DR
Sécurité : Des milliers d'attaques contre des sites Internet et déjà le qualificatif de "cyberguerre" ressurgit. Il convient plutôt de parler de « cyber-vandalisme ».
Mais l'effet psychologique est là, en dépit de moyens techniques faibles et d'attaques non sophistiquées, observe Loïc Guézo de Trend Micro.
D'abord il y a eu #OpCharlieHebdo, la réponse d'internautes se revendiquant d'Anonymous et promettant de cibler des sites affiliés ou soupçonnés d'appartenir à la mouvance islamiste et radicale.
Puis, la riposte est intervenue au travers de l'opération #OpFrance, émanant cette fois d'attaquants prônant la défense de l'Islam et ciblant les institutions françaises.
Ce sont en tout plus de 1.000 sites Internet qui auraient été attaqués ces derniers jours.
Le 14 janvier 2015, l'Anssi, l'agence de sécurité de l'Etat, a confirmé "un accroissement significatif" des attaques et mis en ligne des fiches destinées à informer les administrateurs de sites, notamment sur les bonnes pratiques de sécurité à mettre en place.
Pas une cyberguerre, mais du cyber-vandalisme
Pas d'affolement cependant ni de branle-bas de combat. Et cela tranche nettement alors que se multiplient, notamment dans la presse, les références à une cyberguerre.
Mais pour Loïc Guézo, expert en sécurité chez Trend Micro, ces attaques "ne relèvent pas du tout de la cyberguerre". Il convient ainsi plus de parler de "cyber-graffitis" ou de "cyber-vandalisme", ainsi que de "cyber-propagande".
Et pour cause puisque selon l'éditeur, les attaques observées sont pour l'essentiel des "défacements" ou défigurations de sites Web. "Nous n'avons constaté aucune excentricité ou coordination dans les attaques, ni de déni de service bien outillé" précise Loïc Guézo.
"Le résultat est surtout visuel, c'est une volonté de communiquer" par des défacements……
Des attaquants "jeunes, voire très jeunes"
Selon Loïc Guézo, un certain nombre de comptes Twitter, dont les plus actifs ont depuis été fermés, relayaient et actualisaient la liste des sites défacés. "C'est très habile, en termes de communication, de la part des attaquants".
Et l'expert en sécurité parle ainsi de "dispositif asymétrique" en raison du déséquilibre entre la portée de la campagne et les moyens techniques employés. Il assure en effet que les moyens des attaquants sont "faibles", et les sites ciblés, bien choisis, principalement de petite taille, peu ou pas maintenus, exploitant généralement des outils clés en main affectés par des vulnérabilités et assez aisément identifiables sur Internet.
Pour lire la suite : http://www.zdnet.fr/actualites/cyberattaques-en-france-un-succes-de-com-avant-tout-39813119.htm
Source : Christophe Auffray | 16 Janvier 2015
Sécurité : 11 PME se regroupent au sein d'Hexatrust, groupement associatif dédié à la promotion de la cyberdéfense à la française. Les défis sont nombreux.
Explications avec Jean-Noël de Galzain, président de Wallix et membre fondateur du club informel.
Onze PME pour mettre fin à un paradoxe : "La France [...] importe la quasi-totalité de ses solutions [de cybersécurité], alors même qu'elle dispose d'entreprises d'envergure mondiale telles que Thalès, EADS, Morpho, Gemalto ou Dassault."
Le club informel Hexatrust a donc annoncé, à quelques jours du début du Forum international de la cybersécurité (FIC) 2014, son intention de devenir un groupement associatif. Un statut, un bureau, un budget et un coordinateur. L'objectif est clair : promouvoir les solutions françaises, et notamment ses PME, en matière de cybersécurité.
De nombreux obstacles se dressent devant Hexatrust, dans un marché mondial estimé à 60 milliards de dollars - alors que les 11 PME représentent un chiffre d'affaires d'environ 100 millions d'euros.
Mais pour Jean-Noël de Galzain, président de Wallix et membre fondateur d'Hexatrust, rencontré au FIC, tout est possible pour peu que la volonté politique affichée se transforme en actes.
ZDNet.fr - Le gouvernement français a semblé, à l'occasion de ce FIC, prendre la mesure de l'enjeu cybersécurité. Les annonces de plans industriels, notamment, et d'une volonté de défendre la filière française, vous semble-t-elle une bonne chose ?
Jean-Noël de Galzain, Hexatrust - Des actes. La volonté politique est visiblement là, très bien. Maintenant, nous voulons des actes. Il faut embarquer une composante cybersécurité dans ces plans industriels. Avec Hexatrust, nous voulons mettre en évidence nos solutions françaises d'excellence, avec des offres matures.
Il est fini, le temps où l'on disait que les solutions des PME françaises n'étaient pas à la hauteur. Nous serons quinze à vingt d'ici la fin de l'année 2014, et nous pourront présenter un portfolio représentatif des menaces rencontrées par les directions informatiques. Mais ça ne marchera que si demain, nous pesons plus lourd.
De notre côté, il y a déjà des actions à faire. D'où l'intérêt d'Hexatrust. Il nous permet d'envisager de répondre à nos besoins en termes de moyens, d'actions, de marketing et de projets d'innovation. Nous avons prévu un plan d'action à l'international pour 2014.
Du côté du gouvernement, nous voyons des projets intéressants pour encourager l'industrie.
Le pôle de compétitivité Paris Région, IRT SystemX, le pôle d'excellence annoncé par Jean-Yves Le Drian en Bretagne. Cela couvre l'aspect stratégique, et cela doit permettre aux donneurs d'ordre de trouver l'écosystème de PME sur lequel ils pourront s'appuyer. Mais maintenant, il faut des actes.
Quels actes ?
Il faut deux choses. Des projets collaboratifs, et des commandes, notamment publiques. Nous avons besoin de commandes. Des commandes, des commandes, des commandes. Cela ne servira à rien d'investir si la commande n'est pas là. Il n'y aura rien sans cela.
Nous voulons bien exporter, rétablir la balance commerciale française, mais il faut des bases solides. Donc que les grands donneurs d'ordres publics et privés nous fassent confiance. La problématique n'est pas, en B2B, uniquement concentrée sur le capital-investissement. Nous trouvons l'argent si nous vendons derrière.
Quand il fallait faire émerger des champions dans l'aéronautique ou autre il y a quelques années, on a trouvé l'argent. Il faut la même ambition pour le numérique, et la mettre en oeuvre concrètement.
Le problème, c'est que quand l'Alliance pour la confiance numérique a proposé à Hexatrust de venir avec eux, nous avons dit "OK, si 25% des financements et commandes en France vont aux PME". Ils n'ont pas voulu l'écrire, donc nous ne les avons pas suivis.
Cela poserait un problème de concurrence, et dans ce domaine... La France est un peu contrainte par les traités communautaire, notamment l'Acte unique. Ne pensez-vous pas que l'obligation de concurrence soit un frein fort pour empêcher de favoriser les PME françaises lors des commandes publiques ?
Le droit communautaire de la concurrence est effectivement un frein potentiel. Mais nous voyons deux façons d'agir. D'abord, sur le plan opérationnel, à court terme. Il y a une stratégie depuis quelques mois, de la part du premier ministre, du ministère de la défense, etc, autour des OIV [opérateurs d'importance vitale, NDLR].
Ces OIV assurent des fonctions sur des marchés régaliens avec des problématiques de souveraineté ou d'importance vitale pour l'économie du pays ou la défense. Ils ont besoin de produits certifiés pour assurer ces fonctions.
Or, la plupart de nos solutions sont certifiés. Donc là, il y a un moyen pour permettre le soutien de la filière industrielle française, et notamment des PME. Nous pesons 100 millions d'euros de chiffre d'affaires. Si nous parvenons à obtenir des commandes auprès des OIV, nous pourrions multiplier ce chiffre par quatre ou cinq. C'est énorme.
Cela favoriserait le développement de la filière, d'emplois locaux, la limitation de la fuite des cerveaux qui, actuellement, préfèrent aller travailler pour de grandes entreprises américaines. Cela changerait la donne.
Ensuite, sur le moyen et long terme, nous sommes partisans d'un Small Business Act, comme aux Etats-Unis. Ou au moins d'une Small Business Ambition. Pour l'instant, l'Europe n'est pas d'accord, mais je crois que la France doit monter au créneau pour pousser en ce sens.
Cela passe par un projet de réciprocité, un travail sur la fiscalité européenne, etc... Il y a en ce moment des négociations d'accords bilatéraux entre les Etats-Unis et l'Union européenne [TAFTA, NDLR]. C'est le moment de mettre le sujet sur la table.
Beaucoup d'intervenants des conférences ont souligné l'étau dans lequel la filière européenne était coincé. L'un d'eux l'a résumé par "des routeurs chinois et des logiciels américains". Est-ce que vous pensez qu'il est possible de suivre vos volontés sans travailler sur l'aspect hardware, que vous n'intégrez pas dans Hexatrust ?
Nous sommes, au sein d'Hexatrust, des éditeurs. Mais nous rencontrons tout de même des gens du monde hardware, des systèmes embarqués, systèmes industriels, spécialistes de la sécurité du cloud. Nous allons partout où il y a un enjeu de confiance numérique.
C'est vrai qu'il faut aider au développement de la filière hardware aussi. Mais je crois qu'il y a, après PRISM, une opportunité. Les donneurs d'ordres commencent à avoir conscience qu'il faut aussi regarder où vont les données, cherchent à protéger l'identité, les libertés, etc. C'est le moment de se poser ces questions.
Pour pouvoir mettre en place une stratégie globale, il y a quatre choses à faire à notre avis. D'abord, travailler sur les réglementations et punir les comportements ouvertement favorables au dumping, notamment fiscal.
Ensuite, il faut travailler sur les marchés, avec les groupements d'acteurs européens. Procéder par strates, faire un travail d'influence avec tous les pays pour construire à partir des recettes à succès qu'on pourra trouver ailleurs. Mettre en place une stratégie de roadmaps, comme avec Horizon 2020 ou les pôles de compétitivité.
Il faut aussi travailler sur la Small Business Ambition dont nous parlions, et sans doute développer une stratégie d'OIV au niveau européen. Enfin, il faut s'attaquer à la question de la gouvernance d'Internet. Développer nos propres infrastructures, affirmer un droit communautaire qui tienne compte de nos spécificités.
A partir de là, nous serons bien placés pour faire des propositions. Les spécificités de la France et de l'Europe sont une chance pour nous. Nous avons plein d'atouts, dont une image diplomatique et de défense au niveau international.
Image qui a été un peu écornée lors des printemps arabes, notamment, quand Bull s'est retrouvé confronté au scandale Amesys par exemple...
L'image de l'industrie, de ces industriels, ou de la France, a pu être écornée sur certains aspects. Mais on ne peut plus changer ce qui s'est passé pendant les printemps arabes. On verra au moment de leur reconstruction si la France est capable d'avoir un rôle moteur.
Dans tous les cas, une image écornée, ça se répare. Avec les scandales révélés par Snowden, les Etats-Unis ont pris 99% de la mauvaise image sur ces questions. Et cela n'empêche pas les services américains de continuer à fonctionner.
Nous avons une valeur ajoutée industrielle, une spécificité culturelle, et c'est le bon moment. Nous pouvons bénéficier d'un certain ras-le-bol. Les gens ne sont pas résignés à ce que le marché soit trusté par des super-champions américains, qu'on ne peut par ailleurs qu'admirer.
Mais beaucoup de donneurs d'ordres ont été très échaudés par le vol de données par un pays qui est quand même un allié. Donc nous pouvons prendre la place. Nous voulons proposer une offre alternative, et la France est à notre avis bien placée.
Source : Antoine Duvauchelle - http://www.zdnet.fr/actualites/
Sécurité : Dans un nouveau guide, l'agence de la sécurité des systèmes d'information, liste les meilleures pratiques dans le cadre du déploiement d'une infrastructure de téléphonie IP.
Si la téléphonie sur IP (ToIP) permet aux entreprises de réaliser de substantielles économies, elle constitue également intrinsèquement un risque de sécurité pour les systèmes d'information.
L'information n'est pas nouvelle et est au centre de nombreux débats depuis des années. Si les attaques sont rares, elles sont réelles et l'Anssi, l'agence nationale de la sécurité des systèmes d'information entend rappeler aux entreprises quels sont les risques et quelles sont les bonnes pratiques à adopter dans un nouveau guide téléchargeable.
"Une infrastructure de téléphonie sur IP est un système d’information particulier; il est dédié à un usage spécifique. À ce titre il est soumis aux besoins de sécurité habituels d’un système d’information auxquels s’ajoutent des besoins spécifiques de la téléphonie fixe", souligne ainsi l'agence.
Côté risques, l'Anssi rappelle que "la principale motivation des attaquants de ces systèmes est la possibilité d’utiliser abusivement les ressources téléphoniques, soit pour pouvoir passer des appels téléphoniques aux frais de l’entité compromise, soit pour couvrir des actions illégales".
Réduire la surface de l'attaque potentielle
Mais cela peut aller plus loin avec les attaques TDOS (Telephony Denial Of Service) "qui consistent à rendre indisponible un système de téléphonie en le surchargeant d’appels initiés à l’aide d’outils automatiques". On imagine les conséquences pour une entreprise.
Rayon conseils, l'Anssi liste une cinquantaine de recommandations précises en mettant notamment l'accent sur le cloisonnement. "Si l’analyse de risques a mis en évidence un besoin élevé en disponibilité du système de téléphonie ou en intégrité/confidentialité des communications, une séparation physique totale de l’architecture ToIP par rapport aux infrastructures de données (internes et externes) doit être retenue", peut-on lire.
Et d'ajouter : "si l’isolation physique totale du système de téléphonie n’est pas réalisée, certaines mesures d’isolation doivent être mises en œuvre pour assurer un niveau sécurité minima". Et d'énoncer des mesures relatives à cette protection.
Concernant la gestion des postes, l'Anssi recommande d'utiliser des protocoles sécurisés pour administrer à distance les équipements de l’infrastructure de ToIP et de de protéger les téléphones IP à l’aide de codes d’accès spécifiques à chaque utilisateur.
Sur les postes, il s'agit également de désactiver les ports additionnels (Ethernet, USB) afin de réduire au maximum "la surface d'attaque", de désactiver "l’ensemble des services qui ne sont pas strictement nécessaires au fonctionnement des téléphones IP; en particulier les services non sécurisés et les mécanismes de prise de contrôle à distance des postes".
L'agence recommande également de ne pas utiliser de softphones et de téléphones IP basés sur des technologies sans fil (DECT, Wifi, Wimax..). Source : Olivier Chicheportiche - 24/01/2014 http://www.zdnet.fr/
A télécharger : Recommandations de sécurisation d’une architecture de téléphonie sur IP du 23/12/2013. http://www.ssi.gouv.fr/IMG/pdf/NP_securiser_ToIP_NoteTech-v1.pdf
Avec 5,5 millions d’euros de budget sur 2 ans, le projet DAVFI a de quoi faire les choses en grand.
L’élaboration de l’anti-virus a le soutien d’experts et d’entreprises françaises, un appui de grande envergure pour un logiciel qui devra faire ses preuves.
DAVFI va beaucoup faire parler de lui. Le premier anti-virus français devrait être accessible en 2014. Cela laisse le temps de voir comment évolue le projet.
Mais tout semble indiquer que le logiciel sera bien réalisé, notamment parce qu’il est soutenu par des experts de l'Ecole supérieure d'informatique, électronique et automatique (ESIEA) et par des entreprise françaises : Init SYS, Nov'IT Teclib' et DCNS Research, Qosmos.
Le but de cet anti-virus est simple, répondre à des enjeux de souveraineté numérique et améliorer la sécurité informatique. DAVFI se voudra meilleur que les logiciels actuels qui sont dépassés, d’après Éric Filiol, directeur du laboratoire de virologie de l’ESIEA : « Les modèles technologiques de détection des antivirus actuels ont montré leurs limites et ne répondent plus aujourd'hui aux menaces. L'approche technique innovante de DAVFI le rendra capable de détecter les variantes inconnues de codes identifiés et de prévenir l’action de codes inconnus. »
Le projet DAVFI profitera de comités mis en place dès 2012 impliquant des utilisateurs pour réussir à se rapprocher le plus possible des besoins. Une des particularités de cet anti-virus est qu’il disposera d’un code ouvert à l’exception de quelques modules spécifiques.
Le logiciel pourra naturellement être utilisé par les entreprises, avec plusieurs versions à adapter selon les besoins. Une sortie tout public est aussi à prévoir qui sera gratuite.
Myriam KISS. Anild 06/2013 - source : ZD net. A. Balaine
