Revolve Job Zero : la revue de presse sécurité – Janvier 2022
Prendre soin de son SI, c’est comme les bonnes résolutions : cela commence avec une décision, et l’engagement doit tenir sur la durée. Que cela soit avec un jour de retard sur le calendrier grégorien, ou le jour J du calendrier chinois, je vous souhaite mes meilleurs vœux pour cette nouvelle année : santé, succès, sécurité.
Pour 2022, on devrait fort logiquement assister à un renforcement des tendances de l’année précédente, notamment lié à l’installation du télétravail et aux challenges opérationnels et organisationnels qui en découlent. Les vulnérabilités, les erreurs de configuration et les credentials compromis devraient continuer de représenter les principales sources d’attaque. Alors, d’où partons-nous, et vers quoi allons-nous ?
Dans cette édition #5 de la revue de presse Sécurité, nous vous proposons quelques articles qui ont attiré notre attention, en lien avec la sécurité sur le Cloud.
Pour un overview d’introduction, Torsten George, cyber security evangelist à Absolute Software, rappelle l’importance de minimiser les risques d’exfiltration des données : les attaques ransomwares ne se limitent plus à couper l’accès légitime aux données, mais bien à menacer de les exposer sur la place (plus ou moins) publique, avec éventuellement l’altération du système de back-up qui permettrait de les restaurer. Toujours selon l’auteur, la compromission des identités/credentials, ainsi que l’exploitation de backdoor dans les chaînes d’approvisionnement, devraient continuer d’alimenter une grande partie des attaques informatiques pour 2022. D’ailleurs, AWS a ajouté une feature au service AWS GuardDuty pour vous signaler quand vos credentials EC2 sont utilisés par un autre compte.
A toute fin utile, en parlant de compromission des identités, attention aux commentaires Google Docs qui peuvent désormais être utilisés pour faire du phishing et contourner les mécanismes de sécurité de Gmail. Quand il est estimé qu’il y a 1.8 milliards d’utilisateurs Gmail dans le monde, il est statistiquement facile de comprendre que même un faible taux de réussite permettra d’obtenir un grand nombre de résultats.
Si vous n’êtes pas encore convaincus par les dangers du phishing, voici un nouveau témoignage d’une attaque ransomware, par Jérôme Marchandiau-Bruller, directeur des infrastructures IT Opérations chez Manutan. On peut saluer l’effort de transparence ainsi que le rappel sur les bonnes pratiques évoquées pour leur future infrastructure avec un blast radius minimisé : “[…] sécurité au cœur du dispositif avec du SIEM (Splunk), un SOC externalisé, des ruptures protocolaires pour les échanges inter-applicatifs, de l’isolation des réseaux, du security by design pour le développement, du MFA, des pentests”. Ce témoignage rappelle également l’importance de la gestion des sauvegardes et de la pratique de ses PRA/DRP pour améliorer sa stratégie de résilience.
Si malheureusement, vous en veniez à être victime d’une attaque ransomware, les chercheurs en cybersécurité de Fox-IT (NCC Group) vous invitent dans un article de ZDnet (au titre à peine racoleur) à ne pas cliquer sur le lien de la rançon, afin d’éviter de déclencher le compte à rebours. Dans une telle situation, il s’agit de gagner du temps.
Et même si la frustration et la colère feront sûrement partie du panel de vos émotions dans un tel contexte, entre autres suggestions, les chercheurs encouragent à rester poli et respectueux dans les négociations. Enfin, gardez en mémoire que les attaquants peuvent connaître la santé de votre entreprise une fois qu’ils sont dans votre réseau, et que les convaincre que vous n’avez pas la somme demandée peut être une aventure vouée à l’échec. C’est aussi le cas s’ils ont connaissance de votre souscription à une cyberassurance : il y a de fortes chances qu’il vous soit demandé le montant maximum de celle-ci.
Toujours en lien avec les attaques, voici un article captivant de Xavier Biseul sur le JDN, sur l’IA au service du cybercrime : le deepfake vocal pour autoriser des transferts d’argent, la campagne de phishing personnalisée en fonction des profils sur les réseaux sociaux…
Un grand pouvoir implique de grandes responsabilités : on ne compte plus les dérives des technologiques innovantes détournées au profit d’actions peu scrupuleuses, voire à des fins destructrices à grande échelle. En voici quelques exemples notoires.
James Bond by Yadav & Salmani (2019)
Et si vous avez aimé les quelques détournements criminels ci-dessus, je pense que vous allez apprécier cet article du ZDnet sur comment le quantique et l’IA menacent l’intégrité étatique britannique (combo big words ⇒ 100 points bonus). Richard Moore, le chef du MI6 (l’équivalent de M chez Ian Fleming), évoque comment la transformation digitale affecte également les services de renseignement. Le défi : s’exposer tout en restant secret. R. Moore affirme que ses équipes ont besoin de s’ouvrir comme jamais à des partenaires pour maîtriser des nouvelles technologies. Dit autrement, c’est faire appel à de la prestation de services pour évoluer plus rapidement que ses adversaires
Côté IA, au passage, voici une expérimentation : l’IA pour prendre des décisions éclairées en justice, et calculer le montant d’une indemnisation suite à un préjudice corporel. Bonne idée au service de la société ? Nous parlions de dérives tout à l’heure : la déshumanisation en vient-elle à priver d’une forme d’intelligence (émotionnelle ?) la prise de décision, avec quelque chose de l’ordre du licenciement as a Service ? Science sans conscience n’est que ruine de l’âme, disait Rabelais. Affaires à suivre.
Sur le plan de la confidentialité et de la data protection, voici le Cyberscore pour la sécurité des sites, en cours de débat au Parlement à l’heure de l’écriture de cet article. C’est comme le NutriScore sur les emballages, et tout comme le NutriScore, à titre très personnel, je déplore le caractère infantilisant de l’initiative pour l’individu. “Les Français ont besoin d’une information claire et lisible sur le niveau de protection de leurs données personnelles en ligne”. Ah, ces fameux français…
Quand je vois l’impact du NutriScore chez les amateurs de pâte à tartiner gavée d’huile de palme et de sucre, il y a quelque chose en moi qui grince avec le CyberScore. Vous reprendrez bien un cookie ?
Et en parlant de nourriture, voici un article de Stéphanie Buscayret, Chief Information Security Officer à Latécoère, que je vous invite à lire à la fois pour la partie malbouffe, et pour l’analogie qu’elle en fait avec les stratégies des géants de l’industrie agro-alimentaire et ceux de l’internet.
Enfin, côté Data Protection, voici un article de Laurent Maréchal, Technology Architect Cloud McAfee sur le soutien au cloud en France et en Europe.
Et si le sujet vous intéresse, je vous invite chaleureusement à consulter cet article d’Eva, pour son gros travail de veille, de synthèse et de restitution sur le Cloud de confiance en 2022.
Et parce que le sujet de la souveraineté numérique est toujours aussi trendy : l’Europe va créer son propre résolveur DNS. Je lui souhaite davantage de succès qu’à Qwant, qui semble être en difficulté.
Et côté configurations, que pouvons-nous faire sur nos infrastructures ? Dans IT Social, Mourad Krim cite un rapport de Veracode qui fait l’état d’une augmentation de l’analyse statique de 133% avec la consommation d’APIS et d’outils de sécurité, ce qui atteste d’une remontée de la sécurité dans la pipeline : un shift DevSecOps. Néanmoins, l’auteur émet la suggestion de faire remonter la sécurité au moment même de la phase de conception, avec une vraie plateforme de sécurité, et d’éviter l’utilisation d’outils disparates, au risque de favoriser des failles comme celles en lien avec Log4j.
En parlant de failles : grosse faille côté Microsoft sur le composant HTTP qui serait facilement exploitable en remote, et vous n’avez sûrement pas raté ce qui se passe sur les distributions Linux avec Polkit.
Des vulnérabilités, il peut y en avoir partout, et Orca Security en a détecté chez AWS dans les services AWS Cloudformation et AWS Glue. Si elles n’ont apparemment eu aucun impact côté client, et que Orca Security a travaillé de pair avec AWS pour les résorber, je vous encourage toutefois à lire le point de vue engagé de Corey Quinn sur le sujet, et notamment la manière qu’a eu AWS de traiter les incidents et de communiquer.
Et pour finir côté configurations, après que vous ayez testé un petit utilitaire Python, Cloudsplaining pour éviter des violations de least privilege, vous pourrez également vérifier que vos pipelines CI/CD sont effectivement bien configurés. Sinon, voici 10 exemples de ce qui peut arriver avec les exploits de chercheurs du NCC Group dans cet article de Aaron Haymore.
Sur le front humain, si vous ne le saviez pas, c’est une femme qui est directrice de la sécurité à AWS, Jenny Brinkley, et voici une interview d’elle. Si vous êtes un peu comme moi, vous apprécierez un article sécu qui ne parle pas de sécu, le fait qu’elle mentionne l’importance de l’écoute, et que c’est ok d’être vulnérable. Entre autres choses.
Enfin, voici 15 tableaux de bord pour visualiser les cyberattaques à travers le monde, listés dans Informatique News. Au-delà du côté immersif de certains dashboards (#starwars), cela peut être un bon point d’entrée pédagogique pour sensibiliser les collaborateurs ou ses proches sur la face immergée de l’iceberg, avec différents niveaux de lecture suivant les types d’attaque.
Dans le pire des cas, vous pourrez toujours obtenir un effet WOW si vous laissez par inadvertance un dashboard ouvert, un shell et un ide en mode dark pour impressionner à la prochaine réunion de famille et que vous prétendez travailler avec Jack Bauer (évidemment que non : on n’oublie pas de toujours verrouiller son ordinateur, sinon, c’est chocoblast).
Pour finir, si vous adorez lire, que cela soit de la documentation, des thrillers ou des blogs comme la revue de presse de Baptiste Thonnard, mais qu’écouter fait également partie de vos routines d’apprentissage et d’assouvissement de votre curiosité, prenez le temps de découvrir le Cloud Security Podcast, le podcast cloud le plus populaire chez nos amis outre-Atlantique des podcast tech’.
Spoiler Alert : nous allons sûrement publier un article avec le créateur de ce Podcast d’ici peu.
💓
Contributions et remerciements : Christine Grassi, David Dupin, Julien Lemarchal