Plusieurs opérateurs de téléphonie mobile fliquent leurs usagers à l’aide de « super cookies » nous révèle une étude d’Access (organisation lutant pour la défense des libertés individuelles). Il s’agit (liste non limitative), de AT&T, Bell Canada, Bharti Airtel, Cricket, Telefonica de España, Verizon, Viettel Peru S.a.c., Vodafone NL, et Vodafone Espagne

22 septembre 2015,

Rendez-vous à l’Intercontinental Paris Avenue Marceau

Cloud, Mobilité, IoT et Scada :

Comment protéger le nouveau SI ouvert ?

Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Perte du contrôle du parc, des applications, des utilisateurs ou encore des données ? Comment protéger aujourd’hui le Système d’Information ouvert de l’entreprise ? Quelle entreprise n’a pas au moins un pied dans le Cloud ? Ne possède aucune tablette ou smartphone (personnel ou non) pour accéder au SI ? Quelle société n’entretient pas son image en s’appuyant sur des réseaux sociaux ? Et pour combien de temps encore, arriveront-elles à ralentir voire empêcher le raccordement sur le SI de l’Internet des Objets ? Quelle sécurité actuellement pour les environnements Scada qui au même titre que les objets connectés sont vulnérables ?

Autant de questions et sujets auxquels répondront des experts de tout bord le 22 septembre matin : Experts Sécurité reconnus, Représentant du gouvernement, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Exceptionnellement pour fêter le retour de la pause estivale, à l’issue de cette matinée, tirage au sort de cadeaux (tablettes, Smartphones etc.) autour d’une coupe de champagne. Un networking pétillant pour achever cette matinée …

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Agenda

• • 8H30 – Accueil des participants : petit-déjeuner et Networking
  • 9H00 – Risques & Vulnérabilités, par Hervé Schauer, Associé Deloitte et Directeur Général d’HSC
  • 9H20 – Point de vue d’un acteur, par Christophe Auberger, Fortinet
  • 9H40 – Conseils et guides pratiques, par Chadi Hantouche, Solucom
  • 10H00 – Expert Sécurité, point de vue de Jean-Ian Boutin, ESET
  • 10H20 – Panel sur «Cloud, Mobilité, IoT et Scada : comment protéger le nouveau SI ouvert ?» avec Maître François Coupez, avocat qui abordera la partie juridique, Julien STEUNOU, Directeur du CERT chez Lexsi, Brigitte Declerck (RSSI AGIRC-ARRCO et Trésorière Adjointe du CLUSIF) et Christophe Auberger, Directeur Technique chez Fortinet. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
  • 11H05 – PAUSE Networking
  • 11H25 – Point de vue de l’ANSSI, Stéphane Meynet, chef de projet sécurité des systèmes industriels
  • 11H55 –Retour Terrain, par Nacira SALVA, Responsable Pôle Architecture Sécurité, Direction Infrastructure IT chez SAFRAN
  • 12H15 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
  • 12H35– Tirage au sort de cadeaux (tablettes, smartphones …) autour d’une coupe de champagne
  • 12H45 – Clôture de la conférence

   

22 septembre 2015,

Rendez-vous à l’Intercontinental Paris Avenue Marceau

Cloud, Mobilité, IoT et Scada :

Comment protéger le nouveau SI ouvert ?

Conseils & Solutions

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Perte du contrôle du parc, des applications, des utilisateurs ou encore des données ? Comment protéger aujourd’hui le Système d’Information ouvert de l’entreprise ? Quelle entreprise n’a pas au moins un pied dans le Cloud ? Ne possède aucune tablette ou smartphone (personnel ou non) pour accéder au SI ? Quelle société n’entretient pas son image en s’appuyant sur des réseaux sociaux ? Et pour combien de temps encore, arriveront-elles à ralentir voire empêcher le raccordement sur le SI de l’Internet des Objets ? Quelle sécurité actuellement pour les environnements Scada qui au même titre que les objets connectés sont vulnérables ?

Autant de questions et sujets auxquels répondront des experts de tout bord le 22 septembre matin : Experts Sécurité reconnus, Représentant du gouvernement, Consultants, Avocats, Acteurs, Chercheurs, Responsables sécurité ou DSI. De la théorie à la pratique, des risques et menaces aux conseils ou solutions potentielles : une matinée d’Informations concrètes, de Sensibilisation et de Networking.

Exceptionnellement pour fêter le retour de la pause estivale, à l’issue de cette matinée, tirage au sort de cadeaux (tablettes, Smartphones etc.) autour d’une coupe de champagne. Un networking pétillant pour achever cette matinée …

Où ?

CNIS Event a choisi un endroit en plein cœur de Paris, à deux pas des champs Elysées et de l’Arc de Triomphe. A deux pas des endroits business les plus stratégiques de Paris (Porte Maillot, Palais des congrès, La Défense…) comme facile d’accès pour ceux de l’extérieur qui viennent tout spécialement assister à la matinée CNIS Event (aéroports Orly et Roissy, accès aisé aux trains grandes lignes via la station de RER Charles de Gaulle-Etoile à proximité, parking).

InterContinental Paris avenue Marceau
64, avenue Marceau,
75008 Paris
Tél : +33 (0)1 44 43 36 36
Pour s’y rendre : métro George V (ligne 1), RER Charles de Gaulle-Etoile (Ligne A),Bus Arrêt Bassano (Ligne 92 Porte de Champerret – gare Montparnasse), parking 75 avenue Marceau, Paris 8

Pour qui ?

Les Responsables sécurité, les DSI, les décisionnaires d’une façon générale que ce soit de l’infrastructure ou de l’entreprise en ce qui concerne les PME-PMI, les CIL, les avocats et juristes de l’entreprise, les consultants bien entendu. Tous sont concernés par la question de Sécurité du SI… Il faut connaître et comprendre à qui, à quoi on a à faire pour pouvoir envisager et organiser la protection de son système d’information. Un discours d’expertise et de sensibilisation qui concerne tout le monde.

Cliquer ici pour : S’inscrire en ligne à la matinée Sécurité

Agenda

• • 8H30 – Accueil des participants : petit-déjeuner et Networking
  • 9H00 – Risques & Vulnérabilités, par Hervé Schauer, Associé Deloitte et Directeur Général d’HSC
  • 9H20 – Point de vue d’un acteur, par Christophe Auberger, Fortinet
  • 9H40 – Conseils et guides pratiques, par Chadi Hantouche, Solucom
  • 10H00 – Expert Sécurité, point de vue de Jean-Ian Boutin, ESET
  • 10H20 – Panel sur «Cloud, Mobilité, IoT et Scada : comment protéger le nouveau SI ouvert ?» avec Maître François Coupez, avocat qui abordera la partie juridique, Julien STEUNOU, Directeur du CERT chez Lexsi, Brigitte Declerck (RSSI AGIRC-ARRCO et Trésorière Adjointe du CLUSIF) et Christophe Auberger, Directeur Technique chez Fortinet. Animé par Solange Belkhayat-Fuchs, Rédactrice en Chef CNIS Mag
  • 11H05 – PAUSE Networking
  • 11H25 – Point de vue de l’ANSSI, Stéphane Meynet, chef de projet sécurité des systèmes industriels
  • 11H55 –Retour Terrain, par Nacira SALVA, Responsable Pôle Architecture Sécurité, Direction Infrastructure IT chez SAFRAN
  • 12H15 – La Minute Juridique : les impacts juridiques, nouvelles législations et jurisprudences en sécurité du SI par Maîtres Olivier Itéanu et Garance Mathias. Ils répondront à toutes les questions du public sur le sujet de façon interactive.
  • 12H35– Tirage au sort de cadeaux (tablettes, smartphones …) autour d’une coupe de champagne
  • 12H45 – Clôture de la conférence

   

L’Identity Theft Resource Center (ITRC) publie son rapport « à mi-parcours » sur les vols d’identités commis durant l’année 2015 aux Etats Unis, statistiques arrêtées au 18 août dernier. Sur 505 cas révélés et ayant fait l’objet de publication dans la presse, il se serait évaporé près de 140 millions d’enregistrements. Les secteurs les moins imperméables sont ceux de l’industrie et du médical (respectivement 39,4% et 34,9% en volume d’identités dérobées). Viennent ensuite les organismes bancaires (9,3%), l’éducation (8,7%) et enfin les institutions gouvernementales (armée, fonction publique…) avec 7,7% des vols. Force est de reconnaître que ces proportions sont fortement influencées par le hack de la chaine hospitalière Anthem (78,8 millions de fiches personnelles subtilisées) et de l’US Office of Personnel Management avec les données de plus de 21 millions de fonctionnaires dans la nature.

En France, il n’existe pas d’équivalent à l’ITRC ou à Datalossdb, parce qu’il n’y a ni fuite de données nominatives, ni failles dans les systèmes de la fonction publique, ni défaut dans l’informatisation de l’Education Nationale ou des armées, et encore moins dans les infrastructures du CAC40. Tout au plus peut-on craindre les dangers extérieurs, espions Chinois, barbouzes Russes et amis sincères de la NSA.

Est-ce pour habituer ses clients à la disparition progressive du « patch Tuesday » et à entrer en état de révolution permanente de la rustine ? Toujours est-il que Microsoft diffuse une nouvelle fois un correctif « out of band ». Le précédent remontait au mois dernier et concernait Adobe Type Manager.

Le risque est critique sur les stations de travail et modéré sur les serveurs, affirme l’éditeur dans son bulletin d’alerte MS15-093. I affecte Internet Explorer des versions 7 à 11. La compromission ne demanderait qu’un simple affichage d’un site Web forgé. Bien qu’aucune mention ne soit faite sur une éventuelle exploitation de la faille dans la nature, quelques éditeurs du domaine de la sécurité (donc Qualys) prétendent que cela ne fait aucun doute.

Le déploiement du correctif est urgent. En guise de mesure palliative, une protection peut être assurée avec la dernière version de Emet.

La liste des abonnés du réseau d’entremise Ashley Madison serait téléchargeable sur plusieurs dépôts et liens P2P. Serait, car sur ce point, les avis sont excessivement partagés. Brian Krebs émet de nombreuses objections, et fait notamment remarquer qu’il est facile de forger un fichier de données provenant de plusieurs hacks de serveurs. Mêmes identifiants, mêmes mots de passe, cette pratique est répandue, et rien ne distingue un fichier nominatif d’un autre, et encore moins sa provenance. A ceci s’ajoute le fait que ledit fichier comporterait « trop » de données, et notamment des identités bancaires qui en théorie ne figurent pas dans les bases d’Ashley Madison en raison des contraintes PCI-DSS.

Ce à quoi Graham Clueley ajoute « ce n’est pas parce que l’on peut lire Barack Obama sur une liste de noms que le Président des Etats-Unis s’est effectivement inscrit ». En France, on appellerait ça une ImadLaouderie et cela n’étonnerait personne. D’autant plus que les révélations sur les jeux de l’amour et du hasard, même via Internet, ne traumatisent pas les peuples latins, habitués même à ces maîtresses qui se visitent en scooter ou qui sortent pas la porte de derrière.

D’autres sont plus catégoriques et prennent ces fichiers pour argent comptant., Wired, l’agence Reuter, Network World, et même Robert Graham qui y va même de son commentaire d’expert. Le dernier paragraphe de son billet explique que les motivations affichées des pirates seraient purement morales (l’épithète est peut-être mal choisi pour désigner une pudibonderie quasi fanatique), mais qu’en réalité, cette action coup-de-poing contre l’entreprise de cyber-marivaudage aurait pour moteur « #1 it’s fun and #2 because they can ».

Manque d’autres hypothèses : « #3 Parce que ça sert les intérêts d’une organisation concurrente », « #4 Parce que même faux, un tel fichier provoque un raz-de-marée médiatique » qui prouve à quel point le parfum de scandale fait vendre bien plus de papier que le détournement de la base SQL d’un intermédiaire bancaire. « #5 Pour camoufler une vengeance ou une attaque personnelle ciblée » qui passera totalement inaperçue dans ce foisonnement de prétendues révélations : chantage ne visant absolument pas l’hébergeur mais un ou plusieurs de ses abonnés, prélude à une attaque en ingénierie sociale plus poussée. « # 6… ad libitum »

Certaines de ces hypothèses ne sont d’ailleurs pas du tout contradictoires avec le fait que les fichiers diffusés soient vrais ou non.

Ajoutons qu’en matière d’intrusion, l’on assiste à une forme de systématisation des pratiques en quatre phases sauce Anonymous : hack des serveurs, récupération des fichiers sensibles, revendications ou menaces de chantage, publication sur Pastebin et/ou sur les réseaux BitTorrent. Au sein des DSI, on ne dira plus « j’ai été hacké », mais « j’ai été Pastebindé », comme au XVIIIème siècle, un personnage de la cour faisait l’objet de libelles, brocards et pamphlets lorsqu’il fréquentait un peu trop certaine maison du Parc au Cerfs de Versailles. Déjà, à cette époque, l’argument de la moralité cachait bien des revendications politiques ou des enjeux personnels.