Publié le Laisser un commentaire

Cyber-sécurité à la française

 En France, on s’y connaît sur la cybersécurité !

Qui a dit que la cybersécurité est une affaire d’américains ou de chinois ? Les entreprises françaises réclament leur part du gâteau. EDR, gestion des identités, authentification multi-facteurs ou encore filtrage et gestion des identités…elles ont de solides arguments à faire valoir. Cet article a pour but de présenter brièvement au moins 4 entreprises, start-up pour être précis, qui font la différence.

I) HarfangLab

Créée en 2018, elle est dirigée par son fondateur, Grégoire Germain, officier de la Marine pendant 22 ans puis passé par Thalès Cybersecurity.

Harfanglab propose le premier EDR – Endpoint Detection & Response – certifié par l’ANSSI. En décembre 2020, pour être précis, la solution EDR développée par ses soins a reçu la Certification de sécurité de premier niveau (CSPN).

Son logiciel à base d’intelligence artificielle (IA) est conçu pour accélérer la détection des premiers signes de comportements malveillants sur le parc informatique des entreprises, et de les préserver de cyberattaques, dont celles par rançongiciel (ransomware). Souvenez-vous, l’un de nos articles aborde ce sujet.

L’entreprise fait partie des onze «pépites» élues dans le cadre du Grand Défi Cyber, un programme subventionné par l’État pour renforcer l’écosystème français de cybersécurité.

Elle compte des clients prestigieux : le Ministère des Armées, Thales et Sanofi.

Elle a récemment opérée une levée de fonds de 5 millions d’euros.

II) Quarkslab

C’est une entreprise française, présente à Paris et à Rennes ainsi qu’à Buenos Aires. Son président fondateur est Fred Raynal. Sa création remonte à 2011.

Elle est spécialisée dans les domaines suivants : logiciels de protection des applications,R&D, conseil et formation. Ce côté multi-tâches est particulier dans le milieu français de la cybersécurité.

Sa 1ère levée de fonds était de 5 millions d’euros et sa cible était Ace management ainsi que son fonds, Brienne III.

Elle a obtenu l’accréditation de l’ANSSI (Agence nationale de la sécurité des systèmes d’information), ce qui est un gage de sérieux. Son centre opérationnel est le CESTI ( Centre d’Évaluation de la Sécurité des Technologies de l’Information).

III) Cyber-Detect

Créée en mai 2017, cette start-up est actuellement dirigée par Régis Lhoste.

issue du Loria (CNRS, Inria, Université de Lorraine)Son domaine clé est le développement des solutions de cyber-sécurité basés sur l’«analyse morphologique» pour la détection et l’analyse des codes malveillants, et tout particulièrement des attaques ciblées.

Plus précisement, son offre repose sur une technologie du nom de GORILLE. Combinant l’intelligence artificielle et des techniques de reverse-engineering, elle a été au point mise la technologie mise au point au sein du Laboratoire de Haute Sécurité du LORIA (Université de Lorraine).

CYBER-DETECT travaille depuis sa création avec la Direction Générale de l’Armement (DGA). Le groupe THALES n’est pas en reste car il a retenu, depuis 2018, CYBER DETECT pour la saison 2 de son programme d’accélération spécialisé en cybersécurité.

IV) Ilex International

Fondée en 1989, cette société est actuellement dirigée par Laurent Gautier, l’un de ses co-fondateurs. Son siège social est à Asnières-Sur-Seine.

Ilex propose une plateforme globale sur les thématiques du référentiel d’entreprise et de la fédération d’identités.

La liste complète de ses domaines de compétences est la suivante : IAM – Identity and Access Management, Gestion des rôles, Web Access Management, Enterprise SSO et Fédération d’identités et Workflow, provisioning et gestion des identités.

Parmi ses références comme Crédit Agricole, Canal Plus, Generalli, Société Générale ou le Groupe La Poste.

Son dernier fait marquant est d’avoir renouvelé un accord de collaboration, initié en 2011, avec Airbus Cybersecurity pour fournir une une solution pré-packagée d’IAM.

Publié le Laisser un commentaire

Technologies permettant l’authentification sans mot de passe : exemple de la biométrie Exemplaire

L’authentification sans mot de passe ?

Il s’agit d’un système qui élimine le besoin ou l’obligation de générer un mot de passe traditionnel. Concrètement, des méthodes de sécurité renforcée sont appliquées. On peut trouver une empreinte digitale, un lien magique, un jeton secret, etc., transmis via un SMS ou un e-mail.

Les avantages de l’authentification sans mot de passe sont au moins trois :

-Les utilisateurs ne sont désormais plus obligés de mémoriser leurs informations de mot de passe, ce qui mène à une excellente expérience de temps d’écran. Qu’il s’agisse des mails professionnels ou de la consultation d’une application sur son portable.

–Sans mots de passe à exploiter, les utilisateurs n’auront aucun problème pour utiliser des applications. Ce qui annihile le risque d’une attaque par la force brute, ou autre.-Plus de commodité en accédant ou en obtenant des informations partout et à tout moment.

Il y a plusieurs types d’authentification sans mot de passe :

– Par Email =) il faut entrer son adresse e-mail pour obtenir un lien ou un code unique pour pouvoir se connecter.

Par SMS =) il faut saisir un numéro de téléphone est nécessaire pour obtenir un code unique pour la connexion.

Par biométrie =) par le biais de l’iris, du visage ou de ses empreintes digitales.

L’authentification sans mot de passe exploite des technologies telles que les certificats numériques.

Penchons-nous particulièrement sur la biométrie.

La biométrie 

Petite définition

Au sens littéral, la biométrie signifie la “mesure du corps humain”.

Elle vise à permettre l’authentification de l’individu. On distingue deux catégories de technologies biométriques : les mesures physiologiques, et les mesures comportementales.

Les différentes techniques utilisées ne sont naturellement pas figées, la nature de leur discipline les en empêche

Identification et authentification biométrique

L’identification consiste à déterminer l’identité d’une personne.

Une question simple est posée : «qui êtes-vous ?».

L’authentification, ou vérification, consiste à comparer les données caractéristiques provenant d’une personne, au modèle de référence biométrique de cette dernière, déjà enregistré et stocké, pour vérifier que la personne est bien celle qu’elle prétend.

Ici, la question est plutôt : «êtes-vous bien Monsieur ou Madame X .

Quelles sont les capacités de la biométrie ?

La biométrie peut-être utilisée par des Etats comme par des particuliers.

Les techniques biométriques sont principalement utilisées dans les secteurs suivants : gestion de l’identité, identification judiciaire,administration et contrôle d’accès. Le secteur privé est tout autant concerné que le secteur public.

Les techniques biométriques sont en constante évolution : même la forme de l’oreille est concernée.

Ces techniques biométriques ont plusieurs choses en commun car elles sont :

-universelles : tout individu est concerné

-uniques : tout individu doit pouvoir être différencié par rapport à un autre

-permanentes : l’évolution dans le temps est un facteur pleinement intégré

-enregistrables : l’accord de l’individu est nécessaire pour collecter les caractéristiques qui lui sont propres

-mesurables : une comparaison dans un temps futur est possible

-infalsifiables : objectif fondamental de la biométrie

Biométrie : suite

Quels sont les différents types de biométrie ?

EN VOICI QUELQUES UNES :

–BIOMÉTRIE PAR EMPREINTE DIGITALE

Nous la devons à Apple Computer qui, en 2013, a commercialisé l’iPhone 5s doté de la fonction TouchID. Ce dernier incluait une intégration simple de l’authentification par empreinte digitale. L’empreinte digitale est vérifiée en comparant les boucles, les arcs et les verticilles uniques de chaque motif. Après la capture de l’empreinte, des algorithmes sophistiqués utilisent l’image pour produire un modèle biométrique numérique unique. Le modèle est ensuite comparé aux scans existants ou à de nouveaux scans pour confirmer ou non une correspondance.

– BIOMÉTRIE FACIALE

L’utilisateur prend une photo de son visage pour qu’elle soit comparée en temps réel au visage enregistré. Ce système mesure la géométrie du visage, c’est-à-dire la distance entre les yeux, entre le menton et le front, et de multiples autres points. Pour finir, un algorithme avancé transforme les informations collectées en une signature faciale cryptée.

-BIOMÉTRIE COMPORTEMENTALE

Les «schémas comportementaux» sont, par exemple la manière d’utiliser la souris ou de taper au clavier de l’ordinateur. Leur but est de créer un profil «réel» de l’utilisateur, qui peut ensuite être comparé à un profil «escompté»(profil analysé pour voir s’il correspond au premier).

– BIOMÉTRIE VOCALE

Elle vise à comparer la voix d’une personne à son empreinte vocale. Cette dernière étant déjà stockée. L’analyse de la voix porte sur 1000 facteurs par rapport à une empreinte vocale impossible à falsifier ou à dupliquer. Cette dernière, c’est important ne peut-être ni réutilisée ni dérobée.

La biométrie vocale peut être ajoutée à des applications sécurisées en self-service et peut même écouter des conversations entre un agent et un client afin d’authentifier ce dernier sans effort.

La biométrie vocale peut être «active», dans ce cas l’utilisateur énonce une phrase clé comme «ma voix est mon mot de passe» qui permet aux entreprises de créer des canaux numériques en self-service sur une appli ou un site Web, pour traiter les transactions de façon sécurisée.

Elle peut également être «passive» et sera écoutée en arrière-plan d’une conversation, par exemple entre un client et un agent. Dans ce cas, pour que cela marche, le client ne doit effectuer aucune autre action et doit-être authentifié sous 10 secondes.

Est-ce que la biométrie est fiable ?

Elle repose sur des algorithmes statistiques. Sa fiabilité n’est pas garantie à 100 % quand elle est appliquée seule.

Depuis quelques années, une technique vise à réduire au maximum le risque d’erreur. Il s’agit de la biométrie multimodale : elle vise à combiner deux biométries ou davantage encore. Par exemple, en combinant les empreintes digitales et l’iris.

Conséquence logique : cette technique signifie l’utilisation d’un serveur centralisé, dont l’architecture doit être particulièrement sécurisée. Qu’arriverait t’il si ce serveur plantait ?

Aujourd’hui, il semble que les mesures physiologiques ont l’avantage d’être plus stables dans la vie d’un individu. L’effet de stress est moins prononcé que pour l’identification par mesure comportementale.

Les risques objectifs de la biométrie

Avancée réelle, la biométrie nous présente maintenant une face plus inquiétante.

D’abord, il y a le «faux rejet» : la machine ne sait pas reconnaître une donnée biométrique qui pourtant correspond à la personne. Tout est dans les mots «ne sait pas».

Ensuite, il y a la «fausse acceptation» : la machine assimile deux données biométriques qui ne proviennent pas de la même personne.

Ces deux problèmes concernent toutes les techniques utilisées en biométrie. Mais les risques d’erreur ne viennent pas de la même source.

Des techniques biométriques sont plus ou moins adaptées à certaines catégories de personnes. La faute à des facteurs ergonomiques en cours de maitrise.

Par exemple, tel système peut fonctionner pour les femmes, moins pour les hommes.

D’autres difficultés surviennent quand, pour la reconnaissance faciale, une personne se teint les cheveux ou autre modification corporelle.

Des erreurs sont également possibles selon les technologies utilisées : ainsi, un modèle d’appareil photo de mauvaise qualité peut sensiblement augmenter le risque d’erreur pour votre photo de vérification.

En plus des techniques, le risque d’erreur varie également selon l’environnement immédiat et l’application : cadre de prise de vue, position corporelle de la personne….

Sachez que, dans une solution de contrôle biométrique le taux de rejet et d’acceptation sont intimement liés. Ils peuvent même être paramétrés en fonction du niveau de risque acceptable. Il n’est pas possible d’augmenter l’un sans impacter l’autre.

Bien sûr, vous vous demanderez en quoi la biométrie peut affecter votre quotidien. Ce n’est pas réservé à une élite sociale, économique ou politique. Cette méthode d’identification peut s’appliquer aux petites et très petites entreprises, sans oublier la fonction publique, même si l’adaptation sera plus longue. Alors, renseignez-vous dès maintenant !

Publié le Laisser un commentaire

Hackers vs USA : un affrontement du 21 eme siècle

La cybermenace : titan du 21ème siècle face à la puissance américaine ?

VENDREDI 3 JUILLET 2021, MIDI, VEILLE DE LA FÊTE NATIONALE AMÉRICAINE.

UN TIMING AUSSI PARFAIT QUE CRUEL. L’OCCASION POUR UN GROUPE DE HACKEURS D’ABATTRE SES CARTES.

Que s’est-il passé ?

Une cible : la société américaine du nom de Kaseya.

Son siège social se trouve à Miami. Son domaine est l’informatique. Son activité est la vente de divers outils de gestion informatique. Son logiciel (VSA) a été créé pour gérer aussi bien des réseaux de serveurs que des imprimantes, en passant par les ordinateurs. Sa clientèle se compose d’entreprises du monde entier. Son nombre de clients (revendiqué) est de 40 000.

L’attaque a été lancée via un sous-traitement informatique. Le nombre de victimes est tellement élevé que le FBI a pris les devants, et reconnu qu’une indemnisation pour toutes relèverait de l’impossible.

Un coupable : un groupe de hackeurs connu sous le nom de REvil ou Sodinokibi.

Ce groupe REvil, également connu sous le nom de Sodinokibi, est lié à la Russie. Il a entamé sa «carrière» en 2019.

Pour l’anecdote, leur nom est la contraction de “Ransomware Evil”. Leur inspiration est clairement la série de jeux vidéo “Resident Evil”.

Suspectée de couvrir, voire d’être associé, à l’activité de pirates russes, la Russie dément toute implication. De joyeuses brouilles diplomatiques en perspective, s’ajoutant à une situation déjà tendue entre la Maison Blanche et le Kremlin.

Un nombre élevé de victimes

La première victime est, bien entendue, la crédibilité de Kaseya. Mais, au-delà, des milliers de sociétés sont touchées, dans près de 17 pays selon la société de sécurité informatique ESET Research. Dans le détail, on compte des centaines d’entreprises américaines, mais aussi des entreprises européennes. Cas le plus emblématique à se mettre sous la dent : Coop, une chaîne de supermarchés suédoise, a fermé 800  de ses magasins samedi car le système de caisses avait été touché.

Une conséquence grave : l’effet domino

L’ennui dans cette histoire, c’est que certains des abonnés de Kaseya ont eux-mêmes de nombreux clients internationaux, permettant ainsi une propagation décuplée de l’attaque.

De quoi donner une nouvelle version au proverbe du «battement d’ailes du papillon» : un battement d’ailes virtuelles à Washington peut se propager jusqu’à Séoul ou Jakarta.

Une méthode : le rançongiciel

Concrètement, c’est une prise d’otages sans effusion de sang, via l’utilisation d’outils numériques. Un programme est introduit subrepticement dans un système informatique pour en chiffrer tous les fichiers et données.

Dans ce cas précis, une faille dans le système de mise à jour de Kaseya aurait été suffisante.

Comme souvent avec la langue anglaise, il s’agit d’un amalgame entre deux mots : rançon et logiciel en français, ce qui donne ransomware.

Quelles conséquences ?

Un appel

Un appel à rançongiciel a été lancé Dimanche 04 juillet, au soir, REvil a lancé sur le darkweb un appel à rançongiciel.

Une rançon

La rançon exigée est de 70 millions de dollars (59 millions d’euros). En échange de quoi, le blocage des données sera immédiatement levé.

Une suite

REvil travaille avec d’autres cybercriminels. Ces derniers se chargent de diffuser à leur tour le rançongiciel de REvil.

Une stratégie bien rodée

Au palmarès du groupe Revil, on trouve l’attaque visant une filiale américaine du brésilien JBS, 1er producteur mondial de viandes. Il a payé en juin 2021 une rançon de 11 millions de dollars.

Revil serait aussi l’instigateur de l’attaque contre Colonial Pipeline, le principal exploitant nord-américain d’hydrocarbures.

Dans ce monde aussi bien fascinant que terrifiant, personne n’est à l’abri d’une cyberattaque. Pas même la première puissance mondiale.

Cela veut-il dire qu’il n’y a pas de solution, notamment sur le plan local ?

Bien-sur que non, sinon nous n’existerions pas chez Sohest !

Publié le Laisser un commentaire

Cryptomonnaies, une actualité brûlante : pas de panique, on vous dit tout ! Exemplaire

Cryptomonnaies, une actualité brûlante : pas de panique, on vous dit tout !

Cet article résume les derniers rebondissements de la jeune et turbulente histoire des cryptomonnaies.

La question des fraudes

S’il y a fraude, c’est que le risque en vaut la peine. Et, pour le bitcoin, les chiffres sont sans appel : entre 2020 et 2021 la valeur du Bitcoin a bondi de 450% jusqu’à atteindre 59 000 dollars. D’autres cryptomonnaies ont tiré profit de la locomotive Bitcoin, comme l’éther. Nouveau secteur en plein boom, le milieu de la cryptomonnaie attire son lot d’investisseurs enthousiastes et d’escrocs plus ou moins professionnels.

Un exemple concret de fraude : rendez-vous à Londres, chez un jeune technicien en pharmacie.

Le «cobaye en fraude» a perdu pas moins de 10 000 dollars. Comment ?

Approché sur Télégram par une entreprise du nom de LUB Token, il s’est laissé séduire par leur «nouvelle cryptomonnaie», du nom de LUB. L’arnaque était fondée sur la promesse hypnotique d’un rendement de 10 % !

Résultat ? Cette entreprise est brusquement sortie des radars en mai. Ses victimes se compteraient par centaines.

Pour avoir une idée plus globale des fraudes, direction les États-Unis.

La Federal Trade Commission estime, qu’aux États-Unis, les fraudes sur les investissements en cryptomonnaies ont fait perdre entre octobre 2020 et mars 2021, 82 millions de dollars aux victimes. C’est dix fois plus qu’un an auparavant, sur la même période.

Ironie du sort, l’image d’Elon Musk a été utilisée pour ces fraudes.

Elon Musk justement.

Elon Musk, booster ou fossoyeur du Bitcoin ?

En février 2021, Tesla, l’entreprise d’Elon Musk, s’est ouverte aux paiements en Bitcoin. Durant un court laps de temps, quelques semaines, les clients américains ont pu acheter une voiture électrique avec des cryptomonnaies. Grâce à Musk, le cours du Bitcoin a bondi jusqu’à atteindre un nouveau record.

Mais l’éclaircie n’a pas durée : en mai dernier, invoquant des motifs d’ordre écologique ( trop de combustibles riches en carbone pour miner des bitcoins ) Tesla a mis fin au paiement en Bitcoin. Conséquence ? Un effondrement de la valeur de la devise.

Elon Musk semblait ne plus croire en l’avenir des cryptomonnaies. Mais il a vite pris contact avec les principaux mineurs de bitcoin basés en Amérique du Nord. Les discussions se sont focalisées sur le meilleur moyen de réduire l’impact environnementale de cette activité. Le revirement de Musk sur les cryptomonnaies aurait donc vraisemblablement été dicté par le souci d’apaiser les actionnaires de Tesla. Du moins, certains d’entre eux.

Le premier résultat tangible est la mise en place le Bitcoin Mining Council. Composée de mineurs, cette organisation se donne pour objectif de “promouvoir la transparence du côté de l’utilisation de l’énergie”et“d’accélérer l’adoption d’initiatives durables à travers le monde”. Pour l’information, cette entité n’a pu voir le jour que grâce à un certain Michael Saylor, PDG de MicroStrategy et soutien indéfectible des cryptomonnaies.

Conséquence de cet effort : Musk s’est engagé à accepter à nouveau la cryptomonnaie dans les années à venir.“Lorsqu’il sera confirmé que les mineurs utilisent une quantité raisonnable d’énergie propre (environ 50%) avec une tendance à l’amélioration, Tesla recommencera à autoriser les transactions en bitcoins” s’engage t’il sur Twitter.

Autre démenti apporté par Musk : Tesla n’a pas vendu tous ses bitcoins, mais seulement 10 %.

La stratégie du coup-de-menton semble payer : le cours du bitcoin remonte.La devise numérique s’échange désormais autour de 39 000 dollars, contre 35 000 avant le dernier revirement de Musk.

Une Terre promise pour le Bitcoin ?

Il fallait qu’un gouvernement se distingue des autres pour que les cryptomonnaies ne soient pas qu’un feu de paille.Et c’est désormais le cas. Un pays renonce à la méfiance générale sur la prolifération des monnaies non-fiduciaires (non-fondées sur les pièces et les billets de banque).

Mais son identité pourrait vous surprendre. Procédons par élimination : ce n’est ni la Chine, ni l’Inde.Trop méfiantes, trop peuplées, ou trop autoritaires pour l’une. Ce ne sont pas non plus les Etats-Unis. Occasion manquée ? Et, bien entendu, ce ne sont pas les pays européens. Alors, qui ?…La République du Salvador !

Plus petit pays d’Amérique centrale, peuplé de 6 millions d’habitants, il veut faire du bitcoin une devise parfaitement légale. Un tweet daté du 9 juin 2021,a ouvert les hostilités : le président de la République salvadorienne Nayib Bukele a en effet confirmé l’approbation de la loi BitcoinLaw par l’Assemblée Nationale.

Les autorités du Salvador ont leur idée pour exploiter le bitcoin à grande échelle et devenir, à court terme leader mondial en ce domaine. Nouvelle entrée en scène du président Bukele : dans un autre de ses tweets, cette fois adressé à GEO SV, responsable de la production d’électricité géothermique, il demande à ce qu’il fournisse de l’énergie aux fermes de minage grâce à la chaleur émise par la vingtaine de volcans du pays.

Comme il fallait s’y attendre, cette décision historique (si,si, historique), n’a pas enthousiasmée tout le monde. Surtout le FMI. Le lendemain de l’adoption de la BitcoinLaw, le Fonds monétaire international (FMI) a fait savoir, par la bouche de son porte-parole, Monsieur Gerry Rice, que l’adoption du BTC comme une monnaie légale soulevait plusieurs problèmes. Aussi bien d’ordre financier que juridique. L’organisation a demandé une rencontre le plus tôt possible avec le président Bukele.

Bonus : des bourses d’échange de cryptomonnaies à étudier

Les bourses d’échange de cryptomonnaies sont là pour faciliter l’acquisition ou la cession de cryptomonnaies par les traders. Bien-sûr, elles ne le font pas gratuitement.

Concrètement, il s’agit de convertir une monnaie fiduciaire (monnaie tangible soutenu par la quasi-totalité des gouvernements). Pour ce faire, ils convertissent de la monnaie fiduciaire (monnaie réelle soutenue par un gouvernement) en une monnaie numérique précise ( processus inverse quand vous vendez).

Voilà une short list, pour vous :

1) Coinbase

2) Kraken

3) Bittrex

4) Gemini

5) Coinmama