Archives par mot-clé : vulnérabilités de sécurité

Les cybermenaces et l’OTAN 2030 : un nouveau rapport du CCDCOE

Le Centre d’excellence de cyberdéfense coopérative de l’OTAN (CCDCOE), en coopération avec le King’s College London et William & Mary, a publié un nouveau rapport intitulé “Cyber Threats and NATO 2030 : Horizon Scanning and Analysis“.

Le rapport comprend 13 chapitres qui examinent comment l’OTAN peut faire face au mieux aux cybermenaces, ainsi que les possibilités et les défis liés aux technologies émergentes et perturbatrices dans le domaine cybernétique au cours de la prochaine décennie.

PREMIÈRE PARTIE

Le présent rapport aborde les exigences conceptuelles et pratiques et contribue de manière significative aux discussions sur l’OTAN 2030. L’ouvrage est divisé en cinq courtes parties, qui commencent par ” Les adversaires du cyberespace et la réponse de l’OTAN “.

Cette partie s’ouvre sur deux articles consacrés à l’internet et aux cybercapacités russes. Juha Kukkola explore les implications stratégiques des plans russes pour un réseau national fermé, identifiant les avantages défensifs et offensifs pour la Russie dans les asymétries structurelles ainsi promues.

Joe Cheravitch et Bilyana Lilly attirent l’attention sur les contraintes qui pèsent sur la capacité cybernétique de la Russie en raison de problèmes de recrutement et de ressources au niveau national, et suggèrent comment l’OTAN pourrait tirer parti de ces limitations pour atteindre ses propres objectifs en matière de cybersécurité.

Martin C. Libicki et Olesya Tkacheva proposent une nouvelle perspective sur les cyberconflits avec un adversaire comme la Russie, en analysant les possibilités d’escalade horizontale dans d’autres domaines ainsi que d’escalade verticale dans un même domaine, et les conséquences pour la doctrine et la gestion des risques de l’OTAN.

DEUXIÈME PARTIE

La deuxième partie, intitulée ” Les nouvelles technologies et la réponse de l’OTAN “, s’ouvre sur un chapitre consacré à la 5G. Les auteurs proposent une série de mesures que l’OTAN et ses partenaires peuvent mettre en œuvre pour sécuriser les technologies 5G et leurs chaînes d’approvisionnement, notamment des formes de gestion des risques, de normalisation et de certification qui permettront de maximiser les avantages militaires et sociaux de cette nouvelle génération de systèmes mobiles.

À l’aide d’une base de données étendue, Jacopo Bellasio et Erik Silfversten identifient une série de technologies nouvelles et émergentes susceptibles de façonner le futur paysage des cybermenaces et proposent des moyens par lesquels l’OTAN peut se préparer et s’adapter à ces éventualités.

Simona R. Soare et Joe Burton démontrent les vulnérabilités de l’hyperconnectivité à travers le scénario hypothétique d’une ville intelligente soumise à une cyberattaque concertée, en tirant les leçons que l’OTAN doit tirer de la relation entre la sécurité locale et supranationale dans des conditions de haute technologie.

TROISIÈME PARTIE

La troisième partie, intitulée ” Le combat, le domaine cybernétique et la réponse de l’OTAN “, contient deux chapitres consacrés aux opérations multi-domaines (MDO), le concept de combat adopté par l’OTAN.

James Black et Alice Lynch étudient les implications des dépendances en réseau des MDO et la manière dont les adversaires espèrent les exploiter. Ils suggèrent que l’OTAN doit mieux comprendre l’interaction des menaces externes et des vulnérabilités internes pour lutter contre les cybermenaces qui pèsent sur les activités multi-domaines.

Franz-Stefan Gady et Alexander Stronell effectuent une analyse comparative de l’intégration par les Alliés de l’OTAN de leurs cybercapacités aux opérations cinétiques dans le cadre des MDO et formulent des propositions pour améliorer les performances de l’OTAN dans un futur conflit de haute intensité avec un concurrent proche.

QUATRIÈME PARTIE

La quatrième partie, intitulée ” Partage de l’information, renseignement sur les cybermenaces et exercices “, commence par un point de vue du secteur de la cybersécurité, présenté par Michael Daniel et Joshua Kenway de la Cyber Threat Alliance. Ils proposent un programme de partage de la CTI entre l’OTAN et ses parties prenantes, qui vise à corriger certaines des hypothèses erronées des cadres CTI existants.

L’analyse comparative de Chon Abraham et Sally Daultrey sur le partage des CTI au Japon, aux États-Unis et au Royaume-Uni suggère que des facteurs contextuels nationaux peuvent inhiber cette fonction coopérative essentielle et propose une série de changements organisationnels pour y remédier.

Andreas Haggman apporte une contribution méthodologique distincte au débat de l’OTAN sur la cybersécurité en promouvant le wargaming comme un outil permettant d’imaginer et d’anticiper des futurs conflictuels dans leurs diverses dimensions sociales, politiques et techniques.

CINQUIÈME PARTIE

La cinquième partie est consacrée aux “Réponses réglementaires et politiques aux défis de la cybersécurité”. Cindy Whang s’intéresse à la manière dont les régimes de contrôle des exportations devraient être redynamisés pour répondre aux préoccupations en matière de cybersécurité dans l’ensemble de l’Alliance.

Laurin B. Weissinger conclut l’ouvrage en lançant un appel pour que l’OTAN améliore sa compréhension de la complexité des réseaux, notamment par la modélisation des menaces et des attaques, afin de fournir des solutions de cybersécurité plus efficaces et mieux adaptées.

Tous les chapitres de ce rapport ont fait l’objet d’un examen par les paies en double aveugle par au moins deux experts externes.

Fuite d’une base de données de reconnaissance faciale en Chine

La société de reconnaissance faciale SenseNets dévoile des données personnelles de 2,5 millions de citoyens chinois

SenseNets Technology, le fournisseur de biométrie basé à Shenzhen, n’a pas encore commenté la fuite des données exposant les informations personnelles de millions de personnes. Le site Web est hors ligne et la société effectue actuellement une enquête interne, a déclaré une source anonyme sur Caixin.

Victor Gevers, chercheur néerlandais en sécurité à GDI Foundation, a récemment découvert une base de données contenant plus de 2,5 millions d’enregistrements, comprenant les noms, numéros de carte d’identité, adresses personnelles, dates de naissance, informations sur l’emploi et lieux où la technologie biométrique de la société les avait identifiés au cours des 24 dernières heures, entre autres informations. La Fondation GDI avait averti l’entreprise en juillet, mais n’a jamais reçu de réponse.

SenseTime détenait auparavant une participation de 49 % dans SenseNets, rapporte Caixin, mais s’est retirée au moment où GDI a informé SenseNets de sa violation. SenseTime n’a pas fourni de raison pour son désinvestissement.

Forbes, Technadu, Caixin

Protéger la blockchain des hackers quantiques

Pour préserver le grand livre inviolable des hackers quantiques, les deux technologies vont unir leurs forces. S’ils ne le font pas, les données sont en danger.

Il y a un débat acharné entre les défenseurs de la blockchain qui croient qu’elle est sécurisée et ceux qui pensent qu’elle pourrait être détériorée par les nouveaux ordinateurs quantiques.

Grâce à la construction inviolable de son grand livre, la Blockchain est intégrée dans tous les domaines, de l’assurance à l’immigration, et constitue la base des cryptomonnaies telles que Bitcoin. Mais sa nature ouverte et polyvalente pourrait entraîner sa perte – en 2019, l’informatique quantique pourrait briser la blockchain.

Les ordinateurs quantiques peuvent stocker plus d’informations en utilisant moins d’énergie que les ordinateurs traditionnels, ce qui signifie qu’ils peuvent effectuer rapidement des calculs complexes. Là où un ordinateur normal résoudrait un labyrinthe complexe en suivant un chemin à la fois, les machines quantiques peuvent suivre plusieurs chemins simultanément.

L’informatique quantique va changer le monde

En conséquence, la technologie quantique est estimée à des dizaines de milliers, voire des millions de fois plus rapide que les ordinateurs actuels – et plus de puissance signifie que des tâches telles que la rupture du cryptage deviennent énormément plus faciles, exposant potentiellement les dossiers financiers, les données personnelles et autres informations sensibles. En 2016, des scientifiques du MIT et de l’Université d’Innsbruck ont réussi à construire un ordinateur quantique qui, selon eux, pourrait – s’il était déployé avec succès – casser le cryptage RSA, un algorithme largement utilisé qui sécurise tout, des messages texte aux achats en ligne.

La blockchain est particulièrement vulnérable car elle a un point de défaillance unique – tous les blocs sont librement à la disposition des organisations criminelles ou agents de surveillance. Pour le moment, ils ne peuvent rien faire avec eux car ils sont cryptés, mais lorsque l’informatique quantique deviendra suffisamment bon marché, il pourrait y avoir d’énormes fuites de données de la chaîne de blocs potentiellement stockées.

C’est comme si vous gardiez vos objets de valeur dans une boîte verrouillée, mais que vous les laissiez ensuite dans la rue. La capacité d’enchevêtrement quantique (ou intrication quantique) lui permet de faire des sauts logiques que des ordinateurs classiques ne pourraient jamais faire. Cela pourrait combler les lacunes entre les données recueillies à partir de quelques blocs seulement.

Nous sommes passés de la théorie et du prototype à l’informatique quantique commerciale en quelques années seulement. En mars 2018, Google a dévoilé Bristlecone, une puce de 72 qubits qui, selon la société, pourrait bientôt atteindre la «suprématie quantique», mettant sur le marché des ordinateurs quantiques fabriqués en série. La technologie est en train d’être perfectionnée pour créer des processeurs qubit stables, et les machines méga-qubit sont proches.

Les puces neuromorphiques pourraient être l’avenir de l’informatique

L’industrie est concernée. Chaque année, les chercheurs des gouvernements et des géants informatiques dont Intel, Microsoft et Cisco se rencontrent avec les meilleurs chercheurs dans les domaines de la cybersécurité et des mathématiques lors d’atelier sur le chiffrage quantique (QSC : Quantum-Safe Cryptography – cryptographie sécurisée quantique) afin de discuter des solutions potentielles à la menace.

La technologie de défense contre les attaques quantiques existe déjà sous la forme de précurseurs de la cryptographie quantiquei, tels que la cryptographie basée sur le hachageii, la cryptographie basée sur le codeiii, la cryptographie basée sur le réseauiv, la cryptographie à plusieurs variablesv et la cryptographie d’isogénie à courbe elliptique supersingulairevi, chacune améliorant les itérations précédentes.

Face aux attaques croissantes sur nos données personnelles, telles que le piratage de British Airways de septembre 2018, nous devons faire pression pour une collaboration entre ces technologies apparemment concurrentes. Bien que l’informatique quantique semble porter atteinte à la sécurité de la blockchain, la solution pourrait consister à combiner les deux technologies et à créer un meilleur ensemble.

Les États-Unis travaillent à la construction de réseaux quantiques inaltérables

Wired


Rapport: il est facile de pirater toute une génération d’armes militaires

Le Government Accountability Office (GAO) a annoncé que le Pentagone avait été pris au dépourvu. Il s’avère que les systèmes d’armes d’une génération entière, y compris ceux en cours de développement, sont vraiment faciles à pirater.

Il n’y a pratiquement aucune excuse pour que l’armée soit aussi laxiste en matière de sécurité numérique, car son armement – ainsi que la nature même de la guerre – est de plus en plus numérique.

Il s’avère que plusieurs des tests effectués au cours des années étaient incomplets, ce qui a conduit les responsables à ne pas prendre en compte les vulnérabilités apparues.

Le rapport, qui a omis de nombreux détails cruciaux sur les systèmes les plus vulnérables, a indiqué que de petites équipes de hackers informatiques au chapeau blanc (“white hat” un hacker éthique) étaient en mesure de se connecter à divers systèmes d’armes en moins d’une heure.

Les hackers, selon le rapport, ont été en mesure de prendre le contrôle des principaux systèmes d’armes et d’opérer en grande partie sans être détectés, en partie à cause de problèmes fondamentaux tels qu’une mauvaise gestion des mots de passe et des communications non chiffrées.

L’armée américaine a le budget le plus élevé au monde, cependant, la cybersécurité de l’armée échoue régulièrement à ces tests depuis 2012, selon le rapport. Face à tout cela, il semble que l’armée ait laissé ses armes et ses systèmes numériques les plus avancés au grand jour.

U.S. Government Accountability Office, Phys.org

La cryptographie dans un monde post-quantique

La cryptographie post-quantique est une branche de la cryptographie visant à garantir la sécurité de l’information face à un attaquant disposant d’un calculateur quantique. Cette discipline est distincte de la cryptographie quantique, qui vise à construire des algorithmes cryptographiques utilisant des propriétés physiques (plutôt que mathématiques) pour garantir la sécurité.

Rapport de recherche

– De nombreuses entreprises parlent d’informatique quantique, mais peu d’entre elles se penchent sur l’impact considérable possible sur les méthodes cryptographiques existantes qu’elles utilisent.
– L’informatique quantique la capacité des entreprises à opérer dans le futur car elles ne pourront pas garantir la confidentialité, l’intégrité et la disponibilité des transactions commerciales.
– Les projections suggèrent que l’informatique quantique sera viable d’ici 10-15 ans, mais Accenture pense que le point de basculement sera beaucoup plus tôt, à l’horizon 2025.
– Les entreprises doivent commencer à se préparer dès maintenant, car l’évaluation et la mise à jour des schémas cryptographiques sur l’infrastructure, les systèmes, les applications et les tiers prendront beaucoup de temps.

L’informatique quantique va changer le monde

Le monde quantique arrive… votre fonction de sécurité est-elle prête ?

Les entreprises utilisent actuellement le cryptage à clé publique, les signatures numériques et les échanges de clés pour protéger le commerce, les communications, l’identité et les données des entreprises. Ces schémas cryptographiques reposent sur un ensemble d’algorithmes vérifiés et le niveau de protection est basé sur la force des calculs sous-jacents et sur la difficulté des calculs.

L’informatique quantique fournit le matériel de traitement nécessaire pour exécuter l’algorithme de Shor à grande échelle et résoudre très efficacement les problèmes mathématiques sous-jacents les plus difficiles. Quantum offre également le pouvoir d’identifier les clés cryptographiques secrètes de manière extrêmement efficace. Cela pourrait potentiellement exposer les entreprises à une menace pour les acteurs du monde entier et simultanément.

Cette perturbation éclipse la planification diligente et les investissements considérables qui ont été consacrés aux préparatifs de Y2K (passage informatique à l’an 2000). Il s’agit d’un événement immense et à fort impact qui remplacera les méthodes de cryptographie existantes et rendra les protections actuelles de l’infrastructure et des applications inutiles.

Le timing est critique car les entreprises n’auront pas huit ans jusqu’en 2025 pour réduire les risques. La mise en œuvre de cet énorme effort de gestion du changement prendra au moins deux à quatre ans une fois qu’un algorithme éprouvé et viable aura été annoncé quelque part entre 2022 et 2024.

Voir le rapport complet

Timeline for future standardization events (copyright Accenture)

La cybersécurité face au défi de la confiance

ISBN-2738143679

85% des dirigeants interrogés à travers le monde déclarent ne pas connaître précisément la façon dont leur entreprise est organisée pour faire face à la menace cyber. Un constat pour le moins surprenant à l’heure où de nombreuses attaques sont recensées et qui sert de point de départ à Philippe Trouchaud, expert en cybersécurité pour son second ouvrage « La cybersécurité face au défi de la confiance ». Ce dernier apporte un nouvel éclairage sur l’enjeu crucial qu’est aujourd’hui la cybersécurité. Si Philippe Trouchaud pointe l’immaturité des entreprises face au cyber-risque, il apporte, au gré d’exemples connus de tous et nourris par l’actualité, des réponses concrètes aux entreprises afin de relever ce défi. Surtout, l’auteur plaide en faveur d’une cybersécurité collective, raisonnée, résolument centrée sur l’humain.

Qui aurait imaginé qu’en quelques heures les géants de l’Internet puissent perdre l’équivalent de 220 milliards de dollars de leur capitalisation boursière ? Des interrogations sur la sécurité de l’un d’entre eux et sur l’utilisation des données personnelles de ses clients en étaient la cause.

Cet épisode survenu en mars 2018 rappelle combien l’entreprise doit savoir gérer sa cybersécurité pour préserver son capital de marque. Or on assiste aujourd’hui à l’explosion d’une délinquance cyberorganisée, inventive et sans frontières. Résultat : les incidents se multiplient et engendrent une perte massive de confiance des consommateurs.

La confiance, voilà donc la clé pour avancer sereinement dans le cybermonde. Celle-ci dépend, notamment, de la capacité des États et des entreprises à renforcer leur collaboration et à rendre attractive cette filière pour les meilleurs talents. Comment gérer les crises ? Comment valoriser les professionnels ? Comment édicter des règles communes ? Comment choisir ses partenaires ?

Autant de questions auxquelles ce livre répond concrètement.

Philippe Trouchaud est associé au sein du cabinet PwC où il est responsable des activités de cybersécurité pour la France et membre du comité de direction mondial dédié à cette activité. À ce titre, il conseille les directions de groupes internationaux et des entreprises du CAC40. Son précédent ouvrage La Cybersécurité au-delà de la technologie a reçu le prix du Forum international de la cybersécurité 2017.

Pascal Andrei, directeur de la sécurité du groupe Airbus, signe la préface de l’ouvrage.

Les droits de ce livre sont reversés à H’Up entrepreneurs qui accompagne les entrepreneurs en situation de handicap.

Le procureur de NYC appelle à renforcer la sécurité des données biométriques et électroniques

Le procureur général de l’État de New York, Eric Schneiderman, demande à l’État de mettre en œuvre ses toutes premières mesures pour protéger les données biométriques collectées par les employeurs et les entreprises contre les cyberattaques, selon un rapport de Times Union.

Schneiderman a présenté un projet de loi qui ajouterait les données biométriques à une actualisation des protections procurées par l’État, suite à un nombre croissant de piratages informatiques de haut niveau des données personnelles confidentielles conservées par les entreprises sur leurs clients.

Intitulée à juste titre « Stop Hacks and Improve Electronic Data Security », la loi s’appliquerait à toutes les entreprises qui obtiennent des informations numériques et biométriques de leurs employés, comme les entreprises qui utilisent des systèmes de chronométrage à base d’empreintes digitales pour enregistrer les heures de travail des employés.

« Il est clair que les lois de New York sur la sécurité des données sont faibles et dépassées », a déclaré Schneiderman, qui avait proposé des lois plus strictes sur les données en 2015, mais qui n’ont pas été approuvées par l’Assemblée législative de l’État. « Il est temps pour Albany d’agir, afin que plus aucun New-yorkais ne soit inutilement victime de faibles mesures de sécurité des données et de pirates informatiques criminels qui sont constamment à l’affût. »

La France a dévoilé ses plans pour une base de données contenant les données biométriques de 60 millions de citoyens

Bien que la législation actuelle impose aux entreprises des exigences en matière de sécurité des données et de déclaration si des données personnelles piratées sont liées à des numéros de sécurité sociale, les entreprises ne sont pas tenues de signaler les infractions impliquant des combinaisons de nom d’utilisateur et de mot de passe ou des données biométriques.

En 2016, le bureau du procureur général a reçu un nombre record de 1 300 notifications d’atteintes à la protection des données, ce qui représente une augmentation de 60% par rapport à 2015.

La loi proposée obligerait les entreprises à mettre en œuvre des mesures de sécurité administratives, techniques et physiques « raisonnables » pour les données sensibles, ainsi qu’à signaler les violations sur d’autres types de données, telles que les données confidentielles sur la santé.

La loi pourrait également offrir une protection juridique aux entreprises qui prouvent à l’État qu’elles ont adopté des mesures de sécurité rigoureuses pour protéger les données sensibles contre les pirates informatiques, tout en exposant les entreprises à faible sécurité à des sanctions potentielles et à des poursuites judiciaires de la part du procureur général. Ces exigences seraient moins strictes pour les petites entreprises de moins de 50 employés.

Zack Hutchins, porte-parole de The Business Council, un groupe de lobbying d’Albany, a exprimé ses inquiétudes face au nombre croissant de cyberattaques perpétrées par des criminels cherchant à voler des données personnelles. Il a déclaré que l’imposition de normes moins rigides aux petites entreprises semble logique, mais il n’est pas sûr de savoir comment une partie de la loi proposée – qui obligerait les entreprises, où qu’elles soient situées, à déclarer toutes les données qu’elles collectent sur les New-yorkais – pourrait être mise en œuvre.

Le projet de loi est parrainé par le sénateur David Carlucci, un démocrate du comté de Rockland, et un membre de l’Assemblée, Brian Kavanagh, un démocrate de Manhattan.

« Le vol d’identité n’est plus une vague préoccupation qui pourrait toucher quelqu’un que nous connaissons ; le scandale d’Equifax en a fait une menace pour chacun d’entre nous », a déclaré Beth Finkel, directrice de l’AARP de l’État de New York.

Poursuivre en justice Equifax à l’aide d’un Chatbot

Plusieurs États à travers le pays envisagent d’adopter la loi de l’Illinois sur la protection de la vie privée en matière de biométrie, étant donné que de plus en plus d’organisations utilisent la technologie biométrique dans diverses applications et que les tribunaux continuent de déterminer les effets potentiellement coûteux des mandats de la loi sur les entreprises.

traduction Thomas Jousse

BiometricUpdate

Étude sur le coût de la cybercriminalité

Les coûts de la cybercriminalité s’accélèrent. Avec des organisations qui dépensent près de 23% de plus que l’année dernière – 11,7 millions de dollars US en moyenne -, ils investissent à une échelle sans précédent. Pourtant, que ce soit la gestion des incidents ou la perturbation de ces derniers, les priorités actuelles en matière de dépenses montrent qu’une grande partie de ces coûts est mal orientée pour des capacités de sécurité qui ne parviennent pas à fournir la meilleure efficience et efficacité.

Soutenue par huit années de recherche, cette dernière étude du Ponemon Institute et d’Accenture évalue les réponses de 2182 interviews de 254 entreprises de sept pays – Australie, France, Allemagne, Italie, Japon, Royaume-Uni et États-Unis. Découvrez l’impact économique des cyberattaques dans votre pays ou votre secteur et obtenez des conseils pratiques sur la façon de rester en tête d’un nombre croissant de cybermenaces.

Accenture

Poursuivre en justice Equifax à l’aide d’un Chatbot

Les gens ne sont pas satisfaits de l’agence d’évaluation de crédit Equifax, suite à l’annonce de la société en septembre d’un piratage de données personnelles sensibles de plus de 143 millions de clients (soit 44 % de la population américaine). La situation a été rendue encore plus frustrante car la société a attendu quelques mois avant de révéler la violation de sécurité qu’elle avait subie.

Les personnes qui sont concernées peuvent intenter des poursuites en dommages-intérêts contre l’agence (en plus du recours collectif), et un chatbot appelé DoNotPay, peut maintenant rendre le processus légèrement plus facile en remplissant les formalités nécessaires pour vous et éviter d’embaucher un avocat pour obtenir des conseils.

DoNotPay est déjà connu pour aider les conducteurs à protester contre leurs billets de stationnement avec quelques clics. Il offre également des informations et une assistance gratuites pour les réfugiés et les demandeurs d’asile aux États-Unis, au Canada et au Royaume-Uni et a commencé à aider les individus à déclencher des processus intimidants de poursuite sur les frais bancaires inexpliqués ou des litiges entre propriétaires et locataires. Son créateur Joshua Browder, un étudiant de l’Université de Stanford, l’a récemment mis à jour.

Selon The Verge, les dommages pourraient varier entre 2500 $ et 25 000 $, selon l’état, mais le Chatbot ne supporte actuellement que ceux qui vivent à New York et en Californie. Après avoir chatter avec le bot, il génère huit pages de documents d’action en justice sous forme PDF, qui peuvent ensuite être imprimées et déposées.

On ne sait pas dans quelle mesure DoNotPay sera efficace dans la lutte contre Equifax. L’avocat transactionnel Peter Vogul a déclaré à The Verge qu’il est probable que « l’agence combattra les recours collectifs et les actions des tribunaux de petites créances. Cela ne signifie pas qu’Equifax prévaudra, mais … compte tenu de la portée des 143 millions d’individus touchés, il me semble qu’Equifax voudra rendre cela aussi compliqué que possible pour les consommateurs ».

The Verge, DoNotPay, Forbes