samedi 24 février 2018    || Inscription
BanniereNews
 
 
News Partenaires

2016 a été une année record en matière de failles de sécurité. De récentes études indiquent que le nombre de dossiers exposés a atteint les 4,2 milliards l'année dernière, contre seulement 1,1 milliard en 2013.

[Lire l'article...]

Le magazine Mag-Securs a ouvert une enquête pour identifier les choix faits par les entreprises pour être conforme au RGPD. L’enquête se déroule de juillet à début septembre et cherche à identifier des choix techniques. Quelle analyse de risque, quelles solutions de cloisonnement, de chiffrement, de PKI, de contrôles des administrateurs, etc. Un questionnaire a été publié en français et un autre en anglais. Les réponses en retour sont de bonne qualité et arrivent tous les jours.L’enquête a été diffusée par le site web de Mag-Securs, le réseau LinkedIn et ses groupes de discussion, Facebook, Twitter et les mailings listes du groupe PC Presse. Une belle infrastructure pour inter agir avec les professionnels.

Garantir une sécurité totale pour garder la confiance de nos interlocuteurs

Le questionnaire est technique, et ce n’est pas le premier sur lequel travaille la rédaction. Dès le premier questionnaire, une règle d’or a été érigée par la rédaction : un respect total et absolu de la confidentialité des informations données par les interlocuteurs du magazine. Avec tous les moyens techniques et organisationnels nécessaires.

Un sujet tel que la sécurité des industries sensibles a déjà été traité dans le passé; actuellement, il s’agit de la protection des données à caractère personnel. Une confiance totale sur le niveau de protection des informations entre la rédaction et ses interlocuteurs doit exister pour travailler sur de tels sujets. Il est hors de question de rendre publiques les mesures de sécurité choisies par nos interlocuteurs. Or, celles-ci peuvent intéresser différentes personnes pour différentes motivations …

Une attaque audacieuse imprévue

Samedi 29 juillet matin, plusieurs messages ont sonné sur la messagerie de la rédaction. Des commentaires étaient publiés dans les groupes de discussions présentant l’enquête. Lesquels commentaires proposaient un complément de questionnaire à nos interlocuteurs. C’est une variante des techniques de phishing : ajouts d’URL.

Le réseau LinkedIn-Microsoft a transmis ces informations, ou alertes, en moins de 30 mn, ce matin.

La finalité de ce complément de questionnaire changeait la nature du questionnaire de la rédaction. Il s’agissait de prendre les coordonnées des interlocuteurs pour les recontacter à des fins commerciales. Pas du tout pour faire une étude du marché et la publier ensuite. Le détournement de finalité par rapport à l’enquête du magazine Mag-Securs est donc total. Mais les questionnaires s’enchaînant l’un derrière l’autre dans les groupes de discussions, la confusion était possible.

L’identité de l’émetteur est claire, et n’est pas masquée. Une personne en relation avec la rédaction depuis plusieurs années via LinkedIn. Il faut préciser que la rédaction compte bien plus de 10 000 relations à ce jour. C’est un coup d’essai en force.

L’attaquant : le barjot habituel…

L’individu, Jean-François L…., signe de son nom et de celui de sa société. Renseignement pris, la société « N.....K » a plusieurs visages : au moins 4. Une société d’édition de logiciels créée en 2002 en région parisienne, en redressement judiciaire en 2012, puis liquidée. Une nouvelle société d’édition recréée en région parisienne, sous le même nom. Une société de conseil, sous le même nom, dans la région de Bordeaux, comptant, d’après societe.com, zéro salarié. Et une représentation à Montréal au Canada. Aucun bilan publié, naturellement…. 

L’individu cherche à vendre des prestations pour mettre les grands groupes (multi-filiales) en conformité avec le RGPD en cherchant à mesurer leur niveau de maturité. Son questionnaire de 20 demandes est pré-rempli, toutes les réponses étant au niveau zéro, initialement. Il cherche, dans la publication de ses commentaires le 29 juillet, à s’inscrire dans la suite du questionnaire de la rédaction de Mag-Securs. La recherche de confusion est claire !

La riposte

La rédaction lui écrit dans la demi-heure suivant ses publications, en donnant un numéro de mobile. L’individu ne rappelle pas, ni ne répond à l’email. Sans trop de surprise…

Les commentaires sont signalés au réseau LinkedIn comme indésirables, et générant une confusion avec les travaux de la rédaction. Ils sont retirés.

Deux commentaires sont publiés par la rédaction immédiatement sur le site web Mag-Securs sur la page présentant l’enquête RGPD expliquant à nos lecteurs que le questionnaire complémentaire n’émane pas de la rédaction. Il est demandé aux lecteurs de Mag-Securs de signaler toute nouvelle publication qui serait découverte.
Le présent article est écrit et publié sur le site dans la foulée.

Retour d’expérience

Les réponses des interlocuteurs du Magazine au questionnaire RGPD n’ont pas été mises en danger samedi matin 29 juillet. Aucune information confidentielle n’a été violée. La protection des données de la rédaction n’a pas été exposée.

Le système d’alerte de publication de commentaires par le système Microsoft LinkedIn a parfaitement fonctionné et la rédaction a pris connaissance des commentaires indésirables avec leurs nouvelles URL imprévues, 30 minutes après leur publication.

Le risque était que des lecteurs fassent la confusion, par erreur, entre les deux questionnaires et fournissent des informations personnelles, voire sensibles, à un tiers à leur insu. Le lectorat du magazine étant professionnel, le créneau de l’attaque un samedi matin n’a pas exposé le maximum de lecteurs, mais l’attaquant ne devait pas le savoir, ou n’a pas dû y réfléchir. La nature professionnelle de notre lectorat est pourtant une information publique.

Les procédures de surveillance de la rédaction du magazine, de signalement et de refoulement de commentaires sur le réseau social ont été de bonne qualité.

Finalement : pas d’impact, c’est un quasi-incident. Near Miss, comme disent nos amis anglais. Il faut conserver la vigilance…
Le niveau de vigilance de la rédaction est renforcé.

Les adresses des vrais questionnaires sont :
https://www.mag-securs.com/news/id/36035/participez-a-la-grande-enquete-rgpd-de-mag-securs.aspx 
https://goo.gl/forms/gv0FYquIEPI8fNEx2
https://goo.gl/forms/K59GngIIwdgj8gkF2 




Noter cet article (de 1 = Nul à 5 = Excellent) Valider

Billet d'humeur

Histoire vécue incroyable de RSSI (2)

L'oubli du code "FTG" (n°2 d’une longue série à venir….)

la rédaction 0 1358

Les histoires ci-dessous sont tirées de cas réels de comportements déviants d’utilisateur / utilisatrice, assez incroyables, mais complètement réelles.

Il est désormais habituel de tout publier. Un dessert crème chantilly dans un restaurant est pris en photo et posté immédiatement sur Facebook ou Instagram avec un commentaire de satisfaction gourmant. Un appel téléphonique, ou même un simple SMS, et il faut répondre sans délai en donnant tous les détails et toutes les explications, y compris en public. Un mail est non reçu, alors qu’il a été émis depuis le poste de travail, il va être renvoyé depuis le smartphone dans les transports publics, avec la mention « émis de mon iPhone », ou « téléphone Android », qu’importe. L’expéditeur sera un « héros » pour avoir  débloqué la communication et republié tout dans la seconde, sans savoir si la communication peut être interceptée ou non. Les SMS sont notamment interceptables sur la planète entière sur la couche de signalisation SS7 des réseaux téléphoniques, où ils ne pas chiffrés.

Sans oublier les conversations argumentées, voire enflammées, sur des contrats sensibles, lors d’un déjeuner dans un restaurant dans le quartier d’affaires de La Défense au milieu de centaines de personnes, inconnues, pouvant travailler chez des concurrents. Ou dans un café, ou dans l’ascenseur d’un immeuble de dizaines d’étages logeant de très nombreuses sociétés différentes.

Tout cela est-il bien raisonnable ?

123



Événements SSI

IT MEETINGS

Le salon business de l'IT et de la sécurité informatique aura pour cadre à nouveau du 20 au 22 mars 2018 le palais des festivals et des congrès de Cannes. Organisé par Weyou Group.

DOCUMATION

Congrès et exposition Documation et Data Intelligence Forum, deux événements pour réussir sa digitalisation, du 20 au 22 mars 2018  à Paris Porte de Versailles. Organisé conjointement avec les salons Solutions RH, Solutions Intranet, Collaboratif et RSE et I-expo par Infopromotions.

SSI SANTÉ

Le 6ème Congrès National de la Sécurité des SI de Santé a lieu du 3 au 5 avril 2018 au Mans avec pour thèmes : Europe & RGPD, cyber-insécurité, technologies & méthodes. Organisé par l'Apssis (Association Pour la Sécurité des Systèmes d'Information de Santé).

La 10ème Journée Française des Tests Logiciels se tient à Montrouge (Beffroi) le 10 avril 2018. Organisée par le CFTL (Comité Français des Tests Logiciels).

RSA CONFERENCE

Dédiée à la sécurité de l'information, la RSA Conference USA se tient à San Francisco (Moscone Center) du 16 au 20 avril 2018. Organisée par RSA.

HACK IN PARIS

Pour sa 8ème édition la conférence Hack In Paris sur la sécurité IT se tient du 25 au 29 juin 2018 à Paris, Maison de la Chimie. Organisée par Sysdream.

BLACK HAT

Événement majeur mondial sur la sécurité de l'information la conférence Black Hat USA a lieu du 4 au 9 août 2018 à Las Vegas (Mandalay Bay). Organisé par UBM.

LES ASSISES

Grand rendez-vous annuel des RSSI, les Assises de la sécurité des systèmes d'information se tiennent à Monaco (Grimaldi Forum) du 10 au 13 octobre 2018. Organisées par DG Consultants.

TRUSTECH

Cet événement international dédié aux "technologies de la confiance" qui intègre désormais le salon Cartes Secure Connexions (jusqu'en 2015 celui-ci se tenait à Paris Villepinte) est organisé à Cannes (palais des festivals) du 27 au 29 novembre 2018. Organisé par Comexposium.

 

RSS