Views
5 months ago

Cybersecurity 2019

  • Text
  • Faire
  • Attaques
  • Suisse
  • Entreprise
  • Contre
  • Netzmedien
  • Mots
  • Peuvent
  • Passe
  • Entreprises

20 SPÉCIAL

20 SPÉCIAL DÉVELOPPEMENT Les développeurs ont tendance à ne pas chiffrer les mots de passe Facebook a laissé des centaines de millions de mots de passe sans chiffrement stockés dans ses systèmes internes. Une négligence par ailleurs fréquemment observée chez les développeurs freelance, pour qui le chiffrement des mots de passe ne va pas de soi. Rodolphe Koller, Yannick Chavanne Manque de rigueur Il semble ainsi que des développeurs de Facebook ont contourné les consignes de l’entreprise en matière de chiffrement. Une mésaventure qu’auraient également connue par le passé Github et Twitter. Pour Steven Meyer, de la société romande ZENData, il est possible que le problème résulte du mode debug employé lors du développement d’un nouveau produit, et qui permet de garder une trace complète de toutes les actions et activités des utilisateurs. «Quelle que soit la taille de l’entreprise, les développeurs sont toujours tentés de se faciliter la vie en simplifiant les règles de sécurité de base», commente de son côté Bob Diachenko, expert en cybersécurité chez Security Discovery au site Threatpost. On ne s’en étonnera pas chez une entreprise qui a pour devise «move fast and break things». Facebook assure que le problème est résolu, que les mots de passe n’ont jamais été visibles à l’extérieur et que rien n’indique qu’un collaborateur interne y ait accédé. Une information qui contredit Krebs on Security qui parle de logs montrant que 2000 ingénieurs ont procédé à 9 millions de requêtes sur des éléments contenant les mots de passe en texte clair. «Les développeurs sont toujours tentés de se faciliter la vie en simplifiant les règles de sécurité de base.» Bob Diachenko,Security Discovery Facebook a stocké en clair les mots de passe de plusieurs centaines de millions de ses membres. Dépourvus de chiffrement, ils étaient visibles par les collaborateurs de Facebook ayant accès à ses systèmes de stockage. L’information a été révélée par le blog spécialisé Krebs on Security puis confirmée par le réseau social. «Dans le cadre d’un examen de sécurité de routine effectué en janvier, nous avons constaté que certains mots de passe d’utilisateur étaient stockés dans un format lisible dans nos systèmes internes de stockage des données. Cela a retenu notre attention parce que nos systèmes de connexion sont conçus pour masquer les mots de passe en utilisant des techniques qui les rendent illisibles», explique dans un billet Pedro Canahuati, VP Engineering, Security and Privacy chez Facebook. Le réseau social utilise normalement diverses techniques cryptographiques (salage, hachage, etc.) qui lui permettent de valider un login sans conserver le mot de passe en clair. Chiffrement des mots de passe négligé Les développeurs de Facebook ne sont pas les seuls à manquer de rigueur en matière de chiffrement de mots de passe. Une étude de l’université de Bonn montre en effet que les programmeurs freelance ne stockent pas les mots de passe de façon sécurisée sauf en cas de demande explicite. Et quand ils le font, ils utilisent souvent des méthodes désuètes. Les chercheurs ont remarqué qu’un certain nombre de programmeurs indépendants pensent que l’encodage de l’information en base 64 représente à lui seul une méthode sûre pour la sécurisation des mots de passe. De plus, chiffrement et hachage sont perçus par certains comme des termes synonymes, sans compter que des méthodes désuètes visant à sécuriser les mots de passe étaient fréquemment utilisées. Il apparaît que seuls 15 des 43 développeurs ont mis en œuvre la technique cryptographique de salage. L’étude montre aussi qu’une large part des freelancers embauchés se sont contentés de copier-coller du code trouvé sur le web, soulignant qu’ils n’ont pas les compétences nécessaires pour développer un système sécurisé à partir de zéro. Moralité: pour ce type de mission, les entreprises ont intérêt à choisir avec précaution leurs collaborateurs externes. www.ictjournal.ch © netzmedien ag

Graphique: eleremy / adobe.stock.com Dossier Advanced Persistent Threats en collaboration avec Swisscom Se protéger des attaques sophistiquées rko. Les cyberattaques opérant sous le mode de menaces persistantes avancées (APT) ne peuvent généralement pas être évitées. Il n’empêche: les entreprises peuvent mettre en œuvre des techniques permettant de détecter rapidement ces attaques et d’en limiter les dommages. Dans son article, Ladina Camenisch, Senior Communication Manager chez Swisscom, explique que ces attaques sophistiquées se caractérisent par une chaîne d’actions établie, allant du renseignement préalable à l’infection ciblée, puis de la prise de contrôle à l’effacement des traces – la Cyber Kill Chain. Elle ajoute que l’approche de protection périmétrique ne suffit pas à s’en protéger – la cybersécurité doit changer de paradigme: «Les entreprises doivent de plus en plus concentrer leur cybersécurité sur les attaquants». Qui sont les victimes les plus fréquentes de ces attaques et comment détecter qu’elles sont en cours? Des sujets qu’aborde Lorenz Inglin, responsable cyberdéfense chez Swisscom, en interview. Il explique aussi ce que l'on peut apprendre du piratage du Ruag. Parce que les mesures de sécurité sont toujours une question d'effort, les entreprises devraient se concentrer davantage sur les méthodes de détection. En cas d’attaque, il faut prendre la mesure de la situation et des systèmes auxquels le pirate a accédé plutôt que d’agir dans la précipitation. www.ictjournal.ch © netzmedien ag