Le 31 décembre prochain, il n’y aura plus de mises à jour de sécurité pour PHP 5.6.x

Le 31 décembre prochain, il n’y aura plus de mises à jour de sécurité pour PHP 5.6.x

Ça c’est ce que l’on peut appeler une très mauvaise nouvelle !

En clair, pour faire rapide dans ce billet informatif, à partir du 31 décembre 2018, si l’on prend en compte les statistiques officielles du jours et de la W3TECHS c’est près de 62% des sites Internet du globe qui utiliseront une version dépassée de PHP 5.X non sécurisée et donc totalement dépassées.

Une porte ouverte aux failles de sécurité non maintenues dans le temps… Entre nous, il y a bien longtemps que cela devait arriver.

Autant dire qu’il va falloir très vite vérifier si votre site peut passer en PHP 7 (7.2 idéalement) sinon, vous êtes bon pour faire ré-écrire entièrement le code de votre application web. Ou faire refondre votre site.

C’est une très mauvaise nouvelle qui vient d’être annoncée par Sean Murphy, directeur de Threat Intelligence chez Defiant (la société à l’origine du plugin de sécurité WordFence pour WordPress).

Il a ainsi déclaré que « les versions de PHP qui devraient être prises en charge [par WordPress] constituent un débat important depuis un certain temps ».

Scott Arciszewski, chief development officer chez Paragon Initiative Enterprise, a également affirmé qu’il s’agissait d’un « gros problème pour l’écosystème PHP ».

C’est également pour cette raison que de nombreux hébergeurs font grise mine aujourd’hui si vous leur demandez de passer votre système de PHP 5.X en PHP7.X car si cela se passe mal, vous voudrez leur taper sur les doigts (c’est ce que vous croyez mais légalement, il n’en est rien). Si leurs conditions générales d’utilisation sont bien rédigées ce passage de version et les risque qui en découlent sont de votre seule responsabilité.

Beaucoup de travail en perspective pour les développeurs et les administrateurs systèmes en l’occurrence !

Si vous n’avez pas anticipé la question, il est temps de le faire, et vite…

Source : le blog du modérateur

La sauvegarde de site Internet (1/..)

La sauvegarde de site Internet (1/..)

Je ne le répéterai jamais assez : “La clé de voûte d’une bonne sécurité concernant un site Web commence TOUJOURS par la mise en place et le test grandeur nature d’une solide politique de sauvegarde. Et ce de façon régulière et décentralisée”.

En effet, la plupart d’entre nous pensent qu’il suffit de faire confiance à la sauvegarde mise à disposition par l’hébergeur, et que l’on pourra à partir de là restaurer à une date antérieure sans problème.

La durée de rétention de votre sauvegarde de site Internet

C’est sans parler de ce que l’on appelle la durée de rétention des sauvegardes. Car à moins que vous n’ayez négocié un cas particulier avec votre hébergeur, les durées de rétention des sauvegardes (c’est-à-dire le retour maximum en arrière possible calculé en nombre de jours) ne dépassera pas 7 ou 10 jours voire exceptionnellement 15 jours chez certains hébergeurs.

Si nous sommes aujourd’hui le 13 mai et que la durée de rétention des sauvegardes de votre serveur est de 10 jours, vous pourrez récupérer (si tout se passe bien ^^) les données de l’intégralité de votre site comprise entre le 4 mai et le 13 mai inclus, à l’heure ou s’effectue la sauvegarde côté hébergeur (en général entre 4h et 6h du matin, à vérifier) !

Si vous avez besoin d’une sauvegarde datée du jour de la fête du travail, le 1er mai, c’est raté. Il n’y en aura pas.

Rétention = nombre de jours auxquels vous pouvez prétendre revenir en arrière sur l’état “exact” de votre site Web à l’instant T.

Mais bien que tout le contenu du dossier “public” ou “web” et la base de données soient censé être répliqué, cela se produit sur un lieu de stockage que vous ne maîtrisez pas. Celui de l’hébergeur.

Et chaque jour passé décale la rétention des données. C’est à dire que le 14 mai, vous pourrez remontrer au plus loin à la date du 5 mai, les sauvegardes antérieures ayant été effacée pour récupérer de la place sur le serveur.

Bien sûr, tout service peut se monnayer, si vous négociez une sauvegarde à 30 jours de rétention il y a fort à parier qu’il y aura un supplément à régler… Mais c’est un point sur lequel nous reviendrons assurément car personnellement, je trouve une sauvegarde à 10 ou 15 jours de rétention totalement décalée par rapport à la réalité du monde de la sécurité des données et du hacking. Je vous expliquerai pourquoi…

Dans tous les cas, ce stockage d’informations fourni par l’hébergeur ne suffit pas à vous prémunir efficacement dans 70% des cas.

Car parfois vous êtes en développement ou vous effectuez des modifications importantes sur votre site Web et les bonnes pratiques voudraient qu’une sauvegarde soit effectuée toutes les 1, 2 ou 3 heures pour la base de données et un autre schéma éventuellement moins fréquent pour les fichiers de code (toutes les 6 ou 12 heures).

Dans ce cas, par exemple, votre situation ne pourra être gérée par les sauvegardes de l’hébergeur. Il vous faut une autre solution, votre sauvegarde personnelle !

Sauvegarde de site Internet sur le même serveur que celui du site : le cas des serveurs virtuels où mutualisés

Parce que tout miser sur une hypothétique sauvegarde réalisée dans un “espace” que vous ne contrôlez pas, que vous ne connaissez pas et que vous ne maîtrisez pas, suffit à se poser quelques questions. Les bonnes si possible.

En effet, qu’en est-il de celles qui sont hébergées sur le même serveur que l’hébergement de votre site, ou dans le même environnement virtuel ?

Pensez-vous vraiment que ce soit une bonne stratégie, que ce soit une bonne pratique (Best Practice comme on dit chez nous) dans le domaine de la cyber-sécurité de réaliser une sauvegarde sur le même serveur que celui qui héberge votre site ? Car si vous êtes hébergé et sauvegardé sur des serveurs virtuels, rien ne dit que ces serveurs ne soient pas un seul et même serveur physique.
Je m’explique : un serveur “physique” est une machine, un ensemble carte mère + processeur + mémoire + disque SSD… ect. Ce même serveur physique héberge bien souvent plusieurs serveurs virtuels, parfois des dizaines…

Un serveur virtuel c’est une machine “virtuelle” à laquelle on attribue une partie de mémoire et une partie de puissance de calcul processeur. Sans rentrer dans les détails (ce n’est pas là le sujet de mon article) un serveur virtuel ressemble en tout point, sur le papier, à un serveur physique. Sauf que un serveur “virtuel” n’est qu’une portion de la machine “physique”, j’espère que vous me suivez.

Retenez simplement que si votre serveur Web virtuel, et votre site de stockage “virtuel” sont sur la même machine “physique”, c’est très mauvais !

Si la machine “physique” à une perte de données quelconques suite à un problème technique, une panne ou est victime d’un hacking, vous êtes susceptible de perdre en même temps votre serveur Web ET vos sauvegardes. C’est assez moche comme situation !

Et pourtant c’est le cas dans plus de 50% des serveurs mutualisés. En fait, c’est plus grave que cela car avec “la mutualisation des serveurs” et donc la “virtualisation des serveurs” (je vous passe les détails technique) il n’y a parfois pas les compétences nécessaires et le désir de bien faire qui vous permettrait de savoir, si “OUI ou NON”, votre sauvegarde se trouve stockée sur le même serveur que celui qui héberge votre site Web.

Car je vous le dis sans détour, si la réponse est OUI, vous pouvez demander à votre hébergeur dans quel état il se trouvait au moment ou il a commis ce geste inconsidéré et hautement défaillant.

Effectivement, même si aujourd’hui avec les SSD nous ne rencontrons plus les mêmes désagréments qu’avec les disques durs à plateau d’antan (usure des plateaux et des têtes, données erronées suite à un chocs, sensibilité au magnétisme extrême…), les SSD restent des électroniques qui, comme toute les électroniques, peuvent avoir une dysfonction, qui elles mêmes peuvent engendrer une perte de données totale et définitive !

Sauvegarde de site Internet 100% sécurisé ?!

Le 100% sécurisé n’existe pas en informatique, on peut simplement tenter de l’approcher à grands coups de redondance, de qualité des procédures, de documentation et de compétence des hommes.

Avec la mutualisation il devient parfois impossible de dire si la sauvegarde du site Internet se trouve être hébergée sur le “site” lui même (sans accès au système de virtualisation et sans les compétences pour savoir déchiffrer ce qui s’y trouve, bonne chance !).

Imaginez ce moment dramatique : “Mince, il va falloir justifier que toute la sauvegarde du site était hébergée sur le même disque que celui qui vient de rendre l’âme… Et personne ne le savait vraiment”. Car c’est bien là un drame. Perdre l’intégralité d’un site c’est perdre des mois, des années de travail et dans le pire des cas propulser une entreprise vers le dépôt de bilan.

Prenons un exemple encore plus simple et surtout plus fréquent…

Le cas, non pas d’une défaillance matérielle, mais d’une malveillance à l’encontre de votre site Web.

Un Hacking, un piratage, un effacement volontaire de données ou de code, un defacing, un vol de données… bref, tout ce qui fait mal à un site Web et qui peut changer le cours de la vie d’un grand nombre de petits et moyennes entreprises aujourd’hui.

Imaginez que vous ne vous aperceviez pas de “la casse” immédiatement. Imaginez une rétention côté hébergeur de 10 jours alors que le piratage a eu lieu il y a 15 ou 20 jours. Impossible de restaurer vos données et votre contenu à une date qui permettrait de retrouver l’état initial… C’est assez ennuyeux vous en conviendrez.

C’est d’autant plus dommageable que mettre en place une politique de sauvegarde n’est pas si compliqué pour des petits et moyens sites.

Suite dans le prochain article sur les sauvegardes…

Comment le RGPD va-t-il changer les politiques d’exploitation des VPN-RPV ?

Comment le RGPD va-t-il changer les politiques d’exploitation des VPN-RPV ?

Changement des politiques d’exploitation des VPN-RPV (Virtual Private Network)

Avec l’impact du RGPD-GDPR sur l’industrie des réseaux privés virtuels, certaines choses vont changer pour de bon. Plus important encore, aucun fournisseur de RPV ne conservera de journaux de navigation sur l’un de ses utilisateurs, car ce serait une infraction criminelle de le faire sans le consentement des utilisateurs. Cependant, les journaux de connexion seraient toujours conservés. À l’avenir, la violation de la vie privée à n’importe quel niveau sera traitée légalement. Elle fait de toute violation un acte illégal, ce qui est bien sûr une infraction criminelle.

Tous les fournisseurs de VPN et les sociétés de cybersécurité sécurisent toutes leurs données sensibles, en l’occurrence les journaux de connexion

La conservation des journaux de connexion cryptés assurera la confidentialité et la sécurité des informations et des données personnelles des utilisateurs.

Cela mettra fin au débat en ligne sans fin sur la question de savoir quel VPN conserve les logs et lequel ne le fait pas. Chaque VPN deviendra sans journal, et chaque VPN fournira à ses utilisateurs l’option de supprimer leurs journaux de connexion s’ils le désirent.

Pourquoi les VPN doivent-ils être conformes à la réglementation RGPD-GDPR ?

Pourquoi les VPN doivent-ils être conformes à la réglementation RGPD-GDPR ?

Ces derniers mois ont été marqués par l’engouement pour la réglementation générale de l’UE en matière de protection des données (RGPD-GDPR) et la manière dont les entreprises en ligne, y compris les fournisseurs de VPN, ont mis à jour leurs politiques de confidentialité.

Comment le RGPD-GDPR protège-t-il les internautes en général ?

Le RGPD-GDPR s’applique à toutes les entreprises qui traitent, stockent, enregistrent ou partagent des données personnelles de citoyens européens, quelle que soit la partie du monde d’où proviennent les entreprises. Le non-respect de l’une ou l’autre des politiques du RGPD-GDPR peut entraîner de lourdes sanctions financières.

Le RGPD-GDPR rend obligatoire pour toutes les entreprises de fournir aux utilisateurs une politique de confidentialité facile à comprendre.

Les entreprises doivent également offrir une option de non-participation aux utilisateurs qui ne veulent pas donner leur consentement à partager leurs données. En cas de violation, l’entreprise devrait informer ses utilisateurs de la violation dans les 72 heures et sans retard inutile. Tous les utilisateurs auront la possibilité de télécharger toutes les données qu’ils ont fournies à une société spécifique, un journal détaillé de la façon dont ces données ont été utilisées dans le passé, et une option pour éditer ou supprimer n’importe laquelle de ces données.

Pourquoi les VPN avaient besoin de garder des journaux dans le passé

Les deux principaux types de journaux que les VPN conservent sont les journaux de connexion et les journaux de navigation. Comme son nom l’indique, le journal de navigation est un rapport complet sur chaque individu concernant toutes ses activités en ligne, sa communication, ses transactions en ligne et d’autres détails complexes.

Malheureusement, la majorité des fournisseurs de VPN qui opéraient à partir des États-Unis étaient tenus par la loi de tenir des registres de navigation. De plus, le fait de ne pas produire les journaux sur avis juridique aurait pu entraîner l’annulation des licences pour le fournisseur de VPN.

Il convient de noter que tous les VPN ne tiennent pas de journaux, mais ceux qui sont basés dans des pays tels que les États-Unis, le Royaume-Uni ou l’Union européenne sont légalement tenus de tenir des journaux pour pouvoir les produire quand la loi l’exige.

Cela compromet tout le concept d’obtenir la confidentialité et la sécurité d’un VPN.

Le deuxième type de journaux est connu sous le nom de journaux de connexion. Beaucoup de gens confondent les journaux de connexion avec les journaux de navigation et commencent à perdre confiance en leur fournisseur VPN après avoir découvert que leur fournisseur VPN conserve les journaux de connexion. Il convient de noter que sans journaux de connexion, aucun service en ligne, et encore moins les fournisseurs de VPN, ne peut fonctionner. Un journal de connexion comprend généralement votre nom, votre adresse e-mail, votre adresse IP et les horodatages de connexion. Sans enregistrement de ces informations, il sera impossible d’autoriser la connexion pour les utilisateurs, ou de savoir quand leur compte expire.

 

Les VPN doivent-ils être conformes à la réglementation RGPD ?

Maintenant que RGPD-GDPR est la loi sur la protection des données, les fournisseurs de VPN n’ont jamais été aussi heureux. Auparavant, ils étaient légalement tenus de tenir des registres, même s’ils détestaient cela. Aujourd’hui, ils ne sont plus tenus de le faire. En fait, le fait de consigner les renseignements personnels des utilisateurs et de les partager avec quiconque sans consentement préalable sera considéré comme une infraction criminelle. Il s’agit en effet d’un moment de soulagement et de célébration pour les deux, les fournisseurs VPN ainsi que leurs clients.

Chaque VPN qui fournit ses services en Europe, ou dont les serveurs sont basés sur le continent, doit se conformer à toutes les réglementations et politiques mises en œuvre par RGPD-GDPR . Ne pas le faire peut entraîner des interdictions régionales sur les fournisseurs de VPN, les empêchant de fournir leurs services à ceux qui vivent en Europe.

Il convient de noter que les fournisseurs de RPV ne sont tenus de se conformer à RGPD-GDPR que lorsqu’ils fournissent des services aux utilisateurs qui vivent en Europe. Cependant, de nombreux fournisseurs de RPV ont accueilli le changement à mains ouvertes et ont commencé à mettre en œuvre la politique de confidentialité des plaintes de RGPD-GDPR à travers le monde, dans le but d’offrir plus de confidentialité et de protection à leurs utilisateurs.

Le mot de la fin

RGPD-GDPR est la première mesure prise pour faire de l’Internet un endroit meilleur et plus sûr pour les humains. Il s’agit avant tout de protéger les utilisateurs et leurs renseignements personnels et de permettre aux entreprises de faire des affaires dans le cadre des lignes directrices susmentionnées.

Techniques pour trouver des Backdoor

Techniques pour trouver des Backdoor

Trouver un Backdoor sur site Web n’est pas une tâche facile parce que sa fonction principale est de se garder caché au yeux du propriétaire du site Web.

Quelles est alors la technique pour identifier un Backdoor ?

Recoupement de Whitelist & Blacklist

Liste blanche

Nous savons à quoi ressemblent les bons fichiers. L’un des moyens d’identifier un fichier légitime est sa somme de contrôle : une signature numérique du fichier qui peut être comparée aux bons fichiers connus.

Par exemple, nous pouvons comparer le site Web individuel aux fichiers de base officiels des principaux systèmes de gestion de contenu (CMS), comme WordPress, Joomla, Magento, Drupal, Prestashop et autres. Nous avons également la somme de contrôle pour la plupart des plugins, modules, extensions et thèmes.

En utilisant cette technique de whitelisting, nous pouvons dire immédiatement si l’un des fichiers de base a été modifié ou si un nouveau fichier a été ajouté. De cette façon, nous pouvons ignorer en toute sécurité les bons dossiers, ce qui élimine une partie importante du travail.

Liste noire

Les grands organismes de sécurité (Sucuri Cloudflare, Kaspersky…) maintiennent une liste évolutive avec des milliers de portes dérobées et leurs variations.

Le blacklisting de ces signatures malveillantes les empêche de s’exécuter sur les sites Web des clients et s’assure qu’elles sont rapidement détectées.

Vérifications des anomalies

Exemple de la procédure SUCURI

“Lorsqu’un fichier n’est pas dans la liste blanche des fichiers de base et également dans la liste noire des signatures de fichiers malveillants, nous effectuons nos vérifications d’anomalies.

Nous analysons toutes les fonctions/variables et les inspectons manuellement pour voir s’il s’agit de portes dérobées. De là, nous les signalons pour enquête si nous ne pouvons pas vérifier que le dossier est bon. Nos analystes de sécurité professionnels peuvent enquêter davantage dans le cas d’une nouvelle porte dérobée ou d’une porte dérobée très complexe.

Lorsque nous trouvons une nouvelle porte dérobée, nous mettons à jour nos listes noires et nos moteurs de corrélation pour les attraper à l’avenir. Si après avoir analysé les fonctions et les variables, nous découvrons qu’elles ne sont pas nuisibles, nous les ajoutons à notre liste blanche.”

Prévention

Vous pouvez prendre certaines mesures pour protéger votre site Web de l’infection initiale :

  • Gardez tous vos logiciels à jour.
  • Gardez l’œil ouvert pour tout type de fichiers étranges sur votre serveur, en particulier les fichiers contenant des fautes de frappe.
  • Utilisez des mots de passe forts et différents.
  • Utilisez un pare-feu d’application de site Web qui agit comme un filtre virtuel invisible pour les pirates et les attaques potentielles.
  • Si vous utilisez WordPress, installez le scanner Sucuri gratuit (ou un scanner payant type WORDFENCE, payant mais qui étudie plus de cas de figures) pour surveiller et auditer votre site.

Conseils pour nettoyer un site Web compromis

Si vous essayez de nettoyer un site compromis par vous-même, nous avons quelques recommandations.

Tout d’abord, remplacez tous les fichiers que vous pouvez (fichiers de base, plugins, etc.) par des fichiers sains connus. Ensuite, analysez manuellement les fichiers personnalisés qui ne peuvent pas être écrasés pour vous assurer que votre site Web est propre.

Il est essentiel que toutes les portes dérobées soient fermées pour nettoyer avec succès un piratage, sinon votre site sera réinfecté rapidement.

Tiré de l’article original paru sur SUCURI : https://blog.sucuri.net/2018/07/ask-sucuri-how-do-you-find-website-backdoors.html

5 choses à savoir sur les montres connectées et la sécurité en 2018

5 choses à savoir sur les montres connectées et la sécurité en 2018

Les trackers d’activité, y compris les trackers de fitness dédiés et les smartwatches, peuvent exposer les réseaux d’entreprise s’ils ne sont pas correctement gérés et connectés

Quelle est la part exacte du risque de sécurité que représentent les traqueurs d’activité pour l’informatique d’entreprise ? Plus que vous ne le pensez : les pirates ciblent les trackers de fitness et les montres intelligentes parce qu’ils sont souvent mal sécurisés et peuvent exposer des mots de passe, révéler les habitudes de travail d’employés de grande valeur ou servir de points d’entrée à d’autres systèmes.

À une extrémité du spectre, il y a l’Institut AV-TEST. L’organisme de recherche basé en Allemagne a récemment testé 12 trackers de fitness et l’Apple Watch Series 3 pour voir à quel point ils étaient sûrs (ou non). Huit des 13 appareils ont reçu la cote la plus élevée possible de trois étoiles. Cependant, AV-TEST a évalué les dispositifs pour la sécurité personnelle et non le risque pour l’entreprise.

Les traqueurs d’activité – comme tous les autres appareils qui se connectent à Internet, à une application ou à une autre technologie – ne peuvent pas être sécurisés à 100 %, 100 % du temps. L’incident de STRAVA, survenu plus tôt cette année, illustre comment les données générées et partagées par les traqueurs d’activité pourraient être utilisées à des fins néfastes.

Voici cinq choses que l’informatique d’entreprise devrait savoir sur les traqueurs d’activité et la sécurité en 2018.

1. Les traqueurs de fitness sont de plus en plus sûrs, mais certains présentent encore des risques

“Par rapport aux tests précédents (AV-TEST), les fabricants ont pris la sécurité des données d’aptitude et la protection des données de leurs clients beaucoup plus au sérieux, ce qui semble avoir du sens à la lumière des scandales de données actuels.

Ainsi ont conclu les chercheurs AV-TEST des plus récents tests de sécurité du tracker d’activité de l’organisation, annoncés en mai 2018. En 2016, par comparaison, les chercheurs d’AV-Test ont conclu que les fabricants de trackers “souvent ne prêtent pas assez d’attention à l’aspect de la sécurité”.

Pour l’étude d’AV-Test 2018, chaque tracker a été testé pour la sécurité de ses communications externes, des communications locales, des applications connectées et de la protection des données. D’après les résultats de chaque test, les dispositifs ont reçu une note globale de une, deux ou trois étoiles.

Apple Watch Series 3 a obtenu trois étoiles, avec de bonnes notes dans chacune des quatre zones de test. C’est digne de mention, car Apple est actuellement le plus gros vendeur de vêtements, selon les données du marché d’IDC pour le premier trimestre 2018. Par conséquent, les informaticiens d’entreprise rencontreront probablement un nombre croissant d’utilisateurs dans leur organisation qui portent une Apple Watch.

Fitbit, qui, selon IDC, occupe maintenant la troisième place mondiale parmi les fabricants d’appareils portables, a reçu une note similaire de la part d’AV-TEST pour sa Charge 2. Le score de Fitbit vaut également la peine d’être noté parce que de nombreux travailleurs portent des Fitbits acquis dans le cadre des programmes de conditionnement physique de l’employeur, qui sont généralement gérés par l’intermédiaire de la plate-forme Fitbit Health Solutions.

Six autres fabricants d’appareils, dont Huawei et Garmin, ont obtenu trois étoiles au test AV-Test. Huawei s’est classé quatrième sur la liste d’IDC et Garmin cinquième.

Le tracker HW01 de Lenovo n’a reçu qu’une étoile de AV-Test ; les appareils de Xiaomi, Polar et Moov ont reçu deux étoiles. Cependant, les équipes de TI des entreprises nord-américaines peuvent être moins susceptibles de rencontrer des utilisateurs portant ces dispositifs. Bien que Xiaomi se classe deuxième sur la liste d’IDC, le marché de l’entreprise est en grande partie basé en Chine. Polar et Moov n’ont pas atterri sur la liste d’IDC.

2. Hackers : métadonnées de suivi de cible

Les pirates informatiques ne s’intéressent pas au nombre de pas que vous faites ou à votre fréquence cardiaque au repos. Ils pourraient être intéressés par le tableau d’ensemble que les métadonnées d’un pisteur peuvent peindre de vos activités, surtout si vous êtes quelqu’un qu’ils veulent cibler, note Ramon T. Llamas, un directeur de recherche d’IDC axé sur les appareils mobiles et la réalité augmentée/virtuelle. “Trianguler la durée de l’exercice et les distances que vous faites normalement et l’heure à laquelle vous faites de l’exercice peut montrer à un hacker quand vous êtes ou non au travail, et cela pourrait faire de vous une cible optimale” – un point qu’illustre l’incident récent de Strava.

Les médias ont rapporté en janvier 2018 que les soldats américains qui jumelaient leurs traqueurs d’activité au réseau de conditionnement physique Strava révélaient involontairement leurs coordonnées GPS via la carte mondiale de chaleur de Strava – qui est facilement accessible à toute personne disposant d’une connexion Internet. Le Pentagone ne s’est pas amusé. James Quaries, PDG de Strava, a répondu que l’entreprise ” travaille avec les militaires et les fonctionnaires pour traiter les données potentiellement sensibles “, entre autres mesures correctives.

3. Votre faible priorité en sécurité pourrait être une priorité élevée pour les pirates informatiques

“Les traqueurs d’activité sont plus bas sur la liste des préoccupations en matière de sécurité informatique, en particulier par rapport aux risques tels que les brèches dans les bases de données de mots de passe “, explique Merritt Maxim, un analyste principal de Forrester centré sur la sécurité et les risques. “Mais si les trackers sont en bas de votre liste, l’inverse pourrait être vrai pour les hackers. Ils se concentrent parfois sur des choses qui ne préoccupent pas trop l’informatique d’entreprise, parce qu’ils cherchent des cibles faciles.“.

Par exemple, il y a quelques années, les centres d’appels d’entreprise n’étaient pas une préoccupation majeure en matière de sécurité, note Maxim. Les criminels ont alors commencé à utiliser les appels téléphoniques à faible technicité, ainsi que l’ingénierie sociale et d’autres tactiques, pour obtenir des renseignements personnels sur les clients d’une entreprise auprès de ses opérateurs de centres d’appels, en particulier ceux qui se trouvent à l’extérieur des États-Unis.

4. Une montre à puce volée par un pirate informatique est probablement votre plus grande préoccupation

Les trackers dédiés au fitness perdent du terrain au profit de montres intelligentes plus performantes. Au cours du premier trimestre 2018, les ventes de smartwatch d’Apple, Fitbit et autres ont augmenté de 28,4 %, tandis que les ventes de vêtements de base ont diminué de 9,2 %, rapporte IDC.

Alors qu’auparavant, les smartwatches se limitaient principalement à la connectivité via Bluetooth, de nombreux modèles actuels se connectent via Wi-Fi à des applications pour smartphones. La connectivité Wi-Fi donne aux pirates une plus grande souplesse pour accéder, par exemple, au courrier électronique d’un utilisateur, qui peut être consulté à partir d’une smartwatch. Avec le Wi-Fi ou la connexion cellulaire d’une smartwatch, le voleur n’a plus besoin d’être à portée Bluetooth de la victime pour obtenir une connexion en ligne et ainsi avoir accès à l’information, explique Chet Wisniewski, chercheur scientifique principal de Sophos.

Pour la majorité des gens, cependant, un tel scénario de cape et d’épée est peu probable. “Mais si vous avez des employés à haut risque ayant accès à des informations sensibles, vous devriez leur faire savoir que leur Smartwatch, en cas de perte ou de vol, pourrait potentiellement donner à un pirate l’accès à ces informations “, dit M. Wisniewski. “S’ils perdent la montre, ils doivent vous le faire savoir immédiatement“, ajoute-t-il, afin que l’informatique ou l’utilisateur puisse désactiver la montre à distance. Par exemple, Apple offre une fonction de verrouillage d’activation, qui est active par défaut, sur sa montre Apple Wi-Fi.

De plus, en cas de perte ou de vol d’une montre intelligente Wi-Fi, tirez parti du système de gestion des appareils mobiles (MDM) de votre organisation ” pour assurer la transmission sûre des données entre la montre intelligente et l’entreprise, comme c’est déjà le cas pour les téléphones intelligents et les tablettes “, explique M. Llamas. “Bien sûr, les MDM doivent aussi être tenus à jour.”

5. Les montres Smartwatches n’introduisent pas de risques supplémentaires

Même si les utilisateurs ne portent pas de montres intelligentes, il y a de fortes chances qu’ils aient des smartphones avec eux presque partout, ajoute M. Wisniewski. Les Smartphones suivent constamment l’emplacement et partagent ces données avec les quatre principaux opérateurs sans fil américains (il en est de même en France) ainsi qu’avec les fabricants d’appareils et les éditeurs de logiciels. En juin 2018, on a constaté que les entreprises de télécommunications sans fil américaines partageaient les données de localisation des clients avec des tiers.

“Nous payons déjà volontairement 1 000 $ ou plus pour transporter un tracker – notre smartphone – qui donne nos informations de localisation à toutes sortes d’entreprises “, explique M. Wisniewski. “Si vous y pensez, une montre à puce n’introduit aucun risque supplémentaire.”

En fin de compte, le travail de l’informatique d’entreprise est d’éduquer les utilisateurs sur les risques potentiels et d’identifier les mesures et procédures claires qu’ils devraient prendre pour atténuer ces risques, dit M. Wisniewski. Identifiez les utilisateurs qui risquent le plus d’être la cible de pirates informatiques et aidez-les à trouver des moyens d’être plus vigilants en matière de sécurité.

Vous pourriez dire aux utilisateurs de votre organisation de ne pas porter de traceurs d’activités ou de montres intelligentes, bien sûr, mais bonne chance avec cela. “Vous ne pouvez pas dire aux gens ce qu’ils peuvent ou ne peuvent pas porter “, surtout si, comme une montre à puce, l’appareil est souvent utilisé pour des raisons personnelles, dit Wisniewski. “Acceptez juste qu’il n’y a pas grand-chose que vous pouvez faire à ce sujet.”

Votre site est compromis par un pirate ou un robot

Votre site est compromis par un pirate ou un robot

La plupart des gens supposent que si leur site Web a été compromis, il doit y avoir eu un attaquant évaluant leur site et cherchant une vulnérabilité spécifique au piratage.

Dans la plupart des cas, cependant, les mauvais acteurs ne choisissent pas manuellement les sites Web à attaquer, car c’est un processus fastidieux et chronophage.

Ils s’appuient plutôt sur l’automatisation pour identifier les sites Web vulnérables et exécuter leurs attaques.

La triste réalité est que les sites Web grands ou petits sont ciblés quotidiennement et que la majorité de ces attaques sont automatisées.

L’automatisation est populaire auprès des mauvais acteurs

Il est plus facile de compromettre rapidement de nombreux sites plutôt que sur une base individuelle, ce qui permet une exposition de masse.

Ainsi, en 2016, 28% des attaques étaient imputables à des robots (Bots).

Les frais généraux sont réduits lorsque vous pouvez identifier les sites Web vulnérables et exécuter un compromis simultanément.
Les chances de succès augmentent lorsque vous pouvez communiquer rapidement entre l’hôte et l’attaquant.
Les outils sont facilement disponibles, ce qui en fait une méthode accessible pour les utilisateurs inexpérimentés.
Pour aider les petits propriétaires de sites Web à atténuer le risque d’un compromis par des attaques automatisées, voici quelques techniques ci-dessous.

Mise à jour des correctifs

La plupart des attaques sont effectuées par des robots qui grattent les listes de sites Web et vérifient une série de vulnérabilités communes qui peuvent être facilement exploitées. La majorité de ces tentatives concernent des vulnérabilités qui ont déjà été divulguées et rendues publiques, mais les utilisateurs n’ont pas mis à jour leur logiciel assez rapidement.

Un bon exemple de cela est la vulnérabilité du plugin RevSlider pour WordPress à partir de 2014. Même aujourd’hui, il est encore couramment exploité par les attaquants, mais soit les utilisateurs n’en sont pas conscients et ne mettent pas à jour le plugin, soit les composants RevSlider sont inclus avec le thème, donc les utilisateurs doivent mettre à jour le thème, ce qui cause des problèmes.

De nombreux thèmes (même des thèmes premium comme Newspaper et Newsmag) ont été abandonnés depuis longtemps ; leurs auteurs ne les mettent plus à jour, ce qui rend impossible la correction des vulnérabilités à moins que le propriétaire du site Web soit prêt à embaucher un développeur voire refondre un site.

Certains des thèmes premium sont mis à jour, souvent l’utilisateur doit acheter la nouvelle version ou le patch qu’ils ont – ce qui peut ne pas être aussi simple que la mise à jour via le tableau de bord WordPress.

Le problème n’est pas seulement exclusif à WordPress, il en va de même pour les autres systèmes de gestion de contenu. Joomla a un certain nombre de vulnérabilités, ce qui rend la mise à niveau plus difficile pour les utilisateurs.

Dans de nombreux cas, nous voyons même des sites Web Joomla exécutant des composants JCE obsolètes qui sont connus pour être vulnérables depuis quelques années. Malheureusement, les propriétaires de sites Web ne sont pas encore conscients de la vulnérabilité et ne mettent pas à jour leur CMS, ce qui entraine des exploits et des sites Web compromis.

Protéger le backend

Protéger votre interface d’administrateur contre les attaques par force brute peut être assez simple et peut aider à dissuader les attaques automatisées.

Une bonne solution serait d’ajouter l’authentification multifactorielle (comme 2FA) à votre zone d’administration pour empêcher les robots d’essayer de deviner le nom d’utilisateur et le mot de passe. Cette solution ajoutera une autre méthode d’authentification que seul l’utilisateur qui essaie d’accéder à la zone d’administration possède, comme un téléphone portable qui recevra le jeton pour conclure l’authentification.

Il existe d’autres méthodes pour ajouter une protection au backend du site qui peuvent ne pas être aussi conviviales qu’un plugin, mais qui peuvent aussi augmenter la sécurité, par exemple :

  • Mettre en place un jeton caché sur des pages protégées, ce qui peut être aussi simple qu’un champ caché que les utilisateurs ne voient pas mais que les robots le feraient. Lorsque le bot tente de remplir le champ, celui-ci peut alors être utilisé pour identifier cette requête comme provenant d’un bot non sollicité.
  • Configurer un fichier.htaccess pour n’autoriser qu’une liste d’adresses IP (assez difficile à maintenir si votre adresse IP change trop souvent).
  • Utiliser un fichier htpasswd avec le fichier.htaccess pour ajouter une autre couche d’authentification à la page d’administration : http://httpd.apache.org/docs/current/howto/auth.html (ceci ne compte pas comme 2FA puisque le mot de passe n’est pas quelque chose que l’utilisateur possède).

Joomla 3 a déjà intégré un 2FA sur le CMS, mais doit être configuré. Vous pouvez voir comment faire cela et l’activer sur les formulaires dont vous avez besoin à partir de leur documentation : https://docs.joomla.org/J3.x:Two_Factor_Authentication

Une fois que cela se produit, l’impact sur votre site Web peut être préjudiciable. Votre site Web peut être placé sur une liste de sites Web qui ont été signalés comme vulnérables et compromis.

Dans la plupart des cas, le même bot qui a marqué votre site Web, sera en mesure d’exploiter la vulnérabilité, de télécharger des logiciels malveillants en utilisant le trou de sécurité, et de faire un rapport à l’attaquant. Cela permet au bot d’exploiter davantage le site, de télécharger du phishing ou de l’utiliser dans leur campagne de spam – ce qui n’est pas bon pour votre site web ou vos visiteurs.

Peu de temps après qu’un site Web a été compromis par une attaque automatisée, Google et d’autres moteurs de recherche le parcourent et (dans la plupart des cas) détectent qu’il y a des logiciels malveillants. Cela peut mener à une liste noire, à des impacts négatifs sur votre trafic et à de mauvais classements.

Gestion des mots de passe

L’utilisation de mots de passe peu surs ou simples pour votre interface d’administrateur, FTP ou panneau de contrôle peut également entrainer la compromission de votre site Web.

Je vous recommande fortement d’utiliser un gestionnaire de mots de passe qui peut générer un mot de passe fort pour vous. Le gestionnaire de mots de passe doit garder vos mots de passe cryptés, complexes et uniques. Il n’est pas nécessaire de s’en souvenir. Il vous suffit de connaitre le mot de passe de votre gestionnaire de mots de passe pour accéder aux autres.

Un certain nombre de gestionnaires de mots de passe populaires existent, mais je recommande l’utilisation de LastPass car il s’agit d’un logiciel qui fonctionne sur une grande variété de plateformes.

J’ai vais réaliser un certain nombre d’articles qui pourront vous aider à sécuriser davantage votre installation WordPress, et des vidéos tutoriels surtout pour apprendre à paramétrer vos plug-ins et à configurer au mieux WordPress.

Car il y a de nombreux sujets à parcourir :

  • Brute Force
  • Firewall
  • Content Security Privacy
  • XSS & ClickJacking
  • Les sauvegardes
  • La double authentification…

Et tout autant de logiciels/méthodes/plug-ins intéressants pour régler ces cas de figure

Mais tout ceci vous le découvrirez à la rentrée prochaine, en revenant biens bronzés !

Sécurité : Rapport sur les sites Web piratés en 2017 SUCURI

Sécurité : Rapport sur les sites Web piratés en 2017 SUCURI

Les dernières tendances en matière de sécurité, de logiciels malveillants et de piratage dans les sites Web compromis.

Ce rapport est basé sur les données recueillies et analysées par le Sucuri Remediation Group (RG), qui comprend l’Incident Response Team (IRT) et l’Malware Research Team (MRT).

Il analyse plus de 34 000+ sites Web infectés et partage les statistiques associées à :

  • Applications CMS open-source affectées
  • Analyse des listes noires
  • Familles de logiciels malveillants et leurs effets

Introduction sur le rapport 2017 SUCURI

Le rapport sur les sites Web piratés est un rapport produit par Sucuri. Il résume les dernières tendances par mauvais acteurs, identifiant les dernières tactiques, techniques et procédures (TTPs) vues par le Groupe de Remédiation (RG).

Ce rapport s’appuiera sur les données des trimestres précédents, y compris les données mises à jour pour 2017.

La seule constante que vous trouverez dans ce rapport est la question des administrateurs de sites Web mal formés (c.-à-d. les webmasters) et leur effet sur les sites Web.

Ce rapport fournira des tendances basées sur les applications CMS les plus affectées par les compromis de sites Web, le type de familles de logiciels malveillants utilisés et des mises à jour sur l’état de la liste noire des sites Web. Il ne prend pas en compte les données relatives aux configurations des plugins WordPress.

Ce rapport est basé sur un échantillon représentatif du nombre total de sites Web sur lesquels le Sucuri RG a fourni des services d’intervention en cas d’incident. Au total, 34 371 sites Web infectés ont été analysés dans le présent rapport. Cet échantillon a fourni une représentation des sites Web infectés sur lesquels le groupe d’assainissement a travaillé au cours de l’année civile 2017.

Ça se passe ICI, le rapport est en téléchargement et en anglais

DDoS l’attaque volumétrique par saturation : Qu’est ce que c’est ?

DDoS l’attaque volumétrique par saturation : Qu’est ce que c’est ?

Attaque volumétrique par saturation de la bande passante

Dans cette catégorie d’attaque volumétrique  nous pouvons remarquer la tentative de de créer une saturation en consommant toute la bande passante disponible entre la cible et le plus grand Internet.

C’est alors que de grandes quantités de données seront envoyées à une cible en utilisant un système d’amplification ou un autre moyen pour créer un trafic massif, comme les demandes du botnet.


Attaque volumétrique par amplification de DNS

Une amplification de DNS c’est comme si une personne devait appeler un restaurant et dire « Je vous confirme ma commande, s’il vous plaît rappelez-moi et donnez moi le détail des articles de ma commande », et  le numéro de téléphone à rappeler et celui de la cible. Avec très peu d’effort, une réponse longue est générée.

Il peut s’agir de…

  • l’inondation d’un réseau ou d’un serveur par des pings afin d’empêcher son bon fonctionnement
  • interrompre et perturber des connexions entre deux machines, empêcher l’accès à un service précis
  • l’obstruction d’accès à un service où à une personne en particulier

Conclusion

L’attaque volumétrique est une arme redoutable et facilement ajustable pour les pirates.

Elle à pour conséquence de totalement faire tomber le serveur, au final : plus de présence en ligne.

Néanmoins, il faut l’envisager avec sérieux donc, et la combattre avec véhémence !

 

 

 

RGPD : tous responsables de la sécurité des données

RGPD : tous responsables de la sécurité des données

Comme vous le savez surement, le RGPD est effectif depuis le 25 mai 2018 !

La sécurité des données est devenue primordiale

Dès lors, tous personnes possesseurs ou administrateurs de sites Internet, qu’ils soient commerciaux, institutionnels ou associatifs, se doivent de veiller à la sécurité des données inhérentes à leur site WEB.
Cela signifie qu’en plus de remplir les bonnes pratiques liées à la RGPD, vous devez tout faire pour satisfaire aux conditions optimales de sécurité de votre site Internet.


Quid de la sécurité des données des comptes clients, des utilisateurs, des commandes, des adresses clients et fournisseurs

Tout doit être sécurisé, car le cas échéant, et en cas de fuite de données notamment, vous serez personnellement tenu pour responsable devant la loi et devant les propriétaires de ces informations de la bonne sécurité des données, où non !
Vous devez donc veiller à ce que vos sites Internet soient particulièrement bien protégés, en assurer la sécurité des données devient alors une activité récurrente pour chacun d’entre nous.

Exemple

La CNIL a prononcé une sanction d’un montant de 250.000 euros contre la société OPTICAL CENTER pour avoir insuffisamment sécurisé les données de ses clients effectuant une commande en ligne. Une fuite de données via les URL permettait d’obtenir sans trop de difficultés les données personnelles des clients (Nom, prénom, adresse…).

Le seul moyen de savoir si votre site est correctement protégé contre les hackers (attention, le 100% sécurisé n’existe pas !), c’est de procéder régulièrement à des scan et à des tests de vos sites Internet.

Pourquoi régulièrement, tout simplement car un site est “vivant”, vous ajoutés des photos, des textes, des pièces jointes, des parties de codes sont modifiés et dans le cas des CMS des plugins sont mis à jour, le cœur du CMS également…

L’état, à un instant T, de votre site peut changer

Autant de raisons de surveiller fréquemment la bonne santé “sécurité” de votre site Internet, comme vous le feriez pour votre voiture. L’analogie est simpliste mais tellement vraie. un accident est si vite arrivé.
CQFD
Bonne journée 😉

mi, lectus dapibus efficitur. risus Praesent Donec odio