1.12.17

Cinq conseils pour assurer la sécurité de vos bases de données



Lorsqu’il est question de conseils en matière de sécurité et de prévention du piratage, on parle souvent de l’importance d’avoir un mot de passe fort, d’utiliser des applications de sécurité, de maintenir ses systèmes à jour et d’éviter les paramètres par défaut. En général, ces conseils constituent les protections les plus élémentaires et essentiels que tout gestionnaire de système doit prendre en compte. Cependant, selon le système que vous désirez protéger, vous devriez prendre certains autres points en compte.
Considérant le nombre alarmant de vol et de fuites de données, les cinq conseils clés suivants vous aideront à garder vos bases de données en sûreté, surtout si elles sont hébergées dans le nuage ou par une tierce partie.
1.     Contrôlez l’accès à la base de données
Comme le disait ma grand-mère, quand tous les petits-enfants voulaient l’aider en cuisine : « Trop de cuisiniers gâchent la sauce ».
Il s’avère finalement que ce vieil adage est tout à fait à propos quand on parle de sécurité informatique : quand trop de gens s’ingèrent dans quelque chose, le résultat est rarement positif.
IL VAUT MIEUX QUE VOUS LIMITIEZ LES AUTORISATIONS ET PRIVILÈGES AU MAXIMUM
Le même raisonnement s’applique aux bases de données : l’idéal est que vous limitiez les autorisations et privilèges au maximum.
Contrôler rigoureusement l’accès est la première étape pour tenir les attaquants loin de vos données. En plus des permissions de base du système, vous devriez aussi envisager de :
·         Limiter l’accès aux données confidentielles, à la fois pour les utilisateurs et les procédures – en d’autres mots, n’autoriser que certains utilisateurs et procédures à faire des demandes concernant les informations sensibles;
·         Limiter l’utilisation de procédures clés à quelques utilisateurs spécifiques seulement;
·         Dans la mesure du possible, éviter d’utiliser et d’accéder à ces données simultanément en dehors des heures d’affaires régulières.
La désactivation de tous les services et procédures que vous n’utilisez pas constitue une autre bonne idée, afin d’éviter que ceux-ci puissent être attaqués. De plus, les bases de données devraient dans la mesure du possible se trouver sur un serveur n’étant pas accessible directement via Internet, afin d’éviter que des informations ne puissent être révélées à des attaquants extérieurs.
2.     Identifiez les données sensibles et critiques
D’abord et avant tout, avant d’examiner les techniques et les outils de protection, il convient d’analyser et de déterminer quels renseignements importants doivent être protégés. Pour ce faire, il est important de comprendre la logique et l’architecture de la base de données, afin de pouvoir déterminer plus facilement où et comment les données sensibles seront stockées.
Toutes les données que nous stockons ne sont pas aussi critiques, et toutes n’ont pas toutes besoin d’être protégées, il n’est donc pas logique de consacrer du temps et des ressources à ce type d’information.
Nous vous recommandons également de dresser un inventaire des bases de données de l’entreprise, en tenant compte de l’ensemble de ces services. Bien connaître toutes les instances et bases de données de l’entreprise et tenir un registre de celles-ci constitue la seule façon de les administrer efficacement tout en évitant la perte d’informations.
De plus, un inventaire s’avère particulièrement utile lors d’une sauvegarde d’informations, afin d’éviter de laisser des données critiques en dehors du schéma.
3.     Chiffrez vos informations
Une fois les données sensibles et confidentielles identifiées, nous vous recommandons d’utiliser des algorithmes robustes pour chiffrer celles-ci.
Quand les attaquants exploitent une vulnérabilité et parviennent à accéder à un serveur ou un système, la première chose qu’ils tentent de voler est la base de données. C’est là un trésor précieux pour ces cybercriminels. En effet, les bases de données contiennent généralement plusieurs giga-octets d’informations précieuses. La meilleure façon de protéger une base de données est de la rendre illisible : ainsi, vous pourrez empêcher toute personne d’y accéder sans autorisation.
Vous trouverez davantage d’informations dans notre guide gratuit sur le chiffrement des informations pour l’entreprise.
4.     Rendez vos bases de données anonymes, même hors production
De nombreuses entreprises investissent du temps et des ressources pour protéger leurs bases de données productives, mais se contentent de faire une copie de la base de données originale lorsqu’elles développent un projet ou créent un environnement de test. Ces entreprises commencent alors à utiliser ces données dans des environnements beaucoup moins étroitement contrôlés, les exposant ainsi toutes les informations sensibles.
Le masquage, ou l’anonymisation, désigne un processus par lequel une version similaire est créée, qui conserve la même structure que l’original mais modifie les données sensibles afin que celles-ci demeurent protégées. En utilisant cette technique, les valeurs sont modifiées, tout en conservant leur format initial.
Les données peuvent être modifiées de différentes manières : en les mélangeant ensemble, en les cryptant, en mélangeant les caractères ou en substituant des mots. La méthode spécifiquement utilisée et les règles et formats à respecter seront à déterminer par l’administrateur. Quelle que soit la méthode utilisée, l’administrateur doit s’assurer que le processus est irréversible, c’est-à-dire qu’aucune rétro-ingénierie ne permette à quiconque de retrouver les données originales.
Cette technique est particulièrement utilisée – et recommandée – pour les bases de données faisant partie d’un environnement de test et de développement, puisqu’elle permet de préserver la structure logique des données tout en s’assurant que les informations sensibles des clients ne sont pas disponibles en dehors de l’environnement de production.
5.     Suivez les activités sur vos bases de données
Être conscient de la vérification et l’enregistrement du mouvement des données implique que vous sachiez quelles informations ont été traitées, quand, comment et par qui.
Disposer d’un historique complet des transactions vous permet de comprendre les schémas d’accès et de modification des données vous permet d’éviter les fuites d’informations, de contrôler les changements frauduleux et de détecter les activités suspectes en temps réel.
N’oubliez pas de suivre ces conseils et demeurez très prudent lorsque vous gérez et protégez vos bases de données. L’information qu’elles comprennent est très précieuse pour l’entreprise et très attrayante pour les attaquants; elles méritent donc certainement votre pleine attention.

29.11.17

Keyless convenience or security risk? Car theft in action


Are you lucky enough to have a keyless car, motorbike or front door? If you are then you probably appreciate the convenience of being able to walk up to a door or vehicle, have it recognize the key in your pocket and automatically unlock the doors or allow you to start the vehicle.
The conceptual crime of being able to steal a car by relaying a contactless key’s signals is not new, but a video of the crime actually happening does make it real. West Midlands Police in the UK have released CCTV footage of just that, a pair of audacious thieves taking a Mercedes car from outside a home.
Security experts have repeatedly warned that there is a risk of key signals being relayed from the key to the car. To a consumer the concept may sound a little far-fetched. Technically-aware criminals carrying sophisticated technology that allows them access to vehicles or houses is probably something that still belongs only in Hollywood movies.
Manufacturers of vehicles have addressed the issue, in part: the key has to be within a certain distance from the vehicle. For example, to start the car the key may need to be in the vehicle. Limiting the range at which the antenna can read the key means the key holder is present and therefore it’s safe to allow access and starting. However, if a relay is used then the key may only appear to be in the car, as the video demonstrates.
Exactly how does the attack work and is it expensive to create? The attack, while seeming to be technology voodoo, is actually rather simple. It requires a transmitting relay near the key and a second relay near the car to receive the relayed signals and mimic the key. In 2011 the Department of Computer Science at ETH in Zurich published a paper detailing how to relay signals with equipment that cost just US$225. As technology becomes less expensive over time so does the equipment to relay ‘keyless’ signals, in April 2017 Wired published an article with details of devices as low as $22.
As the thieves demonstrate in the video, it is a matter of getting near the key (many of us leave keys near a door) and of having an accomplice near the vehicle. The relay transmits the signals to unlock the doors, the thieves then make the mistake of thinking the car will start but, as you will have seen, they need to play the process for the car to read the key a second time.
“Manufacturers of vehicles have addressed the issue, in part: the key has to be within a certain distance from the vehicle”
Why write a blog about a known attack that’s not new? Well, the video published this week sparked my interest: I own a motorbike that has a keyless system and I am always amazed at being able to walk up, press the start button, and ride off. However, there are limitations. The key needs to be in a different pocket from my phone for signal and battery purposes. If the phone and key are together the bike does not see the key and the key loses battery power quickly, as the key thinks the phone is trying to read the RFID chip and activates the distance technology designed to make sure it’s near the reader. Thus, I end up with a dead battery in the key and having to use the backup system to start the bike.
I also have an RFID enabled passport. It’s this technology that allows you to go through the electronic passport check and is common in today’s passports. To add to this I have a credit card that allows contactless payments, and I’m sure that, if I looked further through my everyday items, I would find more.
The British passport I carry has an RFID chip that is readable within a certain distance. For example, if I put my passport down on the counter in a shop then a reader could be placed under the counter to read passports placed on it. The content is of course encrypted, but a talented cybercriminal may take the time to attempt to decrypt the data. If you hold a US passport the same issue does not apply: there is an RFID chip but the cover of the passport is shielded to stop ad hoc reading of the data.
By now I hope you are wondering just how many RFID devices you have in your wallet and life. There is a risk of devices oversharing or sharing at a time that you don’t want them to, as with the car key. There are solutions to shield your stuff: for example I have an RFID-blocking wallet, which protects my credit cards unless I remove them from the wallet to use them. There are similar wallets or covers for passports which in basic terms wrap their contents in a material that blocks radio signals.
The keyless car fob can also be protected with a wallet, but it may feel wrong to hide the key of your new Mercedes in a wallet. I would go for the simpler and cheaper option and place the car keys in a tin while I am at home – a small mint or candy tin will create enough of a block to stop you being the next victim. For those that want to go all out and create a Faraday cage you can find some helpful instructions here.


28.11.17

La transparence des algorythmes d’apprentissage automatique : une arme à double tranchant

Le Règlement général sur la protection des données (RGPD), qui entrera en vigueur le 25 mai 2018, redéfini la façon dont les organisations doivent gérer la collecte et l’utilisation des données personnelles des citoyens de l’Union Européenne (UE).
Les débats entourant le RGPD se concentrent principalement sur la portée mondiale de cette législation, les amendes très élevées mises en place ou les lois plus contraignantes entourant le consentement informé comme condition au traitement des données personnelles. Cependant, l’un des défis que le RGPD entraine pour les entreprises passe souvent inaperçu : le droit des citoyens à obtenir des explications.
Au-delà des détails juridiques, le RGPD assure que les citoyens puissent obtenir des renseignements suffisants à propos des systèmes automatisés mis en place pour le traitement de leurs informations personnelles, afin de leur permettre de prendre une décision éclairée à ce sujet. Vous pouvez consulter une analyse juridique à la fois complète et accessible pour les non juristes ici.
Le droit à l’explication a longtemps été négligé. Outre la méconnaissance du droit lui-même, il n’est pas communément reconnu que cette nouvelle protection de la vie privée constitue un risque important pour les entreprises qui traitent les données des citoyens.
Certes, le respect des autres droits des citoyens introduits ou étendus par le RGPD, comme le droit de s’opposer au profilage, le droit d’obtenir une copie des données personnelles collectées ou le droit à l’oubli, peut s’avérer couteux. Mais de nombreuses entreprises sont aujourd’hui incapables d’expliquer leur traitement des données personnelles. Pire encore, elles ignorent souvent comment se conformer à cette obligation imposée par le RGPD.
La décision de la boîte noire
Les systèmes qui traitent les données personnelles des citoyens reposent souvent sur l’apprentissage automatique. De plus, contrairement aux algorithmes prémisse-conclusion (if-then) standard, les modèles d’apprentissage automatique fonctionne comme une sorte de boîte noire – personne ne sait exactement ce qui se passe à l’intérieur et le raisonnement exact menant au résultat.
C’est particulièrement vrai dans le cas des méthodes reposant sur des réseaux neuronaux. Les méthodes d’apprentissage automatique basées sur l’arbre décisionnel permettent, en théorie, de déterminer le parcours d’apprentissage. Cependant, des contraintes sévères rendent toute explication extrêmement difficile.
Prenons un exemple largement simplifié. Imaginons qu’une banque dispose d’un système d’apprentissage automatique pour déterminer la solvabilité des personnes demandant un prêt. En se basant sur les données relatives aux prêts précédents – y compris leurs résultats, caractérisés comme « bons » ou « mauvais » – le système apprend par lui-même à prédire si une nouvelle demande de prêt sera considéré comme une « bonne » ou une « mauvaise » demande de prêt.
La raison d’être de la prédiction – sur la base de laquelle une décision est prise quant à savoir si le demandeur sera ou non en mesure d’acquérir sa propre maison, par exemple – réside dans la façon dont un réseau complexe de milliers de neurones simulés traite les données. Le processus d’apprentissage comprend des milliards d’étapes et est difficile à suivre à l’envers. Non seulement techniquement, c’est-à-dire en raison de contraintes technologiques, mais aussi à cause des limites fondamentales des théories mathématiques sous-jacentes, personne ne peut vraiment dire exactement pourquoi un échantillon particulier de données a été étiqueté comme « mauvais ».
Se retrouver entre l’arbre et l’écorce
L’apprentissage automatique est devenu une méthode de choix pour traiter de grands ensembles de données et trier des échantillons en groupes. C’est pourquoi le droit à l’explication constitue un défi fondamental – et un risque de non-respect – pour tous ceux qui traitent des piles de données à caractère personnel des citoyens européens.
À moins que les entreprises qui traitent les données personnelles des citoyens ne comprennent bien le raisonnement qui sous-tend les décisions prises sur la base de leurs modèles d’apprentissage automatique, elles se trouveront entre l’arbre et l’écorce. Elles doivent empêcher leurs clients d’opter pour le traitement automatisé de leurs données personnelles (afin d’économiser des coûts et de maintenir l’activité commerciale), tout en préservant l’illusion que l’entreprise respecte réellement le droit du client d’avoir une explication standardisée ainsi que le droit d’avoir un contrôle humain en cas de résultat contesté (afin que l’entreprise puisse éviter les lourdes amendes imposées par le RGPD en cas de non-conformité).
La recherche fondamentale est nécessaire
Pour être en mesure d’expliquer le raisonnement qui sous-tend leurs processus de prise de décision automatisés – et donc d’accorder le droit d’expliquer à leurs clients – les entreprises doivent attendre que des améliorations radicales dans la compréhension de la façon dont les machines apprennent des améliorations radicales soient réalisées dans notre compréhension. Tout simplement, les processus d’apprentissage automatique doivent devenir transparents – sinon vraiment transparents, du moins beaucoup moins en forme de boîte noire – pour que les entreprises qui tombent sous le RGPD puissent se conformer.
Cependant, la transparence de l’apprentissage automatique doit être approchée avec beaucoup de doigté. L’imprévisibilité, ou la non-transparence, si vous préférez, est profondément enracinée dans les théories mathématiques fondamentales sur lesquelles ce type d’apprentissage est fondé. C’est pourquoi la solution du problème du droit à l’explication passe par une amélioration des fondements théoriques de l’apprentissage machine.
Les spécialistes des techniques d’apprentissage automatique s’orientent déjà de cette façon, mais il faudra peut-être attendre des années avant de voir des résultats tangibles du RGPD.
La transparence : besoin ou menace?
Contrairement aux spécialistes du marketing et à d’autres qui traitent des données personnelles en masse et doivent se conformer aux règles de confidentialité, les entreprises de cybersécurité ne se réjouissent pas d’un tel changement dans la recherche sur l’apprentissage automatique.
Allouer plus de ressources à la compréhension des modèles (dans un souci de transparence) implique que moins de ressources sont disponibles pour rendre les modèles plus précis et plus efficaces.
Pour nous qui chassons les logiciels malveillants, disposer de modèles d’apprentissage automatisé précis et efficaces est primordial. À l’inverse, une plus grande transparence de nos modèles d’apprentissage automatisé est la dernière chose dont nous avons besoin. Après tout, nous ne voulons pas que les cybercriminels parviennent à ajuster leur code malveillant pour défier nos protections!
Cependant, nous devons nous préparer à affronter nos adversaires en se basant sur une meilleure compréhension du fonctionnement de nos modèles d’apprentissage machine.
Sans aucun doute, il est important d’améliorer nos modèles d’apprentissage automatique et de les rendre plus sophistiqués et donc plus difficiles à contourner. Cependant, la mesure la plus importante à cet égard est d’avoir plus de niveaux de protection.
L’avènement des outils de débouchage des modèles d’apprentissage automatique montre clairement la fragilité des protections qui peuvent dépendre uniquement de ces modèles. À mon avis, les organismes d’essai devraient élaborer des méthodes plus sophistiquées pour tester la résilience des solutions de sécurité par rapport aux méthodes visant à contourner les mécanismes de détection des produits de sécurité en se fondant sur la connaissance du fonctionnement de ces mécanismes. Ces tests avancés sont nécessaires pour distinguer les solutions fiables et difficiles à contourner de celles qui ne fonctionnent que dans des conditions idéales.

À propos de l’auteur : Juraj Jánošík, est responsable de l’équipe de détection automatisée des menaces et de l’intelligence artificielle d’ESET.