mercredi 18 octobre 2017    || Inscription
BanniereNews
 
 
News Partenaires

2016 a été une année record en matière de failles de sécurité. De récentes études indiquent que le nombre de dossiers exposés a atteint les 4,2 milliards l'année dernière, contre seulement 1,1 milliard en 2013.

[Lire l'article...]

Le magazine Mag-Securs a ouvert une enquête pour identifier les choix faits par les entreprises pour être conforme au RGPD. L’enquête se déroule de juillet à début septembre et cherche à identifier des choix techniques. Quelle analyse de risque, quelles solutions de cloisonnement, de chiffrement, de PKI, de contrôles des administrateurs, etc. Un questionnaire a été publié en français et un autre en anglais. Les réponses en retour sont de bonne qualité et arrivent tous les jours.L’enquête a été diffusée par le site web de Mag-Securs, le réseau LinkedIn et ses groupes de discussion, Facebook, Twitter et les mailings listes du groupe PC Presse. Une belle infrastructure pour inter agir avec les professionnels.

Garantir une sécurité totale pour garder la confiance de nos interlocuteurs

Le questionnaire est technique, et ce n’est pas le premier sur lequel travaille la rédaction. Dès le premier questionnaire, une règle d’or a été érigée par la rédaction : un respect total et absolu de la confidentialité des informations données par les interlocuteurs du magazine. Avec tous les moyens techniques et organisationnels nécessaires.

Un sujet tel que la sécurité des industries sensibles a déjà été traité dans le passé; actuellement, il s’agit de la protection des données à caractère personnel. Une confiance totale sur le niveau de protection des informations entre la rédaction et ses interlocuteurs doit exister pour travailler sur de tels sujets. Il est hors de question de rendre publiques les mesures de sécurité choisies par nos interlocuteurs. Or, celles-ci peuvent intéresser différentes personnes pour différentes motivations …

Une attaque audacieuse imprévue

Samedi 29 juillet matin, plusieurs messages ont sonné sur la messagerie de la rédaction. Des commentaires étaient publiés dans les groupes de discussions présentant l’enquête. Lesquels commentaires proposaient un complément de questionnaire à nos interlocuteurs. C’est une variante des techniques de phishing : ajouts d’URL.

Le réseau LinkedIn-Microsoft a transmis ces informations, ou alertes, en moins de 30 mn, ce matin.

La finalité de ce complément de questionnaire changeait la nature du questionnaire de la rédaction. Il s’agissait de prendre les coordonnées des interlocuteurs pour les recontacter à des fins commerciales. Pas du tout pour faire une étude du marché et la publier ensuite. Le détournement de finalité par rapport à l’enquête du magazine Mag-Securs est donc total. Mais les questionnaires s’enchaînant l’un derrière l’autre dans les groupes de discussions, la confusion était possible.

L’identité de l’émetteur est claire, et n’est pas masquée. Une personne en relation avec la rédaction depuis plusieurs années via LinkedIn. Il faut préciser que la rédaction compte bien plus de 10 000 relations à ce jour. C’est un coup d’essai en force.

L’attaquant : le barjot habituel…

L’individu, Jean-François L…., signe de son nom et de celui de sa société. Renseignement pris, la société « N.....K » a plusieurs visages : au moins 4. Une société d’édition de logiciels créée en 2002 en région parisienne, en redressement judiciaire en 2012, puis liquidée. Une nouvelle société d’édition recréée en région parisienne, sous le même nom. Une société de conseil, sous le même nom, dans la région de Bordeaux, comptant, d’après societe.com, zéro salarié. Et une représentation à Montréal au Canada. Aucun bilan publié, naturellement…. 

L’individu cherche à vendre des prestations pour mettre les grands groupes (multi-filiales) en conformité avec le RGPD en cherchant à mesurer leur niveau de maturité. Son questionnaire de 20 demandes est pré-rempli, toutes les réponses étant au niveau zéro, initialement. Il cherche, dans la publication de ses commentaires le 29 juillet, à s’inscrire dans la suite du questionnaire de la rédaction de Mag-Securs. La recherche de confusion est claire !

La riposte

La rédaction lui écrit dans la demi-heure suivant ses publications, en donnant un numéro de mobile. L’individu ne rappelle pas, ni ne répond à l’email. Sans trop de surprise…

Les commentaires sont signalés au réseau LinkedIn comme indésirables, et générant une confusion avec les travaux de la rédaction. Ils sont retirés.

Deux commentaires sont publiés par la rédaction immédiatement sur le site web Mag-Securs sur la page présentant l’enquête RGPD expliquant à nos lecteurs que le questionnaire complémentaire n’émane pas de la rédaction. Il est demandé aux lecteurs de Mag-Securs de signaler toute nouvelle publication qui serait découverte.
Le présent article est écrit et publié sur le site dans la foulée.

Retour d’expérience

Les réponses des interlocuteurs du Magazine au questionnaire RGPD n’ont pas été mises en danger samedi matin 29 juillet. Aucune information confidentielle n’a été violée. La protection des données de la rédaction n’a pas été exposée.

Le système d’alerte de publication de commentaires par le système Microsoft LinkedIn a parfaitement fonctionné et la rédaction a pris connaissance des commentaires indésirables avec leurs nouvelles URL imprévues, 30 minutes après leur publication.

Le risque était que des lecteurs fassent la confusion, par erreur, entre les deux questionnaires et fournissent des informations personnelles, voire sensibles, à un tiers à leur insu. Le lectorat du magazine étant professionnel, le créneau de l’attaque un samedi matin n’a pas exposé le maximum de lecteurs, mais l’attaquant ne devait pas le savoir, ou n’a pas dû y réfléchir. La nature professionnelle de notre lectorat est pourtant une information publique.

Les procédures de surveillance de la rédaction du magazine, de signalement et de refoulement de commentaires sur le réseau social ont été de bonne qualité.

Finalement : pas d’impact, c’est un quasi-incident. Near Miss, comme disent nos amis anglais. Il faut conserver la vigilance…
Le niveau de vigilance de la rédaction est renforcé.

Les adresses des vrais questionnaires sont :
https://www.mag-securs.com/news/id/36035/participez-a-la-grande-enquete-rgpd-de-mag-securs.aspx 
https://goo.gl/forms/gv0FYquIEPI8fNEx2
https://goo.gl/forms/K59GngIIwdgj8gkF2 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Billet d'humeur

Histoire vécue incroyable de RSSI (3)

Le rêve d’un « service premium gratuit » et de contrats de maintenance à vie sans payer (n°3 d’une longue série à venir.)

la rédaction 0 823

Les histoires ci-dessous sont tirées de cas réels de comportements déviants d’utilisateur / utilisatrice, assez incroyables, mais complètement réelles.
Il est usuel d’exiger une qualité de service parfaite. Les produits doivent fonctionner et n’avoir aucun défaut. Le fournisseur doit apporter une réponse immédiate à tout, y compris pour fournir des services qu’il n’a jamais envisagés, et le tout gratuitement.
Des telles attentes reposent sur un malentendu dans lequel l’utilisateur est aussi fautif que le fournisseur. Que l’on soit avec un service de grande consommation, ou avec un service professionnel.

Événements SSI

RENCONTRES ARCSI

Messageries et systèmes de confiance

la rédaction 0 218

Les 11èmes Rencontres de l'ARCSI (Association des Réservistes du Chiffre et de la Sécurité de l'Information) se tiennent le 7 novembre 2017 à Paris (école du Val-de-Grâce) sur le thème : Messageries et systèmes de confiance Quel monde numérique allons-nous laisser à nos enfants ?. Organisées par l'ARCSI.

TRUSTECH

Technologies de la confiance

la rédaction 0 360

Cet événement international dédié aux "technologies de la confiance" qui intègre désormais le salon Cartes Secure Connexions (jusqu'en 2015 celui-ci se tenait à Paris Villepinte) est organisé à Cannes (palais des festivals) du 28 novembre au 30 novembre 2017. Organisé par Comexposium.

FIC

Forum International de la Cybersécurité à Lille

la rédaction 0 400

Le 10ème Forum International de la Cybersécurité occupe les 23 et 24 janvier 2018 le Grand Palais de Lille. Organisé par la Région Nord-Pas de Calais et Euratechnologies, la Gendarmerie Nationale et CEIS.

IT MEETINGS

Salon business des réseaux, des télécoms, de la mobilité, du cloud computing, des datacenters et de la sécurité

la rédaction 0 402

Le salon business des réseaux, des télécoms, de la mobilité, du cloud computing, des datacenters et de la sécurité aura pour cadre à nouveau du 20 au 22 mars 2018 le palais des festivals et des congrès de Cannes. Organisé par Weyou Group.

DOCUMATION

Couplé avec le Data Intelligence Forum

la rédaction 0 373

Congrès et exposition Documation et Data Intelligence Forum, deux événements pour réussir sa digitalisation, du 20 au 22 mars 2018  à Paris Porte de Versailles. Organisé conjointement avec les salons Solutions RH, Solutions Intranet, Collaboratif et RSE et I-expo par Infopromotions.

SSI SANTÉ

6ème Congrès National de la Sécurité des SI de Santé

la rédaction 0 147

Le 6ème Congrès National de la Sécurité des SI de Santé a lieu du 3 au 5 avril 2018 au Mans avec pour thèmes : Europe & RGPD, cyber-insécurité, technologies & méthodes. Organisé par l'Apssis (Association Pour la Sécurité des Systèmes d'Information de Santé).

RSA CONFERENCE

Édition USA

la rédaction 0 363

Dédiée à la sécurité de l'information, la RSA Conference USA se tient à San Francisco (Moscone Center) du 16 au 20 avril 2018. Organisée par RSA.

RSS