11/02/2017

GDPR : quel est le risque d'amende ?

La date d'application de mai 2018 approchant, tout le monde parle du Règlement Général sur la Protection des Données (GDPR).

Beaucoup de flous subsistent selon moi sur les attendus (notamment les mesures techniques et organisationnelles appropriées) et sur le risque d'amende.

A la lecture du texte, le risque d'amende est pourtant très clair : le responsable des traitements (la société) qui n'a pas mis en oeuvre les mesures appropriées et/ou qui ne permet pas aux citoyens d'exercer leurs droits (droits à la rectification, à l'oubli...) pourra recevoir une amende administrative allant jusqu'à 20 millions d'euros ou 4% de son chiffre d'affaire -  et là le point important -  "la valeur la plus élevée étant retenue".

Cela signifie donc que pour un grand groupe européen, c'est la somme des chiffres d'affaire de ses entités qui sera utilisée comme base de calcul pour l'amende.

L'amende est donc calculée pour être dissuasive et pour que le coût de mise de conformité soit bien plus faible (même si important) à l'égard de l'amende.

Cependant, il est fort probable que les organes de contrôle n'appliqueront pas une telle amende sans être passés par plusieurs alertes ! De surcroît, est-ce que des recours pourront être lancés au tribunal administratif ? Qui aura l'autorité pour exiger de telles amendes ? Que se passera-t-il si une société ne paye pas son amende ? 

Il est fort à parier que des belles batailles auront lieu !

Analyse des attaques APT28 et APT29

Le département américain Homeland Security vient de publier un document expliquant les différentes méthodes d'attaques utilisées par les groupes de pirates russes (APT28, APT29) en amont des élections américaines.


Ce document est très bien détaillé et explique que ces groupes ont réellement suivi une approche structurée pour mener leurs intrusions.

On y découvre également les méthodes d'attaques utilisées, toute la panoplie y est ! Spear-phishing, watering hole, SQL injection, XSS, malwares, backdoor powershell, webshell...

On découvre que : 

- l'une des méthodes était d'insérer les malwares au sein de d'executable légitime : des logiciels piratés disponibles sur les réseaux de téléchargement torrents. 

- Les canaux de command&control pointaient parfois sur des IP TOR.

- Les groupes APT28/APT29 utilisaient des infrastructures publiques (TOR, mais également des serveurs web légitimes mais piratés) pour cacher leur origine. C'est ce qui est représenté comme "Neutral Space" dans le schéma ci-dessous tiré du document.

- Que la technique dite du "watering hole" était largement utilisé ("le point d'eau où les victimes viennent boire de l'eau empoisonnée"). Il s'agit de construire un site ressemblant à un site légitime (images, style) avec un nom de domaine ressemblant (typo-squatting) et d'attendre que les victimes tombent dessus par erreur et y saisissent leurs mots de passe. Il est possible d'aider les victimes à tomber sur ce point d'eau en les incitant via des emails bien formulés. Les logins et les mots de passe ainsi volés, étaient alors réutilisés pour s'introduire dans les systèmes cibles. Le groupe APT28 semble être les spécialistes de cette technique simple, mais efficace sur le long terme.





La question que je me pose ici : pourquoi le département américain choisit de publier ces informations en pointant clairement du doigt les services de renseignement russes ? Nous sommes clairement dans une guerre froide digitale, où la communication devient une arme.

13/10/2016

Vague d'attaques Magento !

Magento vient de sortir en urgence un correctif de sécurité.

Ce correctif SUPEE-8788 corrige une faille permettant de prendre le contrôle du compte Admin de Magento et une faille permettant d'accéder à l'ensemble de la base de données avec une injection SQL causé par une faille dans le framework Zend sous-jaçent.

Un grand nombre de sites web Magento aurait déjà été compromis par des pirates ayant découvert cette faille en 0-days. Les pirates auraient modifiés les fonctions de paiement pour voler discrètement les cartes de crédit passant par là.

Le lien vers l'annonce officielle :

https://community.magento.com/t5/News-Announcements/New-Magento-1-x-and-2-x-Releases-Provide-Critical-Security-and/m-p/50404?_ga=1.154441840.9535913.1476378479#M102

12/10/2016

La CNIL anglaise donne une amende record à TalkTalk

La CNIL anglaise (ICO) réclame une amende de 400.000 livres à la société TalkTalk pour ne pas avoir protégé les données de ses clients.


L'histoire est longue, mais TalkTalk n'a délibérément pas corrigée et mis en place les protections nécessaires sur sa base de données.

Cette négligence avait permis à un hacker de voler la base des données personnelles de plus de 150.000 clients. Avec le nouveau règlement européen (GDPR), l'amende pour une telle négligence est de 4% du chiffre d'affaire de la société. 

Les directions générales vont commencer à prendre la sécurité informatique plus au sérieux. 

https://ico.org.uk/about-the-ico/news-and-events/news-and-blogs/2016/10/talktalk-gets-record-400-000-fine-for-failing-to-prevent-october-2015-attack/ 

https://www.theguardian.com/business/2016/oct/05/talktalk-hit-with-record-400k-fine-over-cyber-attack

27/06/2016

Vidéo d'un skimmer intégré

Inutile de regarder le distributeur sous toutes ses coutures, vous ne distinguerez pas ce skimmer !
Un skimmer est un appareil espion, caché dans un distributeur de billets et qui a pour objectif de copier la piste magnétique de votre CB.

11/04/2016

Protection des données personnelles : draft du règlement européen

Le draft en anglais et en français du règlement européen concernant la protection des données personnelles des citoyens est sorti.

Il est disponible sur le site de la CNIL.


Il s'agit de la version du texte du 7 avril 2016 revue par les juristes linguistes. Les textes finaux seront formellement adoptés par le Parlement européen et le Conseil courant avril 2016.

Le document est conséquent, mais rassurant dans le sens où il ne cherche pas à interdire le traitement des données, mais plus de poser les bases de la confiance pour les citoyens, dans la perspective d'une économie numérique forte.

Ce règlement est  la version 2 du texte fondateur 95/46/CE, mais 20 ans après.

2 extraits pour comprendre le sens du texte :

Si elle demeure satisfaisante en ce qui concerne ses objectifs et ses principes, la directive 95/46/CE n'a pas permis d'éviter une fragmentation de la mise en œuvre de la protection des données dans l'Union, une insécurité juridique ou le sentiment, largement répandu dans le public, que des risques importants pour la protection des personnes physiques subsistent, en particulier en ce qui concerne l'environnement en ligne.

Les technologies ont transformé à la fois l'économie et les rapports sociaux, et elles devraient encore faciliter le libre flux des données à caractère personnel au sein de l'Union et leur transfert vers des pays tiers et à des organisations internationales, tout en assurant un niveau élevé de protection des données à caractère personnel.

21/12/2015

Deadline SSL pour PCI DSS

La fameuse deadline au 30 juin 2016 qui a fait couler de l'encre ensanglantée dans les emails des QSA est finalement repoussée au 30 juin 2018.

Le PCI SSC a cédé face à la réalité ! Nous revenons enfin vers un peu de pragmatisme.





18/11/2015

Eviter l'échec d'un projet PCI DSS

Lorsque je présente les contraintes PCI DSS, je constate souvent réside que le client ne lit pas le standard et base ses actions sur des informations erronées.

Ces ont-dit sont diffusés par les vendeurs de logiciel/boitiers, admins, blogs, consultants, détracteurs du standard et même parfois par des QSAs qui imposent plus que le standard n'impose !

Je recommande au client de toujours se reporter au texte original pour discuter avec son QSA et ses collaborateurs sur des bases solides. La lecture détaillée du texte est l'un des moyens pour éviter l'échec d'un projet PCI DSS.

Je propose ici un petit exercice de lecture concernant le fameux patch-management :

Texte extrait du document PCI DSS 3.1 publié par le PCI SSC (Avril 2015) : Exigences 6.1 et 6.2

Applicable critical vendor-supplied security patches are installed within one month of release.

All applicable vendor-supplied security patches are installed within an appropriate time frame (for example, within three months).

Prioritizing patches for critical infrastructure ensures that high-priority systems and devices are protected from vulnerabilities as soon as possible after a patch is released. 

Note: Critical security patches should be identified according to the risk ranking process defined in Requirement 6.1.  Methods for evaluating vulnerabilities and assigning risk ratings will vary based on an organization’s environment and risk assessment strategy. 

Plusieurs mots me semblent très importants :

  • applicable : il s'agit donc des patchs pour des composants installés sur le système du CDE.
  • security patches : il s'agit des patchs de sécurité, ceux qui corrigent une faille, et non de tous les patchs et mises à jour diverses.
  • appropriate time frame : le client peut donc ici définir la période qui lui semble appropriée pour installer le patch.
  • as soon as possible after a patch is released : ASAP ne veut pas dire immédiatement.
  • for example : un exemple reste un exemple.
  • will vary based on an organization : la méthode de ré-évaluation de la criticité d'un patch varie donc entre les entreprises.

J'espère que cet exercice donnera l'envie d'adopter le reflex de lecture du standard.

12/11/2015

Fin du Safe Harbor ?

Qu'est-ce que le Safe Harbor ?

Le 6 octobre dernier, la Cour de justice européenne (CJUE) a invalidé l’accord « Safe Harbor » créé en 2002. Plus précisément, le G29 (pour groupe de l'article 29) donne une deadline du 31 janvier 2016 pour trouver une solution, sans quoi des mesures seront prises ! (le dernier exemple que j’ai en mémoire, une amende de 150.000€ à Google, ils ont dû tousser du côté de l’infinite loop).

Cet accord « Safe Harbor » permettait d’élargir la directive 95/46/CE de 1995 interdisant le transfert de données personnelles de citoyens européens en dehors de la zone Europe (la version européenne de la loi informatique et Liberté de 1978 : finalités du traitement explicites et légitimes, droit de rectification/suppression).


Le principe de cet élargissement était qu'une entreprise américaine pouvait réaliser des traitements de données personnelles de citoyens européens dans la mesure où elle offrait des garanties de sécurité au moins équivalentes à celles prises en Europe. On parle ici des Google, Facebook, Dropbox et autres SalesForce, Microsoft 365, etc.


Le principe était donc une sorte de bulle de confiance en dehors du sol européen : la fameuse "safe harbor". 


Pourquoi faire sauter cette directive ?

Tout a commencé en 2011 quand un jeune activiste Autrichien, Maximilian Schrems, a demandé Facebook de lui rendre ses données personnelles.
Maximilian Schrems


Depuis les révélations de Edward Snowden sur surveillance de la NSA au sein des entreprises américaines, ces précautions ne sont plus considérées comme suffisantes.

Edward Snowden

Fun facts !

Pour obtenir une certification Safe Harbor, une entreprise américaine peut s'auto-auditer.

On peut voir partout référence aux termes « garanties de sécurité appropriées » , « mesures de sécurité appropriées », sans que personne ne se mouille en rédigeant un standard concret, comme peut l’être le PCI DSS. FaceBook a d’ailleurs demandé à l’Europe d’être explicite sur les mesures souhaitées.

Conséquences de cette décision ?

Les conséquences sont très floues pour le moment. Voici quelques points:

Chaque pays doit dorénavant négocier avec les États-Unis en direct, sans de protéger derrière le safe harbor : en France, la CNIL reprend la main.

La CNIL indique dans un communiqué du 16 octobre 2015 que les applications américaines peuvent encore être utilisées les citoyens et les entreprises européenes jusqu'à la deadline.

Le simple fait d'utiliser un datacenter en Europe ne suffit pas à une entreprise américaine à respecter les exigences européennes (puisque les données peuvent être consultées (ou transférées) depuis les USA.

Dans le cadre d'une relation B2B (ex: SalesForce), l'entreprise européenne et l'entreprise américaine peuvent signer un accord appelé Binding Corporate Rules sur l'utilisation des données, ce qui constitue une alternative au Safe Harbor.

Dans le cadre d'une relation B2C (ex: Facebook), il n'y a pas de solutions pour le moment. Mais il fort à parier que cela se solde avec une énième mise à jour des conditions d'utilisation de Facebook.

Cette décision m'apparaît comme un excès de zèle européen face à la domination des entreprises américaines. Même si le fond du sujet est tout à fait juste, l’Europe et les lois en générales sont complètement dépassées face aux échanges sur Internet, aux surveillances des états et aux pirates. 


14/10/2015

Une clé USB peut détruire un ordinateur !

Un hacker russe, nommé Dark Purple, a démontré qu'une clé USB pouvait littéralement cramer la carte mère d'un ordinateur en quelques secondes.
Cette clé (USB Killer version 2.0) va générer une surtension de 220 Volts sur la carte, qui ne peut pas résister. 
A priori, le disque dur n'est pas détruit (ouf !).
La démo en vidéo :

13/10/2015

Data privacy en Europe ? Une introduction

Le sujet de la protection des données personnelles dépasse les frontières françaises (frontières essentiellement tenues par la CNIL).

La commission européenne se place évidement du côté du citoyen :  organisations which collect and manage your personal information must protect it from misuse and must respect certain rights of the data owners which are guaranteed by EU law

La commission publie également une étude montrant l'interêt porté par les citoyens sur le contrôle qu'ils peuvent avoir sur leurs données personnelles conservées par des tiers : une majorité écrasante se sent totalement impuissante face à la collecte de ses données sur Internet.

Pour expliquer l'enjeu,  la commission publie cette vidéo :



Le sujet est important. Tout le monde se pose des questions, des mythes circulent, les RSSI ont peur de mal faire, mais aucun standard clair n'est publié.

Beaucoup de questions sont selon moi en suspens :

Les marchands e-commerce et surtout les agrégateurs de données personnelles (notamment les fournisseurs de Display Advertising, les plateformes de RTB) peuvent-ils conserver les IP, les emails, les noms ? 

Si oui, quelles sont les protections attendues ?

Quels sont les moyens coercitifs ?

Quid des cookies ?

Quid des identifieurs de navigateurs ? (Google Ad ID pour Chrome)

Quid des identifieurs stables ? (authentification SSO Google, FaceBook....)

Quid des identifieurs statistiques ? (IPv4 + browser) ?

L'arrivée de IPv6 ne permettrait-elle pas de pister encore mieux les personnes par leur adresse IP statique ?




07/10/2015

Tests d'Intrusion Redteam : l'équipe XMCO en force dans le MISC hors-serie


Ce n'est pas un, ni deux, mais bien trois articles - signés par des membres de l'équipe d'intrusion XMCO - que vous pouvez lire dans le MISC Hors-Série n°12 spécial "Tests d'intrusion Redteam".


L'ensemble de ce super hors-série est publié sous la main de Renaud Feil de SynackTiv.

Un must read !


ps : Oui, j'avoue, j'ai écrit un article ;-)

18/08/2015

Les hackers s'attaquent aux voitures (Uconnect vulnerability)

Le groupe Fiat Chrysler Automobiles (FCA) déclare que son ordinateur de bord Uconnect souffre d'une vulnérabilité.


Cette vulnérabilité permettait à un pirate de prendre le contrôle du véhicule à distance !

L'attaque nécessite un accès 3G au réseau mobile de l'opérateur Sprint (réseau utilisé par l'ordinateur de bord pour communiquer avec le central Fiat Chrysler). L'opérateur a immédiatement bloqué l'utilisation du port TCP/IP incriminé.

Fiat Chrysler a déjà lancé un rappel de certaines de ses voitures :

  • Pickup RAM
  • Dodge Viper
  • Jeep Cherokee
  • Chrysler 300s
  • Dodge Charger


Nous entrons cette année dans une nouvelle ère, où les véhicules seront la cible des piratages, cela fait froid dans le dos.

17/06/2015

DRIDEX : la cyber-attaque qui mitraille l'Internet

Depuis plusieurs semaines, le monde entier essuie une gigantesque attaque de phishing.

Le phishing consiste à envoyer des emails avec des pièces jointes contenant un virus ou une backdoor.

Les attaquants s'améliorent et savent maintenant rédiger des emails dans toutes les langues et avec des accroches plutôt crédibles.



Il ne s'agit pas ici de "spear-phishing", car les emails ne sont pas ciblés contre ma personne et restent génériques.

Voici le dernier que j'ai reçu ce matin (j'ai reçois 3 ou 5 par jour !) :

Une facture d'un soi-disant fournisseur de backup
Notez que les pirates utilisent des centaines de modèle de mail différents. A chaque fois, le commun dénominateur est un fichier Word à ouvrir avec une facture, une remise, bref, un truc qui attire l'attention ou l'étonnement.

Le scénario est suffisamment plausible pour que les victimes ouvrent la pièce jointe (la fameuse facture au format Word).

Mais pourquoi l'antivirus ne détecte pas ce virus ? J'ai passé le Word dans VirusTotal et aucun résultat ! En fait, le Word ne contient pas de virus ! Il contient un document avec une macro Visual-Basic. Les attaquants reviennent aux basics ! Cette macro joue le rôle de "downloader" et va télécharger la vraie charge utile : un malware nommé DRIDEX.

Ce malware est relativement discret, il ne s'agit pas d'un ransomware, il s'agit d'un banker.

Son but : capter vos mots de passe bancaires et numéros de carte de crédit, et envoyer le tout sur des serveurs en Russie.

Nous sommes ici face à un véritable mitraillage de l'Internet, des millions d'utilisateurs sont déjà infectés.

Dridex est une évolution du malware Cridex et du botnet Zeus.

Un bon nettoyage de carte-mère s'impose ;-)




La cyber-surveillance XMCO : l'AWACS de la cyber-guerre

Une fois n'est pas coutume, je vous présente un service de ma société. Je ne parle jamais de nos offres ici, mais ce service est tellement utile aux entreprises qui souhaitent se protéger des cyber-attaques que je me suis dit qu'il fallait en parler.

La cyber-surveillance est l'AWACS de la cyber-guerre

Ce service est sans équivalent, il est donc difficile de le comparer à d'autres offres pour le décrire. Les termes cyber-surveillance ou threat intelligence sont tellement génériques, qu'ils ne suffisent pas.

Il faut dire que je suis agacé de voir des grandes entreprises proposer des services de centralisation de logs en appelant cela de la "cyber-surveillance". Ces sociétés collectent des téra-octets de vos logs et le font analyser par des ingénieurs débutants, qui ne maîtrisent pas votre contexte et qui ne font que vous faire statistiques d'attaque sous couvert de la sacro-sainte "corrélation des logs" ! 

Je vous parle ici d'un service réellement utile pour anticiper les attaques et réagir avant que le mal ne soit fait : il s'agit du service de Cyber-Surveillance XMCO.

Ce n'est pas un service comme Cybelangel qui se focalise sur les bruits de couloir du DarkWeb ou un service de type CERT qui fournit les bulletins de patch de sécurité. Ce service est une surveillance permanente de votre exposition sur Internet, à la manière d'un pirate qui attendrait l'ouverture d'une brèche ou d'une fuite d'information pour commencer son attaque.

Nous avons mélangé des techniques de tests d'intrusion en phase de "information gathering", d'audit redteam, de scans et de surveillance de fuite d'informations.

- Par exemple, la cyber-surveillance détectera si la Direction Communication a mis en ligne (sur un hébergeur type OVH) un nouveau site web (disons avec un WordPress vulnérable) fait par une web agency, sans que cela n'ait été validé par la sécurité...

- Le service détectera si votre prestataire de développement publie - par maladresse - du code source sur des sites de partages ou encore l'apparition d'une interface back-office qui se retrouve par erreur sur Internet, avec un mot de passe par défaut.

- Le service vous alertera également si des pirates se vantent sur des forums spécialisés d'avoir trouvé une faille sur l'un de vos sites.

Nous avons plus de 50 axes de surveillance divers, que je ne peux citer, il s'agit de véritables secrets de fabrication ;-)

Le service de Cyber-Surveillance XMCO est issu de plusieurs années de développement et de plus de temps d'expérience en intrusion. Le logiciel remonte les alertes, mais celles-ci sont ensuite analysées par un cyber-analyste qui éclaire le problème remonté dans votre contexte et dans le paysage cyber-sécurité du moment.

Le cocktail parfait entre un logiciel qui travaille non-stop et un expert sécurité.
Ce service est tellement pertinent que la phrase que j'entends le plus actuellement c'est "mais comment on faisait avant ?" ou encore "mais pourquoi ces choses n'ont jamais été détectées par les différents audits que l'on a faits ?". La réponse est simple : le service de cyber-surveillance XMCO travaille sur un spectre plus large qu'un périmètre d'audit, il travaille comme les pirates.

Bref, venez le tester, nous en sommes très fiers !