Archives pour la catégorie Cyber-sécurité

La cyber-sécurité est un domaine très spécial que les experts qualifient comme « redoutable ». Elle concerne à la fois les ordinateurs, les smartphones, les appareils connectés… tout ce petit monde sensible à la sécurité Internet.

Sécurité et confinement : le télétravail n’est plus une option

Il y a quelques mois de cela, le fait de travailler depuis chez soi pour son entreprise est devenu une tendance à part entière.

À cause du confinement, la majorité des entreprises ont dû trouver un moyen pour basculer vers ce système de collaboration à distance. Un basculement qui ne s’est pas fait sans risque surtout sur le plan de la sécurité informatique. Après plusieurs obstacles et difficultés, les études avaient démontré que les travailleurs étaient beaucoup plus propices à l’exercice du télétravail en temps partiel. Pour s’assurer un bon conditionnement et d’une bonne sécurité des échanges et transactions, plusieurs organisations ont investi massivement dans les solutions de collaboration à distance et de sécurisation des échanges.

Cet article va aussi vous intéresser : L’impact de l’adoption du télétravail à cause de la pandémie

Les investissements qui peuvent s’avérer très ponctuels mais nécessaire au vu de ce qui se voit se peaufiner. En effet, avec la décision du gouvernement français de confirmer la population face à une nouvelle propagation du virus, le télétravail n’est plus le choix pour les différents acteurs. C’est clairement une obligation dont la violation sera sanctionnée semble-t-il. Alors on se demande quelles sont les implications de cette situation. Surtout dans le contexte de la sécurité informatique, il faut l’avouer sera le véritable défi en la matière.

Rappelons que le 29 octobre, dans une déclaration à la presse, le premier ministre Jean Castex annonce l’obligation du télétravail d’un instant que les conditions le permettaient pour toutes les entreprises et organisations. S’il n’exclut pas la possibilité de travailler en présentiel, cela doit être justifié mais aussi accompagné d’une autorisation et justification produit par l’employeur qui sera remis à l’employé. Tout déplacement devra te justifier dans le cadre du travail.

À ce propos la ministre du travail, Elisabeth Borne s’exprimer sur le sujet : « Le télétravail n’est pas une option, poursuit. Cette obligation sera inscrite dans le nouveau protocole en entreprise. Un travailleur qui peut exercer toutes ses tâches en télétravail doit le faire cinq jours sur cinq. Ceux qui ne le peuvent pas parce qu’ils ont besoin d’équipements spécifiques pour travailler, comme les architectes, peuvent se rendre au travail ponctuellement. Certains métiers ne peuvent être exercés à distance (BTP, intervenants à domicile…).

Il sera nécessaire de disposer d’une attestation de l’employeur qui sera tenu d’aménager les horaires d’arrivée et de départ pour limiter l’affluence. ». Alors, cela voudrait dire que ton entreprise est obligée au regard de la loi à appliquer la procédure du travail à distance ? Selon maître Vincent Manigot, avocat au département droit social du cabinet De Pardieu Brocas Maffei, cette appréhension n’est pas aussi simple que cela. « Seule une disposition législative impérative pourrait rendre le télétravail obligatoire mais la portée d’une telle mesure devrait être relativisée. En pratique, toutes les fonctions ne peuvent pas être réalisées en télétravail et, pour un fonctionnement optimal, la présence de certains est parfois indispensable. Dès lors, dans le cadre de son pouvoir d’organisation, l’employeur conserve nécessairement une marge d’appréciation dans les modalités de mise en œuvre du télétravail » explique ce dernier. Cependant si l’employeur refuse par exemple l’application du télétravail alors que le cadre le lui permet, cela signifierait qu’il met en danger ses employés, ce qui pourrait lui attirer des ennuis. « L’employeur qui déciderait de ne pas mettre en œuvre le télétravail, lorsque cela est possible, pourrait voir sa responsabilité engagée pour un manquement à son obligation de sécurité, s’il est établi qu’il n’a pas mis en place un protocole sanitaire adéquate et que ses salariés ont été exposées à une situation de danger qui pouvait être évitée ».

Notons par ailleurs que le ministre du travail lors de la conférence de presse déclarait ceci : « Toutes les activités qui peuvent être faites à distance doivent être télétravaillées. Nous allons inscrire cette règle dans le protocole national pour lui donner de la force. Quand on inscrit une règle dans ce protocole, cela devient la traduction concrète de l’obligation de l’employeur d’assurer la santé des salariés. ».

Dans une condition quasi obligatoire ou le télétravail est en train de s’imposer, la question la plus importante pour les entreprises aujourd’hui n’est pas de savoir si elles doivent procéder ainsi. La priorité doit être du côté du télétravail car peu importe l’intervention de gouvernement, il est clair que le télétravail doit être en mise à jour. En définitive, préparer le terrain et se fournir en matériel de protection pour la collaboration à distance est de mise.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’impact de l’adoption du télétravail à cause de la pandémie

Avec le confinement général, une très grande partie des organisations avait fini par opter pour le travail à distance pour assurer leur continuité.

Selon une recherche récente, seulement un tiers des professionnels de la sécurité informatique en mentionné que leur transition vers le télétravail c’est passé sans problème. Ce qui dénote clairement de la difficulté qui a prévalu durant ce basculement.

Cet article va aussi vous intéresser : Le télétravail et la covid-19, source de l’augmentation des investissements dans le secteur de la sécurité informatique

L’étude a été réalisée par la société OneIdentity. Elle a permis de démontrer aussi que 62 % des professionnels accorde plus d’importance aux infrastructures du cloud aujourd’hui par rapport à l’année dernière. Ces changements ont été attribué à la pandémie à coronavirus selon 31 % des personnes interrogées.

« Cette étude montre clairement que le cloud computing a sauvé la vie de nombreuses entreprises, car les équipes informatiques ont pivoté et soutenu le passage massif au travail hors des bureaux » souligne Darrell Long, président et directeur général de OneIdentity. « Nous savions que les changements provoqués par la pandémie étaient soudains, mais ce qui est particulièrement remarquable, c’est la force avec laquelle les résultats ont prouvé que les entreprises devaient se concentrer sur les défis immédiats présentés par le passage agressif au cloud computing, principalement en trouvant des solutions qui rationalisent l’administration et sécurisent qui a accès à quoi et comment », ajoute-il.

Par rapport à l’année dernière, l’intérêt pour les technologies de demande d’accès à nettement connu une hausse. Près de 50 % des personnes interrogées l’appréhende comme une grande priorité aujourd’hui. Bien évidemment le rapport a vite été établi avec le covid-19, qui est l’élément déclencheur de la plupart des difficultés dans le secteur et du basculement vers une nouvelle manière de travailler. Certains aspects tels que la gestion du cycle de l’identité, le flux et processus du travail de l’identité, la gestion de l’accès et la gestion des rôles, immédiatement acquis une certaine importance aux yeux les professionnels.

L’enquête de OneIdentity ah aussi démontrer que 45 % des professionnels de la sécurité informatique, sont les seuls qui affirment être prêts à faire face à différents changements dans leur secteur. Surtout en envisageant un potentiel retour des employés au bureau dans les différentes organisations. C’est qui est d’ailleurs étrange lorsque 66 pourcents d’entre eux note avoir suffisamment confiance à l’efficacité de leurs outils de gestion de l’identité, depuis la survenance de certains un changement du au coronavirus.

« Nous connaissons maintenant la vérité : la pandémie de COVID n’a pas changé la nécessité d’être productif, ni les exigences de conformité réglementaire auxquelles les entreprises sont confrontées, mais il est clair que les équipes informatiques et de sécurité se sont empressées de déplacer leurs systèmes pour permettre le travail à domicile de manière sûre et contrôlée. » note le responsable de OneIdentity, M. Long. Il ajoute par la suite : « Les entreprises et les organisations ont été aidées dans une certaine mesure par les investissements dans le cloud qui les ont préparées avant le projet COVID. Cependant, la plupart d’entre elles doivent encore faire face à de nouveaux défis, car les employés s’adaptent, les équipes informatiques et de sécurité relèvent efficacement le défi de fournir des processus efficaces pour accéder aux ressources nécessaires à la main-d’œuvre pour faire leur travail et les défis de sécurité associés à ce nouvel environnement de travail. ».

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La Commission Européenne et les logiciels libres

Dans un document présentant sa stratégie 2020-2023, la Commission de l’Union Européenne met en avance l’utilisation des logiciels libres dit Open Source.

Le document de 16 pages proposé par la Commission européenne met en évidence sa « Stratégie en matière de logiciels libres 2020-2023 ». L’institution européenne déclarait à cet effet : « La Commission est un fervent utilisateur des logiciels libres et à source ouverte et y contribue avec enthousiasme.

Cet article va aussi vous intéresser : Quels logiciels pour une sécurité optimale en cette période de crise sanitaire ?

La stratégie en matière de logiciels libres 2020-2023 lui permettra de s’impliquer encore davantage. ». Ses objectifs face à cette promotion des logiciels libres se présentent comme suit :

– Accélérer l’autonomie numérique du vieux Continent ;

– Développer une stratégie numérique pour la Commission européenne ;

– Promouvoir la réutilisation le partage et la liberté d’usage des logiciels des informations et des connaissances ;

– Contribuer à une société de partage des eaux de source au sein de la commission 

– Mettre en place un service public de niveau mondial

Dans sa logique, la Commission européenne mentionne dans le document que « le code source ouvert participe de la nature même du service public », notamment car « il s’agit d’un code public qui fait, dès lors, bon usage des fonds publics et favorise la liberté de choix tout en évitant le ‘verrouillage technologique ».

Cette stratégie de l’institution européenne « reprend un principe clé de la communication relative au cadre d’interopérabilité européen du 23 mars 2017: la suppression des obstacles à un marché unique numérique en Europe. ‘Les administrations publiques devraient non seulement utiliser des logiciels open source, mais aussi, dans la mesure du possible, apporter leur contribution aux communautés de développeurs concernées. ». La démarche s’inscrit : « dans le droit fil de l’appel à l’action lancé unanimement par les États membres de l’Union européenne dans la déclaration de Tallinn [texte] sur l’administration en ligne (6 octobre 2017): ‘[Les États membres invitent] la Commission à envisager un renforcement des exigences relatives à l’utilisation de normes et de solutions à code source ouvert lorsque la (re)construction de systèmes et de solutions TIC est effectuée avec un financement de l’UE, notamment par une politique appropriée de licences ouvertes – d’ici à 2020. » pouvait-on lire dans le document. Il précise aussi par ailleurs que : « lorsque cela est opportun, la Commission partagera le code source de ses futurs projets informatiques. Pour la publication de ces projets, la licence publique de l’Union européenne (EUPL) sera privilégiée. La Commission concentrera ces efforts sur un référentiel de codes d’administration numérique centré sur l’UE. »

« En plus de partager le code source, la Commission devrait envisager de se joindre aux comités de programme open source, d’élaborer des méthodes systématiques de financement ciblé, de travailler à l’amélioration de la sécurité et à l’élaboration de solutions visant à aider les projets critiques à code source ouvert à s’autofinancer. ».

Dans son document la Commission européenne cite quelques exemples de logiciel libre dont sa contribution a permis de fournir au grand public. On cite entre autres :

Des exemples de contributions de la Commission :

– EUSurvey qui un outil de gestion des enquêtes réalisées en ligne ;

– LEOS un programme éditeur de textes législatifs ;

– SUMO programme destiné la recherche d’objets marins non identifiés

– Le projet EU-FOSSA/EU-FOSSA 2 qui a permis de corriger plusieurs centaines de failles dans des outils informatiques Open Source diffusés à grande échelle tel que

– Le célèbre lecteur multimédia VLC et le logiciel d’accès sécurisé aux serveurs distants, PuTTY.

De son côté, l’Union des Entreprises du Logiciel Libre et du Numérique Ouvert à manifester son approbation et sa joie face à une telle mise en avant des logiciels libres, une stratégie qui : « montre que la Commission comprend que le pouvoir de l’Open Source va au-delà du code, car il permet un paradigme ouvert, grâce auquel des organisations entières peuvent être transformées pour se connecter de manière transparente au-delà des silos organisationnels et des frontières, y compris avec les écosystèmes d’entreprises du libre que représentent le CNLL et ses partenaires européens. ».

Il est clair que par ce procédé, l’Europe veut se débarrasser de cette dépendance face aux grandes entreprises américaines.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Protection des données : un lanceur d’alerte licencié par Dedalus

Dedalus est un expert dans la fourniture de programmes informatiques dédiés au secteur de la santé a licencié un employé strasbourgeois pour avoir divulgué des informations relatives au fonctionnement de certains programmes sans l’accord de ses responsables.

Interrogé par les médias le développeur témoigne : « C’est comme si j’entrais chez toi et que je prenais tout, sans même que tu puisses t’en rendre compte. ». Il faisait partie de la branche de Dedalus France implantée à Strasbourg. Il travaillait depuis 2018. Le temps que l’entreprise d’une certaine manière s’est autoproclamée comme étant le « leader européen et acteur mondial clé dans le domaine des systèmes d’information de santé clinique et administratif ». Texte employé Dedalus durant ces 2 ans de fonction, détecte une centaine de failles de sécurité avec ton les logiciels vendus à plusieurs établissements de santé laboratoire : « J’étais déçu de réaliser qu’un simple développeur, autodidacte comme moi, pouvait trouver autant d’énormes failles dans les systèmes informatiques de Dedalus… ». Mais en avril 2020, il est licencié par ses employeurs car ces derniers n’ont pas apprécié sa démarche qui consistait à divulguer ses vulnérabilités sans l’accord de ses responsables.

Cet article va aussi vous intéresser : Sécurité informatique: l’éditeur Dedalus aurait manqué à ses devoirs de protection de données

On peut comprendre la réaction du groupe informatique. En effet pour une société aussi importante, ces différentes failles de sécurité posent énormément de problèmes et surtout ne correspondent pas à son statut. Par exemple en 2017, l’entreprise à travers sa filiale Netika équipe est près de 2800 établissements de santé des secteurs privé et public. L’entreprise est composée de 70 employés avec un chiffre d’affaires de 6 000 000 €. L’entreprise affirme elle-même occupé 60 % du marché dédié à la biologie médicale. Ayant été racheté par Medasys, l’entreprise peut se vanter d’être « principal éditeur et intégrateur français de logiciels médicaux pour établissements de santé, publics et privés ». Et en 2019, Medasys change de nom avec ses filiales pour devenir le groupe Dedalus France. Pour l’année 2019, l’entreprise enregistrer 55 millions € de chiffre d’affaire, une forte hausse par rapport à 2018 où elle a enregistré 34 millions d’euros.

Malgré ce positionnement, le groupe n’a malheureusement pas pu suffisamment sécurisé certains de ses programmes informatiques, dont certains avaient été piratés par les cybercriminels afin d’obtenir des comptes rendus d’analyses médicales. Des rapports sur le covid-19 par exemple. « En accédant aux serveurs des laboratoires ou des groupements hospitaliers, un pirate informatique aurait pu paralyser leurs ordinateurs ou effectuer une attaque de type ransomware (logiciel de rançon) en exploitant les failles que j’ai détectées », explique l’ex employé. Selon ce dernier, l’entreprise manque d’une sérieuse organisation sur le plan de la sécurité informatique : « On me disait que les réparations étaient trop compliquées à mettre en place, que les corrections allaient entraîner des bugs du logiciel ou qu’on n’avait pas le temps… », explique ce dernier par ailleurs, L’un de ses anciens collaborateurs notait : « En arrivant ici, je m’attendais à découvrir une sécurité de ouf (sic) mais en fait la cybersécurité à Dedalus Biologie n’est pas prioritaire. La plupart des gens ici ont été formés dans une période comprise entre cinq et dix ans et n’ont reçu aucune formation sur la sécurité depuis ce moment. La sécurité est un domaine qu’on voit déjà que très peu en école habituellement. Il n’y a pas de sensibilisation auprès des salariés. ».

Interrogé sur la question, le directeur technique du groupe Dedalus explique l’importance pour le salarié de savoir rester à sa place : « Je comprends bien la situation, mais c’est important de respecter la hiérarchie. Par exemple, les vulnérabilités CVS sont un gros problème, mais tu ne peux pas envoyer un mail direct au responsable des nouvelles technologies, et au directeur de la sécurité de l’information. (…) Travailler pour une organisation implique, pour le bien ou le mal, de respecter la structure de l’organisation. Probablement que ton approche proactive ne correspond pas bien à la méthodologie de Dedalus. ».

Il faudrait reconnaître que la situation de lancer d’alerte est toujours délicat. Si l’ex employé de Dedalus a été tout simplement congédié de son poste, il faudrait mentionner le fait qu’il aurait pu être poursuivi en justice par ses anciens patrons.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

Des développeurs Iraniens empêchés d’accéder à leur confort Gitlab à cause des sanctions Américaines

Les sanctions Américaines font de plus en plus de dégâts.

Le président américain dans une logique de sanction et bras de fer prend des actes de nature à porter atteinte à faire des acteurs importants des tics. En plus des entreprises Chinois qui sont affectés par l’interdiction de commercer avec des entreprises Chinoises, c’est maintenant le tour des développeurs iraniens de ne pas avoir accès à la plate-forme des Open Source Gitlab.

Cet article va aussi vous intéresser : Suite à un test, 20 % des employés de Gitlab se font avoir par une attaque au phishing

L’une des premières personnes à avoir signalé ce problème est Ahmad Haghighi, développeur utilisateur, contributeur et administrateur de la plate-forme d’instances Gitlab. « Le 3 octobre 2020, GitLab a bloqué l’accès des Iraniens (sur la base de leur IP) sans aucun préavis ! et cinq jours plus tard (8 octobre), le compte de mon ami a été bloqué et il n’a toujours pas accès à ses projets ! même après avoir créé un ticket et demandé un accès temporaire pour exporter ses projets uniquement ! GitLab a refusé de le débloquer ! Mon ami n’est pas le seul à avoir été bloqué par GitLab. Avec une simple recherche sur le web vous pouvez trouver une liste croissante de comptes bloqués. J’ai donc décidé de quitter GitLab et TOUS les logiciels libres basés, hébergés ou gérés aux États-Unis », note ce dernier.

Cette réaction du développeur suit celui dans notre utilisateur de GitHub, un autre service d’hébergement et de gestion de logiciel libre aussi américain. Le problème remonte depuis le mois de juillet 2019. Principal moi les utilisateurs de GameHub, pour le logiciel Open Source Linux. C’est une application qui permettait de centraliser dans une bibliothèque, tous les jeux qui provenaient de Steam, Humble Bundle, GOG Humble Trove et tous les jeux installés localement.

Avec GameHub, les utilisateurs peuvent voir l’ensemble des jeux, les télécharger, les installer et les désinstaller, est-ce que les bonus et les DLC provenant de GoG.

« Mon compte a été bloqué en raison des sanctions américaines car je vis en Crimée. Je pourrais ne plus être capable de maintenir GameHub dans le futur », rapporte développeur dans un ticket ouvert sur Gitlab.

C’est d’ailleurs le même cas que celui d’un développeur iranien du nom de d’Ahmed Saeedi Fard, similaire au cas GameHub. Un développeur qui est inscrit sur la plateforme depuis 2012. Les gestionnaires de la plate-forme de la plate-forme l’ont informé par courriel de la suspension de son compte, causée par les sanctions émises par le gouvernement américain.

Le cas GameHub s’inscrivait dans la même vague que celui d’Ahmed Saeedi Fard – un développeur iranien présent sur la plateforme depuis 2012. Ce dernier avait reçu un courriel des gestionnaires de la plateforme pour lui notifier un blocage de son compte en raison des sanctions américaines.

En plus de cela l’annonce de GitHub qui qui a précisé le fait de créer un cadre privé pour la gestion de certains projets Open Source qui ne seront visibles que par un ensemble de collaborateurs bien déterminés. Un cadre gratuit qui a incité plusieurs développeurs à s’inscrire dans ce contexte alors que certains voyaient leur référentiel privé verrouillé.

« GitHub était une plateforme libre pour tous depuis de nombreuses années, mais elle a décidé de bloquer les comptes iraniens. Je pense qu’être d’un pays donné n’est pas un choix qu’on fait, mais être un développeur et contribuer à la communauté open source l’est. GitHub nous interdit notre liberté de contribuer et de faire partie de l’écosystème open source parce que nous vivons en Iran.

GitHub a bloqué nos dépôts privés sans aucune notification préalable et maintenant nous n’avons pas accès aux codes. Vous ne devriez pas juger les gens en fonction de leur pays d’origine. Vous pouvez restreindre un gouvernement, mais vous ne devriez pas interdire vos utilisateurs actifs et loyaux sans aucun avertissement.

Je pense qu’avoir une simple page GitHub est un droit fondamental pour les utilisateurs. Ne nous mettez pas en dehors de la communauté open source », déclarait le membre iranien.

Pour le moment, ces sanctions s’inscrivent dans un cadre un peu ambigu. Et personne ne sait jusqu’à quand cela pourrait durer. Par ailleurs cela pourrait avoir des inconvénients sur des projets Open Source en cours.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage