18.1.20

Vous pouvez maintenant transformer votre iPhone en clé de sécurité Google



Mieux encore: il suffit de télécharger une application – ou presque!

Depuis l’année dernière, Google offre à la plupart des utilisateurs d’Android l’option d’utiliser leur téléphone comme clé de sécurité physique pour leurs comptes Google. Quelques mois plus tard, la plupart des utilisateurs d’iPhone peuvent maintenant faire de même.

Selon un article publié mercredi sur le blogue de Google, la fonctionnalité a été introduite avec une mise à jour de l’application Google Smart Lock sur iOS et est disponible pour tous les propriétaires d’iPhone fonctionnant sous iOS 10 ou plus récent. La nouvelle fonctionnalité transforme essentiellement les appareils en clés de sécurité conformes à la FIDO2, permettant l’authentification dans les comptes Google sur les appareils Windows 10, macOS, iOS et Chrome OS. Elle s’appuie sur Secure Enclave, le composant matériel des appareils Apple modernes qui protège les données les plus sensibles des personnes.

Cette décision s’explique par la rationalisation du processus d’inscription au Programme de protection avancée (APP) de Google, qui offre une protection supplémentaire contre l’hameçonnage et les autres types d’attaque qui ciblent les informations de connexion. Ce programme, qui
Toutefois, il n’est pas nécessaire d’être un chef d’entreprise, un journaliste ou un politicien pour renforcer la sécurité de votre compte Google. Toute personne utilisant un iPhone (iOS 10 ou supérieur) ou Android (7.0 Nougat ou supérieur) plus récent et souhaitant empêcher les attaques de piratage de compte peut s’inscrire au programme et bénéficier de l’amélioration de la sécurité.

En effet, si vous possédez un iPhone, utiliser une solide méthode 2FA pour sécuriser votre compte Google n’a jamais été aussi facile. En plus d’être plus sûre que la méthode d’authentification à deux facteurs (2FA) par SMS la plus courante, cette nouvelle option est également plus pratique que de transporter un jeton de sécurité séparé, comme la clé de sécurité Titan Security Key de Google. En outre, vous deviez auparavant acheter une des clés de sécurité dédiées.

Cela ne veut pas dire que vous devez vous dépêcher de vous débarrasser de votre jeton de sécurité une fois que vous avez choisi l’option la plus pratique. Un problème potentiel est la perte ou le vol de votre téléphone, qui, selon Google, est mieux traité en ayant une clé de sécurité de sauvegarde à portée de main.

Première étape
Surtout, vous devrez activer la nouvelle option 2FA dans les paramètres de votre compte Google et télécharger l’application Google Smart Lock. Le processus de configuration suivant est assez rapide et explicite mais, si nécessaire, le guide pas à pas de Google est là pour vous aider.

Pour vérifier les connexions, vous devrez activer le Bluetooth sur votre téléphone et votre ordinateur, et autoriser l’application à envoyer des notifications push, qui constitueront le deuxième facteur d’authentification.
Votre téléphone devra également être relativement proche de votre ordinateur, ce qui empêchera l’hameçonneur lambda d’accéder à votre téléphone déverrouillé.

Parlant d’hameçonnage, Google a plus d’une fois fait l’éloge des capacités de la 2FA basée sur le matériel. « Aucun utilisateur utilisant exclusivement des clés de sécurité n’a été victime d’une campagne de phishing ciblé au cours de notre enquête », souligne le géant de la technologie à propos des résultats d’une étude réalisée l’année dernière.

La même fonctionnalité est maintenant, à toutes fins utiles, disponible sur tous les nouveaux iPhones et appareils Android.


17.1.20

Microsoft corrige une grave faille de Windows suite aux informations de la NSA


 L'agence de renseignement américaine s'attend à ce que les attaquants ne perdent pas de temps à développer des outils visant à exploiter la vulnérabilité.
                                         
Microsoft a publié un correctif de sécurité pour remédier à une grave vulnérabilité du système d’exploitation Windows qui, en cas d’abus, pourrait permettre aux attaquants de faire apparaître des logiciels malveillants comme s’il s’agissait d’un code provenant d’une source légitime.

La vulnérabilité, qui est corrigée dans le cadre du déploiement de Patch Tuesday de ce mois-ci, affecte un composant cryptographique clé de Windows 10, Windows Server 2019 et Windows Server 2016. La faille a été découverte par l’Agence de Sécurité Nationale (NSA) des Etats-Unis, qui, pour la première fois, est maintenant officiellement créditée de la découverte d’une vulnérabilité logicielle.

Indexé sous le numéro CVE-2020-0601, le bogue réside « dans la manière dont Windows CryptoAPI (Crypt32.dll) valide les certificats de cryptographie sur courbe elliptique (ECC) », souligne l’avis de sécurité de Microsoft. Le module Crypt32.dll est responsable de nombreuses fonctions de certificat et de messagerie cryptographique dans la CryptoAPI.

« Un attaquant pourrait exploiter la vulnérabilité en utilisant un certificat de signature de code usurpé pour signer un exécutable malveillant, faisant croire que le fichier provient d’une source fiable et légitime », a déclaré Microsoft.
En d’autres mots, un acteur de la menace pourrait amener les victimes à installer un logiciel malveillant en le faisant passer, par exemple, pour une mise à jour logicielle légitime, y compris de la part de Microsoft elle-même, alors que les cibles n’en seraient pas plus avisées.

« L’utilisateur n’aurait aucun moyen de savoir que le fichier est malveillant, car la signature numérique semblerait provenir d’un fournisseur de confiance », explique le géant de la technologie.

« Un exploit réussi pourrait également permettre à l’attaquant de mener des attaques de type « man-in-the-middle » et de déchiffrer des informations confidentielles sur les connexions de l’utilisateur au logiciel concerné », poursuit l’entreprise.

« Sévère et généralisée »
Quelques heures avant l’annonce officielle, des rumeurs ont commencé à circuler selon lesquelles ce ne serait pas un lancement typique de Patch Tuesday. En effet, la nervosité s’est emparée de plusieurs membres de la communauté de la sécurité, après que l’ex-journaliste en cybersécurité Brian Krebs ait révélé l’ampleur du problème :

« Une vulnérabilité de sécurité extraordinairement sérieuse », décrivait Krebs lundi soir. Le gouvernement américain, l’armée et plusieurs entreprises très en vue auraient reçu un préavis et des correctifs pour corriger la faille.


La gravité de la situation a finalement suscité une série de communications officielles de la part des autorités américaines. Il s’agissait notamment d’une alerte de la Cybersecurity and Infrastructure Security Agency (CISA), d’une directive d’urgence en provenance du Department of Homeland Security (DHS) demandant un correctif accéléré pour toutes les entités fédérales, et d’un avis provenant directement de la NSA.

« Les conséquences de l’absence de correctifs sont graves et étendues. Les outils d’exploitation à distance seront probablement mis à disposition rapidement et à grande échelle. L’adoption rapide du correctif est la seule atténuation connue à l’heure actuelle et devrait être le principal objectif de tous les propriétaires de réseaux », déclare l’agence de renseignement. Ni la NSA ni Microsoft n’ont eu vent d’une utilisation de cette vulnérabilité dans la nature (in the wild).

Windows 7, dont la fin de vie officielle a eu lieu ce lundi, Windows 8 et d’autres systèmes Windows ne sont pas affectés par la vulnérabilité.
Le pack Patch Tuesday de ce mois-ci contient des correctifs pour un total de 49 vulnérabilités, qui sont quasiment résumées dans ce tableau du SANS Technology Institute. Deux failles critiques de la passerelle pour bureau distant Windows (RD Gateway), CVE-2020-0609 et CVE-2020-0610, se distinguent, car elles permettent à des attaquants distants non authentifiés d’exécuter du code arbitraire sur le système ciblé.

14.1.20

CES – La ville intelligente mise à l’essai


 
Personne ne dispose d’un plan précis pour sécuriser une ville intelligente – mais il devrait y avoir tout un atlas de telles cartes …

 Par Cameron Camp

Au CES 2020, Toyota vient d’annoncer son intention de construire un terrain de jeu de 70 hectares au Japon pour tester des villes reliées entre elles, avec des voitures, des bâtiments et de vrais habitants désireux d’être des bêta-testeurs en cours. Bien que cela promette d’être surveillé de près par l’industrie, cela souligne également le besoin d’obtenir des commentaires du monde des tests avant de lancer les villes connectées dans le monde réel.

Ce n’est pas le cas de la plupart des exposants ici qui rêvent simplement d’une ville connectée et espèrent le meilleur. Qui s’en chargera? Où trouveront-ils le budget? Où trouveront-ils l’expertise à prix élevé pour faire fonctionner le tout? Ces questions, ainsi qu’une foule d’autres questions connexes, seront mises en évidence en 2020. Personne n’a une bonne feuille de route.

Certaines villes font des progrès et tentent de travailler avec le National Institute of Standards and Technology (NIST) pour élaborer un cadre de travail à terme. C’est un bon progrès, mais les villes qui prennent les devants ont des assiettes fiscales très élevées pour financer de telles initiatives, ont investi massivement pour construire et posséder l’infrastructure nécessaire pour « encourager » les fournisseurs tiers à jouer gentiment, et ont l’appui des législateurs locaux. Toutes ces choses doivent être en place pour avoir une chance de faire fonctionner tout cela. Ce n’est généralement pas le cas.

J’ai récemment assisté à une réunion de planification du comté où les fonctionnaires ont dû lutter contre le déploiement de la 5G qui leur était imposé. Les responsables de cette réunion ont dû se faire expliquer le 5G à un niveau fondamental. Cela signifie qu’ils ne sont pas vraiment en mesure d’intervenir en tant qu’experts sur des questions comme l’octroi de permis de développement qui s’inscrivent dans les initiatives du comté et dans la voie à suivre pour devenir une ville intelligente. Ce n’est pas bon. Ce n’est pas non plus rare.

International Data Corporation (IDC) prévoit qu’entre 10 % et 30 % des projets de villes intelligentes liés à l’IdO échoueront l’an prochain en raison d’une combinaison de résultats mal définis, d’un manque de compréhension des offres des fournisseurs et d’un financement et d’un engagement limités des intervenants – une prévision qui donne à réfléchir.

Une fois qu’une ville décide de se lancer dans cette aventure, elle doit produire une série de documents juridiques pour préparer le terrain. C’est là que, espérons-le, le NIST fera le gros du travail.
Après cela, il faut vraiment construire – et non seulement en partie, mais dans sa globalité.

C’est une chose de sécuriser une seule partie de l’écosystème. C’en est une autre de sécuriser l’ensemble de l’écosystème. Demandez aux développeurs de systèmes d’exploitation comment cela fonctionne, avec de nombreux programmes qui se battent pour partager les ressources, résoudre les conflits et éviter d’être blâmés pour les dysfonctionnements. Comment cela fonctionnerait-il dans une ville intelligente?

Vraisemblablement, la municipalité serait ouverte aux poursuites lorsque les choses tournent mal, ou du moins vulnérable à l’escalade des primes d’assurance au cas où les choses tourneraient mal. Il n’est pas clair pour les petites villes qui ne sont pas à l’aise avec la technologie et qui ont des budgets plus serrés si les avantages l’emporteront sur les dépenses liées à l’adoption de la voie de la ville intelligente.
Mais au final, elles pourraient bien y être contraintes.

Vous vous souvenez quand le programme Bring-your-own-device (BYOD) – aussi appelé « Apportez votre propre appareil », ou AVPA, a commencé à s’installer dans le milieu de travail et que les groupes de TI se sont empressés de limiter les dégâts et de mettre en place des systèmes de gestion? Quels sont les quelques progiciels de gestion BYOD qui n’étaient pas dotés de toutes les fonctions de gestion ou qui étaient complètement brisés? Chaque service de TI est passé en mode défensif jusqu’à ce que les problèmes soient résolus. Mais le BYOD a quand même eu lieu. Nous sommes dans la même situation par rapport aux villes connectées.

Éventuellement, les garanties et les normes nécessaires seront mises en place, mais elles seront précédées par des années de conflits internes entre les parties prenantes.

Que pouvez-vous faire pour vous préparer?
C’est le bon moment pour faire le point sur vos systèmes et décider s’ils sont équipés de dispositifs de sécurité par conception ou simplement par la suite. Si les données sont protégées par défaut au repos et en mouvement, les atteintes à l’écosystème auront moins d’impact. Si, par contre, vous décidez de laisser la sécurité à l’écosystème lui-même, la route sera beaucoup plus cahoteuse.

Pendant ce temps, les villes se démèneront pour trouver l’information et le budget nécessaires pour que tout cela fonctionne. Cela prendra un certain temps. Pendant que l’horloge tourne, vous pouvez encore travailler pour sécuriser vos propres données de la meilleure façon possible, de sorte que lorsque les villes intelligentes vous seront imposées, vous serez en sécurité. Du moins, davantage en sécurité.

12.1.20

Voitures connectées : comment améliorer leur connexion à la cybersécurité



 Les logiciels prennent plus d’importance que jamais. L’industrie de la sécurité peut-elle rendre la route des voitures intelligentes moins sinueuse ?
Cameron Camp

Ici au CES, les constructeurs automobiles s’affrontent pour lancer les derniers gadgets de leurs nouveaux modèles avant la compétition. Et c’est difficile à faire sans briser les silos de logiciels. Cela signifie qu’il faut utiliser des outils open-source largement développés, avec un historique riche, et ne pas développer des fonctionnalités similaires à celles déjà disponibles, mais dans sa propre boîte noire. Les constructeurs automobiles ont résisté à cela pendant des années.

Par exemple, pourquoi les constructeurs automobiles ne standardisent-ils pas autour de l’Automotive Grade Linux (AGL)? Bien que certains deviennent de plus en plus chauds à cette idée, il a fallu des années pour faire ces modestes progrès. Une initiative open-source visant carrément à fournir les bases d’une nouvelle génération d’innovation automobile – cela a été long à venir.

Pourquoi? Historiquement, les constructeurs automobiles ont été occupés à perfectionner leurs silos technologiques, avec des développeurs spécialisés, des piles de code patrimonial (qui dureront toujours) avec une technologie qu’ils comprennent (pour la plupart). Pourtant, ce n’est pas une voie sans heurts.

Parlez-en aux fabricants de systèmes d’exploitation qui ont construit tout ceci. Plus tard, ils ont compris que le différentiateur sur le marché était dans la magie qu’ils ont construite sur les fondations perfectionnées par d’autres. Ça a marché. Utiliser une fondation d’open source donne un produit avec de meilleures fonctionnalités, plus tôt, que les consommateurs sont heureux d’acheter. Pas tellement sur le marché de l’automobile. Pour l’instant.

Pourtant, avec le plaidoyer de la Linux Foundation et le rythme apparemment glacial de l’adhésion – d’abord des fournisseurs de premier rang dans une sorte de mouvement de recul des constructeurs automobiles eux-mêmes – nous voyons enfin des progrès.

J’ai parlé avec un partisan de l’AGL qui a dit qu’il venait de s’adresser à un fournisseur de premier rang, où il avait plaidé pour l’utilisation d’un environnement de développement standardisé pour les graphiques de ses systèmes automobiles. Il a essuyé un refus. Vu avec suspicion, les environnements de construction standardisés étaient très mal vus. Des années plus tard, les partisans de cette approche commencent à voir la lumière.

Maintenant, l’AGL semble faire sa place, des systèmes d’infodivertissement à l’ensemble du groupe d’instruments. C’est logique. Linux a fait des tâches réseau presque depuis qu’il y a un Linux. Maintenant, avec le soutien croissant de leurs employeurs, les développeurs de l’industrie automobile peuvent rapidement accélérer le processus de développement lui-même, standardiser les tests, engager une foule d’experts et, fondamentalement, faire des voitures beaucoup mieux, très rapidement.

Ce ne sera pas trop tôt, car les experts en sécurité nous avertissent depuis des années. Mais le progrès est le progrès, et au CES, il est aussi rafraîchissant qu’une brise de désert de les voir tous recroquevillés dans une zone orientée dans la même direction – vers l’avant.

Par exemple, il y avait plusieurs entreprises au CES qui offraient ce qui semble être des techniques de sécurité standard pour les voitures, des choses comme les moniteurs de réseau, la détection d’intrusion, la liste blanche et autres.

Mais il s’agit en quelque sorte de correctifs boulonnés, car les protocoles de communication des voitures eux-mêmes sont très en retard par rapport à la technologie réseau actuelle. La plupart des voitures sur la route aujourd’hui ont peu, voire pas d’authentification sur les systèmes qui contrôlent la voiture elle-même.

Il est heureux de constater que depuis quelques années, on déploie beaucoup d’efforts pour améliorer les communications de contrôle afin qu’elles soient suffisamment robustes pour permettre une authentification plus efficace, ce qui est un début.

À l’avenir, nous espérons pouvoir mettre en place des ensembles d’outils robustes, et les entreprises qui ont déjà l’expérience de leur utilisation, ainsi que des mesures de sécurité.

Et puisque votre prochaine voiture aura plus de réseaux et d’électronique que la précédente – probablement beaucoup plus – cela peut se traduire par des prix plus bas, des ensembles de fonctionnalités plus complets et une plus grande confiance dans le fait que l’industrie se dirige dans la direction que les experts ont déjà tracée. Si vous engagez l’industrie de la sécurité de cette façon, la route qui s’ouvre devant vous pourrait être un peu plus facile.