique.

Mention importante mais le cadre personnel ou domestique n’est pas d’application dans le cadre d’une application commerciale (par exemple e-commerce, formulaire d’enregistrement de clients,..).

Un traitement de données commence par la collecte de données. Mais avant de procéder à la collecte des données, le responsable du traitement doit déclarer ce traitement auprès de la Commission vie privée. Toutes les informations relatives à la déclaration sont disponibles dans la rubrique « déclaration ».

La déclaration du traitement est obligatoire.

Le responsable du traitement ne peut pas:
* Dire qu’il poursuit un certain but alors qu’il vise d’autres finalités avec les données collectées
* Agir à l’insu de la personne concernée. Si cette dernière effectue par exemple une commande via un site web et qu’elle est donc dans l’obligation de communiquer ses données à caractère personnel, ce site Internet doit prévoir une rubrique qui vous informe de ce qu’il va advenir de vos données. Cette rubrique est généralement appelée ‘privacy policy’). Il est donc très important que la personne concernée lise préalablement cette rubrique

La rubrique « privacy policy » où l’on mentionne l’utilisation des données, que l’on retrouve sur des sites d’e-commerce est donc une obligation légale.

On ne peut collecter des données à caractère personnel que si elles sont nécessaires pour atteindre l’objectif annoncé et si elles peuvent être pertinentes. Ainsi, un commerçant peut demander le nom et l’adresse de ses clients pour leur envoyer des factures ou les informer de ses activités commerciales. Toutefois, il n’a aucune raison valable de demander la date de naissance ou la profession de ses clients.

La pertinence des données, voilà une notion importante qui est fondamentale pour déterminer quelle information peut être collectée.

Le responsable du traitement ne peut traiter les données à caractère personnel (c à d les collecter, les utiliser, les gérer, les communiquer) que s’il répond à une série de conditions. Il ne peut pas collecter et utiliser les données à caractère personnel sans indiquer dans quel objectif précis il le fait. Le responsable doit définir cet objectif dès le départ, ce qui détermine le traitement ultérieur des données.

Le responsable ne peut pas poursuivre n’importe quel objectif. Le site de la commission de la vie privée détaille des exemples concrets qui ne sont pas autorisés. Par exemple:
  • le club de fitness qui vend la liste de ses membres à une société qui propose des cures d’amaigrissement ;
  • l’ophtalmologue qui communique le nom de ses patients à une société spécialisée dans la vente de lentilles de contact (a titre de comparaison : il peut en revanche transmettre ses dossiers à un confrère dont il voudrait connaître l’avis).
  • ….
  • La constitution d’un fichier reprenant des personnes qui approchent des soixante ans en vue de leur envoyer, lors de leur soixantième anniversaire, de la documentation sur une assurance obsèques « parce qu’il est temps d’y penser », n’est pas une finalité légitime. Le préjudice subi par ces personnes dans ce cas est indubitablement plus grand que l’intérêt commercial de la personne qui constitue le fichier.

 

Il est donc très important de spécifier l’utilisation des données, d’informer les personnes concernées et de collecter leur consentement.

…Il est très important de savoir qui la Loi vie privée désigne en tant que  » responsable du traitement ». C’est en effet cette personne qui doit respecter quasiment toutes les obligations imposées par la loi vie privée. Si des difficultés se présentent, elle est donc responsable.
..
Une entreprise de surveillance peut recevoir une mission d’installation et de surveillance de caméras de surveillance de la part d’une chaîne de magasins. Attention : pour la Loi vie privée, le sous-traitant n’est pas la personne placée directement sous l’autorité d’un responsable du traitement et qui est donc mandatée pour traiter les données (comme p. ex. un employé d’une entreprise). Le sous-traitant est donc toujours une personne ou une instance externe.

 

Le responsable du traitement est donc « accountable » aux yeux de la loi et porte l’entière responsabilité que la Loi vie privée est correctement appliquée. Dans de nombreux case, une tâche est déléguée à un tiers: par exemple dans le cadre du développement d’une application web ou dans le cadre de l’installation de caméras de surveillance. Il est dès lors primordial d’être bien conseillé par ce tiers ou sous-traitant en question afin de respecter la législation en question et de ne pas se mettre en défaut pas rapport à la Loi vie privée.

Les informations sensibles

Les données visées sont : les données relatives à la race, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, à la santé, à la vie sexuelle, à des suspicions, des poursuites ou des condamnations pénales ou administratives. Des données interdites… Il est en principe interdit de collecter, d’enregistrer ou de demander communication de données telles que celles énumérées ci-dessus..

A quelques exception près (voir ce document p16), la législation est très claire sur les informations dites « sensibles ».

Veiller à la confidentialité des données

Le responsable du traitement doit veiller à ce que les personnes travaillant sous son autorité n’aient accès et ne puissent utiliser que les données dont elles ont besoin pour exercer leurs fonctions. Il n’est pas question de permettre aux membres du personnel d’avoir accès à des données qui ne leur sont pas nécessaires.

Veiller à la sécurité des données

Il est important de protéger les données contre une curiosité malsaine venant de l’intérieur ou de l’extérieur ou contre des manipulations non autorisées. Les risques de fuites et d’atteintes à l’intégrité des données sont trop réels de nos jours. Ces atteintes peuvent être accidentelles ou malintentionnées. Il est essentiel de prendre des mesures de sécurité pour protéger les données.

Plus les données en cause sont sensibles et les risques pour la personne concernée grands, plus importantes seront les précautions à prendre

Des moyens techniques et non techniques sont à mettre en œuvre de manière obligatoire pour protéger les données. Un accès contrôlée à l’information, de l’encryption pour sécuriser le transport de l’information, des audit logs, des backups,.. font partie des nombreuses précautions et mesures à mettre en place pour sécuriser les données.

Transfert de données vers l’étranger

Les transferts de données personnelles entre pays membres de l’Union européenne sont désormais libres.

Contrairement à ce que l’on peut parfois lire, le transfert des données au sein de L’union européenne est libre et ne nécessite aucune autorisation supplémentaire.

 

 

[:en]

[:]

Backup du synology avec Crashplan

Crashplan offre une solution de backup de vos fichiers dans le cloud à très bas coût et avec une possibilité de rétention très élevée.

Synology permet par défaut de faire de la synchronisation vers Hubic (ovh). Cette solution n’est pas un backup, c’est une synchronisation unidirectionnelle ou bi-directionnelle. Il n’est entre autre pas possible de restaurer une ancienne version d’un fichier comme ça le serait possible dans une solution de backup.

Synology offre également par défaut une possibilité de backup vers AWS Glacier. AWS Glacier offre une solution à partir de 0,007$/GB par mois. Cette solution peut s’avérer utile pour le backup de vos données.

Si l’on utilise déjà Crashplan, alors il est intéressant de configurer el synology pour le backup des données.

Malheureusement, il n’y a pas de solution par défaut et ceci demande quelques actions manuelles.

Voir le lien ici pour les screenshots.

  1. Ajouter un nouveau repo dans le package center: http://packages.pcloadletter.co.uk
  2. Installation de Java (Crashplan est une application Java, il faut donc installer la JVM
  3. Télécharger la version de Java sur le site d’oracle et l’uploader sur le synology (pour des questions de licences et droit, Oracle oblige le téléchargement via le site web, celui-ci ne peut être automatiser)
  4. Installer CrashPlan
  5. Crashplan sur synology ne permet pas d’être administré via une interface web. L’astuce est donc d’installer Crashplan sur un pc (Win/Mac/Linux) et de le faire pointer vers le Synology
  6. Pour l’installation sous Linux, après avoir télécharger et décompresser le fichier, il faut l’installer en utilisant la commande bash crashplan-install/install.sh
  7. Cette première partie du tutorial est disponible un peu partout sur Internet. Par contre la partie ci-dessous est une nouvelle manipulation a exécuter pour les versions récentes de Synology et la lecture de cet article va vous faire gagner du temps:
    Se connecter en admin (ssh) sur le synology et exécuter la commande: cat /var/lib/crashplan/.ui_info ; echo
    Le résultat de cette commande doit être copier/coller dans le fichier .ui_info (~/.crashplan/.ui_info sous Linux et C:\ProgramData\CrashPlan\.ui_info sous Windows) sur votre pc (à adapter en fonction de l’os). Le dernier champ doit contenir l’adresse IP du Synology (par exemple 10.2.6.1).
    4243,a9f5107b-666f-xxxx-xxxx-6844b2d0439e,10.2.6.1
  8. Editer le fichier crashplan/conf/ui.properties
    Insérer 2 lignes (le port et l’ip du synology):
    servicePort=4243
    ServiceHost=10.2.6.1
  9. Démarrer Crashplan sur le pc et vous voilà prêt pour le backup du contenu du synology! Dans la partie « Files » vous devriez voir les fichiers du Synology et non le disque local.

Il est à noter que cette configuration fonctionne si votre synology et pc’s sont sur le même LAN ou bien également en utilisant un VPN (par exemple la fonctionnalité OpenVPN du synology).

Attention, cette méthode n’est aucunement officiellement supportée et il est très déconseillé de l’utiliser dans un environnement professionnel. De plus, comme toute solution de backup, il est nécessaire de tester régulièrement le restore depuis un autre poste pour s’assurer du fonctionnement.

Enfin, Crashplan permet d’encrypter les backups des fichiers avec l’aide d’une clé. Pensez à activer cette fonctionnalité et à stocker la clé de manière sécurisée et redondante.

 

Ransomware et l’impact en entreprises

ransomware

Depuis le début de l’année, une très forte hausse de malware de type « ransomware » sévissent sur Internet.

Le modus operandi est souvent le même:
– Un fichier est envoyé par email (comme fichier attaché) et se présente comme une facture non payée, ou bien comme un document important à ouvrir (lettre de rappel), document d’un transporteur, annulation d’un paiement ecommerce,..

– Un lien est envoyé par email vers un document à télécharger sur Internet sur un site quelconque ou bien même sur google doc, dropbox,…

Une fois que la victime ouvre le soi-disant document, l’ordinateur commence à encrypter des fichiers situés sur l’ensemble des disques connectés (locaux ou réseaux « mapped drive »).

Ceci cible donc le disque ou SSD local, mais aussi les disques USB, les clés USB, les shared réseaux partagés (NAS ou serveurs de fichiers).

Les fichiers encryptés (sur base d’encryption asymétrique) gardent la plupart du temps le même nom mais l’extension finale est aléatoire.

Une fois l’ensemble des fichiers encryptés, une clé de registre est rajoutée et lorsque l’utilisateur tente d’ouvrir un fichier, celui-ci voit un message apparaître dans son navigateur et l’invitant à payer une rançon s’il veut récupérer ses fichiers (souvent en bitcoins et via le réseau TOR).

La seule alternative est souvent de restaurer un ancien backup, ce qui n’est pas sans impact pour l’utilisateur: perte de données (delta avec le dernier backup s’il existe), perte de temps importante, impact sur la clientèle possible, impact sur l’ensemble des collègues (si un shared network drive est encrypté).

A l’avenir, force est de penser que les ransomwares seront de plus en plus difficiles à détecter (de nombreuses versions d’un même ransomware, par exemple Cryptolocker vise à déjouer les signatures Antivirus). De plus, si un ransomware est couplé à worms ou développer une technique pour se propager rapidement, on pourrait être confronté à une catastrophe où l’ensemble du parc est infecté et où tous les fichiers de chaque poste sont encryptés.

Afin de se protéger contre ces infections, nous proposons les mesures suivantes:

  • Renforcer le contrôle sur les emails et les règles concernant les fichiers attachés
  • Établir des règles strictes concernant l’accès aux emails privés sur le lieu de travail et avec l’équipement professionel
  • Mettre en garde et sensibiliser les utilisateurs (une personne avertie en vaut 2 et le point faible est souvent entre la chaise et le clavier) via une campagne de prévention (security awarness)
  • Mettre à jour le moteur de l’antivirus (pas seulement les bases de données). De nombreux patches sont disponibles chez fournisseurs antivirus pour lutter contre le fléau des ransomwares
  • Vérifier les droits utilisateurs (ACL) sur les NAS et serveurs de fichiers. Il est anormal qu’une personne ait accès en écriture sur l’ensemble des répertoires. Le « least-privilege » doit être appliqué pour limiter l’ampleur d’un infection
  • Renforcer le contrôle sur l’accès Internet (filtrage de sites et de fichiers sur base du MIME type)
  • Mise en place de GPO pour bloquer l’exécution de certains types de fichiers dans les dossiers temporaires du navigateur ou de Windows
  • Mise en place d’une détection avancée avec le SIEM

L’application des ces mesures vous permettra de mettre en place des moyens préventifs.

DDoS sur le Playstation network

Le 24/08/2014, le PSN (Playstation network) victime d’une attaque DDOS. Il s’agit d’un attaque de déni de service qui viser à saturer un service en le surchargeant de requêtes. Le service devient donc indisponible due à la surcharge de trafic et de requêtes. Aucune donnée sensible (mots de passe, données bancaires) ne peut être accédée dans le cadre d’une attaque DDoS.

security-blue

Cette attaque est revendiquée sur Twitter par un groupe de hackers nommé « LizardSquad ».

D’après la presse américaine, ce groupe n’en est pas à son coup d’essai car il a déjà rendu indisponible d’autres services de jeux en ligne tels que Blizzard, League of Legend. Le service Xbox Live a également été attaqué cette nuit mais le service n’a été impacté que très partiellement et surtout aux États-Unis.

Ce groupe de hackers semble s’acharner contre Sony. Ce groupe a évoqué la présence d’une bombe dans l’avion du président de Sony Online. Le vol a été dévié pour des raisons de sécurité et les baages ont été vérifié. Il s’agissait d’une fausse alerte dans le but de faire atterrir l’avion et de faire parler de ce groupe. Le FBI a démarré un enquête contre ce groupe.

Le réseau Playstation network avait déjà été attaqué en 2011 mais à cette époque l’attaque avait été différente et des données de profils d’utilisateurs avaient pu être extraites.

Ces attaques font la plupart du temps appel à des centaines de milliers, voir des millions d’ordinateurs à travers le monde. Ces ordinateurs appartiennent souvent à des privés et sont infectés par des virus visant à rendre l’ordinateur esclave ou « zombie » d’un réseau.

La personne qui contrôle ce réseau d’ordinateurs zombie peut alors lancer des attaques DDOS, envoyer de grosses quantités de spams, miner des bitcoins ou effectuer d’autres activités illégales.

Ces attaques sont difficiles à contrer car étant distribuées car le principe même est de diminuer les possibilités de stopper l’attaque par leur caractère distribué. Bloquer l’adresse de quelques pc’s attaquant n’empêche pas les autres pc’s de continuer d’envoyer du trafic.

Selon les types de services et d’attaque, il est possible de mettre en place un ensemble de serveurs tampon qui permet de filtrer le trafic malveillant et du trafic légitime.