Mis en avant

Kerberos : Principe de fonctionnement

J’ai décidé de me lancer dans une difficile explication du fonctionnement de Kerberos. Ce n’est pas le plus simple des protocoles, je vais donc essayer d’être le plus clair possible.

Si vous le désirez vous pouvez télécharger l’infographie complète sur Kerberos.

Présentation

Kerberos est un protocole d’authentification AAA issu du projet « Athena » du MIT (Massachusetts Institute of Technology). Pour plus d’information sur le principe AAA, je vous invite à lire l’article « AAA Authentication Authorization Accounting ». Son nom « Kerberos » vient de la mythologie grecque et correspond au nom du chien à trois têtes gardien des portes d’Hadès. Il porte relativement bien son nom puisqu’il est chargé d’authentifier, d’autoriser et de

surveiller les utilisateurs voulant accéder aux ressources et services de votre réseau. Il agit en chien de garde contre les intrus sur vos services réseau. Le protocole Kerberos a été normalisé dans sa version 5 par l’IETF dans les RFC 1510 (en septembre 1993) et RFC 1964 (juin 1996).

C’est un standard qui résout de nombreux problèmes de sécurité, d’administration, et de productivité dans l’authentification des clients et des services au sein d’un réseau. En effet, kerberos introduit le principe de Single Sign-On (SSO). Ainsi avec une authentification unique, l’utilisateur aura accès à tous les services du réseau. Pour plus d’information sur le SSO je vous invite à lire l’article « SSO qu’est ce que c’est ? ». Pour couronner le tout, il a l’avantage d’être compatible aussi bien avec les systèmes libres que les systèmes propriétaires.

Tout bon administrateur réseau doit maintenant se demander si c’est sécurisé. Car confier une authentification SSO à un protocole faillible c’est signer l’arrêt de mort de son infrastructure. Au lieu de me croire sur parole, je vous invite à comprendre son fonctionnement et à juger par vous-même.

Kerberos se base sur une tierce partie de confiance pour gérer l’authentification, le KDC (Key Distribution Center). Tous les utilisateurs et services du réseau font confiance à cette tierce partie. Pour réaliser la sécurité de l’authentification, Kerberos utilise un mécanisme de chiffrement basé sur des algorithmes à clef symétrique. Chaque sujet et service du réseau a une clé secrète partagée avec le KDC.

Kerberos utilise un système de ticket pour réaliser l’authentification et introduit le principe de SSO (Single Sign On). L’utilisateur s’authentifie sur le KDC puis utilise un ticket pour s’authentifier sur chaque service demandé. L’utilisateur ne transmet jamais son mot de passe au service.

Le protocole Kerberos sépare le rôle du KDC en deux services :

  • AS (Authentication Service) : Il s’agit du service sur lequel l’utilisateur s’authentifie. Il délivre un TGT (Ticket Granting Ticket) en cas d’authentification réussie. Ce ticket est en fait une demande d’accès au TGS.
  • TGS (Ticket Granting Service) : Ce servir fourni les tickets d’accès aux différents services du réseau. On les appelle TS (Ticket Service).

Le principe de fonctionnement général est simple. L’utilisateur s’authentifie auprès du service d’authentification (le vigile). Celui-ci lui donne un ticket d’accès prouvant qu’il s’est authentifié (un badge). L’utilisateur se rend auprès du service de gestion des tickets. Il demande un accès au service de fichiers par exemple. Grâce au badge donné par le vigile le service de ticket sait que l’utilisateur s’est bien authentifié. Il va donc lui remettre un ticket d’accès au service de fichier. L’utilisateur peut maintenant aller voir le service de fichier avec son ticket. Le service lui donnera accès aux ressources correspondantes à ses autorisations.

Fonctionnement détaillé de Kerberos

Maintenant, détaillons ce processus afin de bien comprendre les mécanismes de sécurité de Kerberos.

Note : Le chiffrement sera noté comme suit Kclé {partie chiffrée par la clé}

Notation :
  • AS: service d’authentification.
  • TGS: Service délivrant des tickets d’accès aux services.
  • TGT: Ticket d’accès au TGS.
  • TS: Ticket d’accès au service demandé.
  • Kutilisateur: Clé secrète de l’utilisateur, connu de l’utilisateur et du TGS.
  • Kservice: Clé secrète du service demandé, connu du service et du TGS.
  • Ktgs : Clé secrète du TGS connu du TGS et de l’AS.
  • KsessionTGS : Clé de session entre l’utilisateur et le TGS.
  • Ksession: clé secrète de session entre l’utilisateur et le service demandé.
  • TicketService : Ticket d’accès au service demandé.
Fonctionnement :

[1]       L’utilisateur s’authentifie en entrant un couple login/password (généralement à l’ouverture de session sur la machine). Le client kerberos de la machine dérive à l’aide d’un algorithme de hash le mot de passe de l’utilisateur en clé secrète Kutilisateur. Le client kerberos va maintenant contacter l’AS pour authentifier l’utilisateur. Il envoie pour cela à l’AS l’identité de l’utilisateur (en clair) ainsi que Kutilisateur {message authentifiant définie dans le protocole kerberos, timestamp}. L’utilisateur n’aura pas à renouveler son authentification durant plusieurs heures (variable selon les réglages).

Remarque : Le mot de passe n’est pas transmis à travers le réseau. Il sert uniquement à générer Kutilisateur. De même, Kutilisateur servira à chiffrer une partie du message et ne sera jamais transmise à travers le réseau. Il n’y a donc pas de possibilité d’interception. Seule une compromission de la machine cliente ou un brute force peut permettre à une personne malveillante de récupérer ces informations.

kerberos fonctionnement

[2]       L’AS lit l’identité de l’utilisateur (envoyé en clair). L’AS connait le mot de passe de l’utilisateur, car c’est lui qui gère la base de données utilisateur. Il peut donc obtenir Kutilisateur. Grâce à Kutilisateur il va déchiffrer le message authentifiant envoyé par l’utilisateur. Si une fois celui-ci déchiffré il correspond, c’est qu’il a bien été chiffré avec Kutilisateur. L’AS vérifie ensuite le timestamp pour éviter tout rejeu de l’authentification.

L’AS retourne maintenant au client Kutilisateur {TGT, KsessionTGS}. C’est-à-dire un Ticket TGT et une clé de session entre l’utilisateur et le TGS, le tout chiffré par la clé secrète de l’utilisateur pour que personne n’ait accès à ces informations.

Remarque : Kutilisateur n’est connu que du serveur et du client et n’a jamais été communiqué à travers le réseau. Cette communication ne peut donc être lue par aucune tierce partie malveillante.

[3]       L’utilisateur déchiffre la réponse de l’AS. Il récupère le TGT et la clé de session pour communiquer avec le TGS. Le TGT est un ticket contenant trois éléments chiffrés avec Ktgs : une date d’expiration, le nom de l’utilisateur et KsessionTGS. Donc TGT = Ktgs {date d’expiration, nom d’utilisateur, KsessionTGS}. L’utilisateur envoie au TGS : le TGT, un KsessionTGS {timestamp} (permet d’assurer l’unicité de la requête, antirejeu) ainsi que le service auquel il souhaite accéder. Cet envoi correspond à une demande d’accès à un service donné.

Remarque : le TGT n’est pas lisible par l’utilisateur puisqu’il est chiffré avec la clé secrète Ktgs connue uniquement de l’AS et du TGS.

[4]       Grâce au TGT, le TGS connait l’identité du sujet et la clé de session à utiliser pour chiffrer la communication avec l’utilisateur. Il vérifie grâce à KsessionTGS la valeur du timestamp (permet d’éviter le rejeu et de signer en quelque sorte la requête de l’utilisateur). En fonction des droits du sujet, il va accepter ou refuser la demande d’accès au service. Dans le cas où le sujet possède les droits d’accès au service, le TGS va lui envoyer KsessionTGS {timestamp, Ksession, service à joindre, TicketService}. Le TicketService est un ticket à transmettre au service pour assurer la connexion avec celui-ci. TicketService = Kservice {Ksession, identité sujet, date d’expiration}.

Remarque : KsessionTGS a été transmise au TGS via le TGT, donc de manière sécurisée. Ainsi, seuls le TGS, l’utilisateur et l’AS(fournis Ksession) connaissent la clé. Cette communication ne pourra toujours pas être lue par une personne externe au procédé.

[5]       Le sujet déchiffre la réponse du TGS. Il transmet ensuite TicketService au service pour initialiser la connexion. TicketService = Kservice {Ksession, identité sujet, date d’expiration}.

Remarque : TicketService est chiffré avec Kservice une clé secrète connue uniquement du service et du TGS. L’utilisateur ne peut donc pas lire ou modifier son contenue.

[6]       Le service déchiffre TicketService et récupère Ksession. Il renvoie Ksession {timestamp}.

kerberos fonctionnement

[7]      Le sujet déchiffre le timestamp, vérifie que le temps écoulé entre l’envoi et la réception de la réponse n’est pas trop long. Ksession {timestamp}.

Remarque : L’utilisation de timestamp permet de s’assurer que les parties connaissent la clé et d’éviter qu’une personne mal intentionnée rejoue une séquence d’accès intercepté.

Les inconvénients de Kerberos

  • Tous les services du réseau doivent être « Kerberisé », c’est-à-dire compatible avec le protocole Kerberos. Les services doivent être capables de comprendre le système de ticket, sinon aucune authentification ne sera possible.
  • Il faut que toutes les machines du réseau soient synchronisées, sinon l’utilisation des timestamp et la durée de vie des tickets risquent d’être faussées et plus aucune authentification ne sera possible.
  • Kerberos introduit un SPOF (Single Point Of Failure) dans le réseau. Si le serveur Kerberos tombe, il n’y aura plus aucun accès aux différents services du réseau. La machine serveur de Kerberos doit être parfaitement sure.
  • Si l’AS de kerberos est compromis, un attaquant pourra accéder à tous les services avec un unique login.
  • Kerberos chiffre uniquement la phase d’authentification, il ne chiffre pas les données qui seront transmises lors de la session.

Vous seriez sûrement intéressé par notre article sur le SSO – Single Sign On

Mis en avant

Pourquoi créer des VLANs ?

Vous n’avez jamais entendu parler de Vlan ? Le concept vous parait obscur ? Vous ne comprenez pas l’intérêt ? Alors cet article est fait pour vous ! En effet, nous allons tenter de vous expliquer, d’une part ce qu’est un VLAN, et de l’autre pourquoi faire des VLANS.

Qu’est-ce qu’un VLAN ?

Par VLAN comprenez Virtual Local Area Network. Du coup, pour comprendre ce qu’est un VLAN il faut comprendre ce qu’est un LAN (Local Area Network).

Un LAN est un réseau où tous les périphériques sont dans le même domaine de broadcast (adresse de diffusion vers tous les périphériques d’un réseau). Dans un LAN, chaque élément du réseau peut communiquer avec l’ensemble du réseau sans passer par un routeur.

Sans VLAN un switch considère toutes ses interfaces comme étant dans le même LAN et donc dans le même domaine de broadcast. Alors qu’avec les VLANs, un switch peut mettre certaines de ses interfaces dans un domaine de broadcast et d’autres dans un autre domaine de broadcast. Un même switch a alors plusieurs domaines de broadcast. Soit plusieurs séparations logiques sur un même support physique.

Schéma 1 :

Schéma 2 :

Si PC1 envoie un message en broadcast, PC2 le recevra, mais PC3 et PC4 ne le recevront pas. Autrement dit, VLAN1 est un domaine de broadcast et VLAN2 est un autre domaine de broadcast, pourtant les 4 PC sont tous branchés sur le même switch.

Pourquoi créer des VLANS ?

Les VLANs comprenant beaucoup de périphériques engendrent un grand domaine de broadcast. Les périphériques sont donc exposés à un plus grand nombre de messages de broadcast. Or ces derniers nécessitent un temps de processus important. Autrement dit, dans un VLAN très encombré (exemple : un VLAN de 500 utilisateurs), les périphériques seront plus lents que dans un petit VLAN (exemple : un VLAN de 10 utilisateurs). De plus, ces nombreux messages de broadcast peuvent entrainer une surcharge des liens et la perte de paquets. Il est donc important de considérer le dimensionnement de son réseau afin de garantir des performances optimales.

Les VLANs vous permettent également de séparer logiquement des départements ou des groupes de travail sans pour autant qu’ils soient séparés physiquement. Ainsi on pourra avoir le département comptabilité sur un Vlan, le département commercial sur un autre et de même pour le département production et le département direction. Evidement ce n’est qu’un exemple, le réseau peut être divisé avec n’importe quelle logique voulue.

Schéma 3 :

En outre, les VLANs entrainent un certain niveau de sécurité. En effet, les attaques utilisant le broadcast sont contenues au sein d’un VLAN (ARP cache poisoning, DHCP spoofing, attaque smurf, MAC table overflow…). De plus, des règles de sécurité pourront être ajoutées sur les communications entre les VLANs permettant ainsi d’apporter une nouvelle couche de sécurité à la défense en profondeur de l’entreprise.

La QoS (Quality of Service) est également simplifiée avec la création de VLANs. Par exemple, si tous les téléphones IP sont dans le même VLAN appelé VoIP, on pourra favoriser le flux venant de ce VLAN.

Conclusion

Les VLANS sont des configurations essentielles dans un réseau d’entreprise. En effet les VLANs optimisent le réseau et permettent d’implémenter de la sécurité et de la QoS.

Mis en avant

Chiffrement symétrique

Le chiffrement symétrique, que l’on nomme couramment chiffrement conventionnel, est basé sur des fonctions mathématiques réversibles. Le chiffrement symétrique repose sur un principe de clé unique pour chiffrer et déchiffrer.

Cette clé possède plusieurs appellations :

  • Clé secrète
  • Clé partagée

On parle de chiffrement conventionnel puisque c’est le premier chiffrement par clé à avoir été découvert et utilisé.

Principe de fonctionnement

Le chiffrement symétrique se déroule en 4 étapes, de la manière suivante :

1ère étape

  • Génération de la clé secrète par Alice
  • Envoi de cette clé secrète à Bob, de manière sécurisée

2e étape

  • Chiffrement du message par Alice, avec la clé secrète
  • Envoi de ce message chiffré à Bob

3e étape

  • Réception du message chiffrée par Alice
  • Déchiffrement du message avec la clé secrète reçue auparavant

Il existe 2 types d’algorithme de chiffrement :

  • Le chiffrement de flux
  • Le chiffrement par bloc

Chiffrement symétrique par flux

Définition

Un algorithme de chiffrement par flux (ou chiffrement par flot de l’anglais stream cipher) est un algorithme agissant en continu sur les données. Il ne nécessite pas d’avoir toutes les données pour commencer à chiffrer, le chiffrement de flux agit sur chaque bit, l’un après l’autre.
Ce type de chiffrement est souvent utilisé pour les communications en temps réel telles que le WI-FI (RC4), puisqu’il a la particularité d’être beaucoup plus rapide que n’importe quel algorithme de chiffrement par bloc. De plus, au niveau des données chiffrées en sortie, le chiffrement par flux ne donnera pas forcement le même résultat en sortie alors que pour un bloc donné un chiffrement par bloc aura toujours le même résultat. Un algorithme de flux fonctionne avec ce que l’on appelle un générateur pseudo-aléatoire (keystream en anglais), c’est une séquence de bits précise utilisée en tant que clé. Le chiffrement se fait par la combinaison du keystream et du message, le plus souvent par une opération XOR (OU exclusif).

Chiffrement de flux « synchronous »

Avec un chiffrement de flux synchronous, un flux de nombre pseudo-aléatoire est généré indépendamment du texte de base et du texte chiffré. Ce flux est utilisé pour chiffrer le texte de base, ou pour déchiffrer le texte chiffré.
En général, le flux est composé de chiffres binaires, et le chiffrement se fait par une opération XOR entre le keystream et les données de base.
Les deux communicants doivent être exactement à la même étape (synchrone) pour que le déchiffrement se passe correctement. Si des ajouts ou des suppressions sont réalisés pendant le transfert du message, on perd la synchronisation. Cependant, si un bit est altéré pendant le transfert, cela n’affecte pas le reste du message et donc la synchronisation est toujours présente.

Chiffrement de flux self-synchronizing

Les algorithmes de chiffrement de flux appelés self-synchronizing, calcule le keystream à partir du message lui-même.
Le plus simple algorithme de chiffrement self-synchronizing est l’autokey, il utilise le message lui-même comme clé. Lorsqu’un bit est ajouté ou supprimé pendant le transfert des données, l’algorithme l’identifiera puisque la clé est issue du message d’origine lui-même, contrairement aux algorithmes synchronous qui génèrent des keystream aléatoires indépendamment du message d’origine. Les algorithmes de chiffrement de flux self-synchronizing sont beaucoup moins répandus que les synchronous

Méthode XOR

La méthode XOR, appelée plus généralement fonction OU Exclusif est un opérateur logique.
Le principe repose sur 2 opérandes qui peuvent avoir comme valeur VRAI (1) ou FAUX (0), le résultat prendra lui aussi comme valeur VRAI ou FAUX ; VRAI dans le cas ou seulement l’un des deux est VRAI.

Table de vérité XOR

A B Résultat
0 0 0
0 1 1
1 0 1
1 1 0

Exemple :

Méthode XOR

0 1 1 0 1 0 1 0 0 0 1 0 1 1 1 0 1 0 1 0 : Message
1 0 1 0 0 1 1 0 1 0 1 1 1 0 0 1 0 1 0 0 : Clé
1 1 0 0 1 1 0 0 1 0 0 1 0 1 1 1 1 1 1 0 : Résultat

Le résultat étant le message chiffré

Exemples

➢ VERNAM : le téléphone rouge entre le président des USA et celui de la Russie utilise VERNAM, nous verrons en détail dans la suite du cours comment fonctionne VERNAM et quelles sont ses particularités

➢ RC4 : utilisé comme algorithme de chiffrement pour le WI-FI, réputé comme peu fiable maintenant

➢ E0 : algorithme de chiffrement propriétaire utilisé pour les communications Bluetooth

Chiffrement symétrique par bloc

Définition

Un algorithme de chiffrement par bloc (Block Cipher en anglais) transforme des blocs de données de taille fixe en bloc de données chiffrées de la même taille. Les blocs font généralement 128 bits, mais ils peuvent aller de 32 à 256 bits selon l’algorithme. La transformation reste la même pour chaque bloc.
Il existe 4 modes de chiffrement par bloc : Electronic CodeBook (ECB), Cipher Block Chaining (CBC), Cipher FeedBack (CFB) ou Output FeedBack (OFB). Ces 4 modes ne dépendent pas de l’algorithme utilisé, néanmoins tous les algorithmes ne peuvent pas forcément utiliser ces 4 modes.

Avantages et inconvénients du chiffrement symétrique

Avantages

  • Le chiffrement/déchiffrement est très rapide, les algorithmes de chiffrement symétrique sont généralement beaucoup moins complexes que les algorithmes de chiffrement asymétrique
  • Utilise peu de ressources systèmes, toujours dans le même principe d’algorithme moins complexe

Inconvénients

  • Le chiffrement symétrique n’assure que la confidentialité des données, contrairement au chiffrement asymétrique que nous aborderons juste après et qui permet d’assurer des principes de sécurité supplémentaire.
  • Une clé symétrique correspond à un échange entre 2 personnes, pour communiquer avec d’autres personnes il faudra une autre clé symétrique.
    • Soit un grand nombre de clé selon le nombre de personnes avec qui on communique
  • L’utilisation d’une clé unique présente un problème :
    • Communiquer la clé de manière sûre à la personne avec laquelle on souhaite dialoguer.
    • Il est nécessaire de garantir la confidentialité de cette clé. Les échanges qui suivront reposent sur celle-ci. En d’autres termes, si une tierce personne accède à la clé, elle pourra lire, modifier, altérer tous les échanges qui s’effectueront entre les 2 protagonistes de départ.

Le CSIRT : c’est quoi ?

Commençons par un petit rappel historique, la création de la première équipe de réponse à incident (CERT – Computer Emergency Response Team). Il faut remonter au 2 Novembre 1988 et l’apparition du premier ver de l’histoire : « Morris » (nom de son créateur, Robert Tappan Morris). En réaction et à cause de son impact économique estimé entre dix et cent millions de dollars, le DARPA (Defense Advanced Research Projects Agency) crée la première CERT. Cette équipe reconstitua le programme malveillant pour étudier son comportement et son code source. Ils ont permis la création d’un correctif qui a ensuite été largement distribué.

Qu’est-ce que le CSIRT ?

Le CSIRT (Computer Security Incident Response Team) désigne l’équipe en charge de la réponse aux incidents de sécurité informatique. Cette entité est responsable de la gestion de crise cyber et de la veille autour des cybermenaces.

Les mission du CSIRT

  • Centraliser l’ensemble des demandes émises à la suite d’incidents de sécurité sur l’environnement SI et analyser les stigmates de l’attaque.
  • Traiter les alertes et réagir face aux attaques (prise d’information, analyse technique).
  • Établir et alimenter une base de données des incidents de sécurité.
  • Prévenir les attaques, en communiquant les mesures à prendre pour réduire le risque d’une attaque ou les conséquences de cette dernière.

Quelle différence entre un CERT et un CSIRT ?

À la suite de la création de la première équipe CERT (comme nous l’avons vu précédemment) par l’autorité responsable du réseau Arpanet (DARPA – Defense Advanced Research Projects Agency), une structure permanente a été fondée, le CERT Coordination Center (Computer Emergency Response Team). L’appellation CERT devient alors une marque déposée aux États-Unis par l’Université Carnegie-Mellon.

Ainsi, l’appellation CSIRT est alors privilégiée dans beaucoup de pays étant libres de droits. Cependant, les CSIRT qui en font la demande et qui obtiennent l’autorisation peuvent utiliser le terme CERT au sein de leur nom, par exemple le CERT-FR.

Quels sont les CERT en France ?

CERT gouvernemental : CERT-FR (anciennement CERTA appartenant à l’ANSSI / SGDSN) est le CERT affecté au secteur de l’administration française

Ai CERT : CERT privé interne du Groupe Airbus

AlliaCERT : CERT de la société Alliacom ouvert à l’ensemble des entreprises et des institutions

AXA CERT : CERT privé interne du Groupe AXA

CERT-AKAOMA : CSIRT de la société AKAOMA proposant des services de cyber-surveillance et de réponse aux incidents de sécurité à l’ensemble des entreprises et institutions

CERT-AlgoSecure : CSIRT privé de la société AlgoSecure ouvert à l’ensemble des entreprises et des institutions

CERT-AG : CERT du Groupe Crédit Agricole et des filiales

CERT-AMOSSYS : CERT de la société AMOSSYS

CERT-AREVA : CERT privé interne du groupe AREVA

CERT-BDF : CERT de la Banque de France

Sources pour en savoir plus sur le CSIRT

Le CERT-FR | Agence nationale de la sécurité des systèmes d’information (ssi.gouv.fr)

Les CSIRT – CERT-FR (ssi.gouv.fr)

Morris : retour sur le premier ver informatique (informatiquenews.fr)

CND vs CEH : quelle certification cybersécurité choisir ?

La certification CNDv2 (Certified Netword Defender) 

Qu’est-ce que la certification CND ?  

CND est l’acronyme de Certified Netword Defender, une certification délivrée par EC-Council. La formation CND offre un cursus pratique en sécurité des réseaux, elle est composée de différents modules, incluant un programme intensif de labs animés par un formateur certifié, qui permet une réelle mise en situation de l’apprenant.  

A qui s’adresse la CND ?  

La formation CND a donc pour but d’acquérir des compétences en sécurité défensive des réseaux, elle s’adresse donc à de nombreux profils tels que :  

  • Administrateur réseau, 
  • Administrateur sécurité réseau, 
  • Ingénieur sécurité réseau,  
  • Technicien réseau,  
  • Analyste sécurité,  
  • Responsable sécurité… 

La certification CND requiert des connaissances en infrastructures et réseau mais également en Windows et Linux afin d’être parfaitement à l’aise avec les différents modules de la formation.   

Le programme de la CND 

Le CND est une formation certifiante qui se déroule sur 5 jours, pendant cette formation intensive en cybersécurité chez Devensys Cybersecurity à Montpellier, vous pourrez découvrir les modules suivants :  

  • Network Attacks and Defense Strategies 
  • Administrative Network Security 
  • Technical Network Security 
  • Network Perimeter Security 
  • Endpoint Security-Windows Systems 
  • Endpoint Security-Linux Systems 
  • Endpoint Security- Mobile Devices 
  • Endpoint Security-IoT Devices 
  • Administrative Application Security 
  • Data Security 
  • Enterprise Virtual Network Security 
  • Enterprise Cloud Network Security 
  • Enterprise Wireless Network Security 
  • Network Traffic Monitoring and Analysis 
  • Network Logs Monitoring and Analysis 
  • Incident Response and Forensic Investigation 
  • Business Continuity and Disaster Recovery 
  • Risk Anticipation with Risk Management 
  • Threat Assessment with Attack Surface Analysis 
  • Threat Prediction with Cyber Threat Intelligence 

Pour rendre cette formation pratique, de nombreux labs sont intégrés aux modules de formation dans le but d’utiliser les techniques et les outils de sécurité dans un environnement pratique. 

Devensys Cybersecurity est un centre de formation et d’examen officiel d’EC-Council, avec ses propres formateurs salariés (également consultants en cybersécurité) et son centre de formation basé à Montpellier dans le sud de la France. 

Note : le pack de formation inclut toujours les 5 jours de formation en présentiel, le support de cours numérique et une présentation à l’examen (à passer dans les douze mois suivants la formation). 

La certification CEHv11 

Qu’est-ce que la certification CEH (Certified Ethical Hacker) ?  

La certification CEH (Certified Ethical Hacker) est délivrée par EC-Council. Cette formation propose un cursus général en sécurité informatique afin de mieux comprendre les différentes cyber-menaces et de découvrir les techniques d’attaques des pirates pour mieux s’en protéger.  

Très répandue dans le monde de la cybersécurité, la CEH est une formation avec un programme balayant de nombreuses facettes du hacking.  

La CEH, pour quels profils ?  

La CEH s’adapte donc à de nombreux types de profils comme :  

  • Responsable de la sécurité des systèmes d’information (RSSI),  
  • Administrateur réseau,  
  • Responsable informatique, 
  • Chef de projet,  
  • Ingénieur avant-vente,   
  • Décisionnaire concerné par la sécurité informatique…  

Les modules de la CEH 

Le plan de cours de la CEHv11 a été mis à jour et les modules de cours sont désormais les suivants : 

  • Introduction to Ethical Hacking 
  • Footprinting and Reconnaissance 
  • Scanning networks 
  • Enumeration 
  • Vulnerability Analysis 
  • Hacking System 
  • Malware Threats 
  • Sniffing 
  • Social Engineering 
  • Denial of Service 
  • Session Hijacking 
  • Evading IDS, Firewalls and Honeypots 
  • Hacking Web Servers 
  • Hacking Web Applications 
  • SQL Injection 
  • Hacking Wireless Networks 
  • Hacking Mobile Platforms 
  • IoT Hacking 
  • Cloud computing 
  • Cryptography 

Ce programme a pour but d’étudier toutes les techniques de hacking pour mieux connaître les méthodes et outils des cyber-attaquants afin de mieux les détecter et les contrer.  

CND ou CEH : choisir sa certification cybersécurité

CertificationCNDCEH
Durée de la formation5 jours (hors examen) 5 jours (hors examen)
ExamenQCM (4h)  
125 questions 
QCM (4h)  
100 questions 
Score minimumVariable selon la session d’examen Variable selon la session d’examen 
Prix3690€ 3690€
Pour qui ? Administrateurs réseau, administrateurs sécurité réseau, ingénieurs sécurité réseau, techniciens défense réseau, analystes CND, analystes sécurité, responsables sécurité et toute personne étant impliquée dans des opérations réseau… Responsable de la sécurité des systèmes d’informations, administrateur réseau, responsable informatique, décisionnaire… 
Profil Profil généraliste avec un fort attrait pour le réseau Profil généraliste en cybersécurité 
Compétences requises  Systèmes d’exploitation: Windows et Linux. 
Connaissance de l’administration des réseaux TCP/IP 
Connaissances en réseau, Linux 
et Windows Server. 
Formation certifianteOuiOui

SPF DKIM DMARC : Le trio gagnant de la protection de l’email

Une bonne politique de sécurisation de son système de messagerie consiste à utiliser plusieurs niveaux de protection. Nous regarderons les trois technologies qui sont les plus utilisées aujourd’hui, SPF, DKIM et DMARC.
Utilisées conjointement, elles permettent d’authentifier et légitimer un email et son expéditeur.

  • Le SPF, Sender Policy Framework, est un processus d’authentification qui assure la conformité de l’expéditeur d’un email. Il permet d’indiquer qui est autorisé à utiliser votre nom de domaine en déclarant les IP autorisées à envoyer des emails.
  • Le DKIM, DomainKeys Identified Mail, permet de signer un message par cryptographie. Ce qui permet de s’assurer que le message envoyé n’a pas subi d’altération durant sa livraison.
  • Le DMARC, Domain-based Message Authentication, Reporting, and Conformance vient s’appuyer sur le principe de « l’alignement ». Ce qui permet d’agir sur les messages où les protocoles SPF et DKIM ont échoué, en venant appliquer des instructions supplémentaires.

Pourquoi utiliser DMARC, DKIM et SPF ?

Dans le monde actuel, tous les types de transactions nécessitent une authentification. Que vous soyez un patient nécessitant un traitement, un conducteur nécessitant un permis, un client payant avec une carte de crédit ou encore un passager embarquant dans un avion, vous devez toujours prouver que vous êtes bien ce que vous prétendez être. Vous devez fournir un passeport, une preuve d’assurance maladie, une carte de sécurité sociale ou une autre forme d’identification matérielle tangible pour prouver que le nom figurant sur le rendez-vous, la carte de crédit ou le billet d’avion vous appartient réellement.

Le monde de la délivrabilité fonctionne de la même manière. Afin de franchir les barrières des filtres ISP, vous devez prouver que vous êtes un expéditeur légitime. Vous devez prouver que vous n’envoyez pas au nom de quelqu’un d’autre et que votre identité n’a pas été compromise. Comment le prouver ? 
En utilisant SPF, DKIM et DMARC.

Ce sont des acronymes pour les protocoles standards qui permettent de prouver l’authentification d’un expéditeur et de protéger le contenu dans le cadre d’un échange d’email.
Nous allons les décomposer.

Qu’est-ce que le SPF?

SPF, ou Sender Policy Framework, est un protocole de validation de courrier électronique conçu pour détecter et bloquer l’usurpation de courrier électronique qui permet aux échangeurs de courrier de vérifier que le courrier entrant d’un domaine provient d’une adresse IP autorisée par les administrateurs de ce domaine. Un enregistrement SPF est un enregistrement texte trouvé dans l’enregistrement DNS (Domain Name System) qui spécifie quelles adresses IP et/ou quels serveurs sont autorisés à envoyer des messages depuis ce domaine. Cela ressemble à une adresse de retour sur une carte postale : la plupart des gens sont beaucoup plus susceptibles d’ouvrir une lettre si celle-ci a une adresse de retour fiable et reconnaissable à partir de laquelle elle a été envoyée.

Le SPF ou comment limiter les adresses IP autorisées
Le SPF ou comment limiter les adresses IP autorisées

Après l’envoi d’un message, les fournisseurs de services Internet vérifieront le domaine du chemin de retour. Ils compareront ensuite l’adresse IP qui a envoyé l’email à l’adresse IP répertoriée dans l’enregistrement SPF du domaine Return-Path pour voir s’il est aligné. Si tel est le cas, l’authentification SPF a été confirmée et le message sera remis.

Pourquoi le SPF est-il important?

SPF est un standard qui vous protège des spammeurs potentiels. Le spam par courrier électronique et le phishing utilisent souvent des adresses et domaines falsifiés. La publication et la vérification d’enregistrements SPF sont l’une des techniques antispam les plus fiables et les plus simples à utiliser . Si vous avez une bonne réputation en matière d’envoi, un spammeur peut tenter d’envoyer des courriers électroniques de votre domaine afin de s’affranchir de votre réputation auprès des FAI. Cependant, une authentification SPF révélera au FAI destinataire que le domaine peut vous appartenir, mais que le serveur n’autorise pas l’envoi de courrier pour votre domaine. Un enregistrement SPF dans un domaine de premier ordre (par exemple, mondomaine.com) authentifiera automatiquement tous les sous-domaines (exemple : mail.mondomaine.com) situés sous celui-ci qui ne contiendrait pas leur propre enregistrement SPF.

Qu’est-ce que DKIM ?

DKIM, ou DomainKeys Identified Mail, permet à une organisation (ou à un gestionnaire du message) d’assumer la responsabilité d’un message en transit. Selon DKIM.org , DKIM associe un nouvel identifiant de nom de domaine à un message et utilise la cryptographie pour valider l’autorisation de présence. L’identifiant est indépendant de tout autre identifiant dans le message, tel que dans le champ De: de l’auteur.  DKIM est également une signature d’enregistrement TXT qui crée une relation de confiance entre l’expéditeur et le destinataire.

Le DKIM ou comment vérifier cryptographiquement l’identité

Pourquoi DKIM est-il important?

DKIM prouve trois choses:

  • Le contenu d’un email n’a pas subi d’altération.
  • Les en-têtes de l’email n’ont pas changé depuis l’envoi de l’expéditeur d’origine, qu’il n’y a pas de nouveau domaine « de ».
  • L’expéditeur de l’email possède le domaine DKIM ou que le propriétaire de ce domaine l’autorise.

DKIM utilise un algorithme de cryptage qui crée une paire de clés électroniques, une clé publique et une clé privée. 

La signature se situe dans l’en-tête de chaque email envoyé. Elle est propre à votre domaine de messagerie, vous en possédez la clé privée. Cette clé privée correspond a une clé publique, qui est enregistrée dans votre DNS. Lorsque vous envoyez un message, le serveur qui le reçoit va aller regarder votre clé publique. Ainsi, il détermine si la clé privée a bien été utilisée lors de l’envoi du message afin d’y inscrire la signature cryptographique. Si la clé privée n’a pas été utilisée, alors le message est considéré comme non légitime.

Le chiffrement de la première clé ne peut être déchiffré que par l’autre clé. Un expéditeur publiera la clé «publique» dans l’enregistrement DNS et répertoriera son emplacement dans la signature DKIM avec le domaine «d =» et le sélecteur «s =». Le propriétaire du DNS garde la clé privée secrète. Si les informations contenues dans la signature décryptée correspondent aux informations reçues dans l’en-tête non crypté, le serveur considère que l’en-tête n’est pas falsifié pendant la transmission et la réception.

En d’autres termes, DKIM permet de signer un email par chiffrement numérique. Cette signature est un en-tête du message électronique. Voici un exemple de signature DKIM :

DKIM-Signature: v=1; a=rsa-sha256; q=dns/txt; c=relaxed/relaxed; t=1476054397;
s=m1; d=e.rentpath.com; [email protected];
h=Date:From:To:Subject:MIME-Version:Content-Type;
bh=Rm+zVdTj9mQiUHxMpu+O9d9OuV3cOTuaNWHONtEXYo0=;      
b=oGVqGJKcS8KZ+YR8+AKzGKg2t1qpwKFXpg6jO3eU/MvQnl9hRpn9NYSR1vV20MSYvJP9ZBiG7hftTHxYUwrP/Ur4Gt4a6bzt6Q6KETOiUrksD1Jnvwt7YG/cwGqGfjfmuYU +/fk3oboohCsnvOI79hHrR8q/a0eCLnkL5BC7L1g=

Pour comprendre le fonctionnement interne de DKIM, il faudrait une connaissance approfondie de la cryptographie moderne. Retenons que DKIM est une pratique technique qui instaure une relation de confiance entre un serveur de messagerie expéditeur et un serveur de messagerie destinataire.

Qu’est-ce que DMARC ?

DMARC, ou Domain-based Message Authentication, Reporting and Conformance est une méthode d’authentification supplémentaire utilisant SPF et DKIM. Elle permet de vérifier si un courrier électronique a effectivement été envoyé par le propriétaire du domaine « Friendly-From ». Pour que les règles DMARC s’appliquent, SPF et DKIM doivent fonctionner et au moins l’un d’entre eux doit être aligné.

Schéma de fonction du DMARC
Schéma de fonction du DMARC

Les deux authentifications transmises indiquent que le courrier électronique provient d’un serveur autorisé et que les informations d’en-tête n’ont pas été altérées pour falsifier l’alignement. L’identité est validée si au moins un alignement d’authentification prouve que l’expéditeur possède l’espace DNS du «Friendly-From».

Pour que SPF s’aligne, le domaine From du message et son domaine de retour doivent correspondre. Pour que DKIM s’aligne, le domaine From du message et son domaine DKIM doivent correspondre.

Pourquoi le DMARC est-il important ?

Le serveur considère tout message non conforme comme un phishing. Il ne le distribuera pas. Le phishing est la pratique frauduleuse consistant à envoyer des courriels malveillants en prétendant être quelqu’un d’autre. Le but est de voler les données personnelles de l’utilisateur (carte de crédit, numéro de sécurité sociale…). En mars 2017, la Federal Trade Commission a publié une étude sur l’utilisation de DMARC par les entreprises. L’étude a révélé qu’environ 10% des 569 entreprises ayant une présence en ligne significative publient des politiques DMARC strictes.

Dans la mise en place d’un enregistrement DMARC, vous avez le choix entre 3 stratégies. Ces stratégies indiquent au serveur destinataire comment traiter le courrier envoyé, non conforme à DMARC.

  • Aucun : les messages envoyés depuis votre domaine sont tous traités comme ils le seraient sans aucune validation DMARC.
  • Quarantaine : le serveur destinataire peut accepter le courrier, mais doit le placer ailleurs que dans la boîte de réception du destinataire (généralement le dossier courrier indésirable).
  • Rejeter: Le serveur rejette le message.

Une implémentation efficace de DMARC passerait lentement de différents pourcentages de quarantaine à un rejet total. Un bon usage nécessite également que l’expéditeur surveille régulièrement les rapports DMARC. Ces rapports informent, entre autres, de toute tentative de phishing sur le domaine dans le cas d’un échec de DKIM ou de SPF.

Est-ce que DMARC est nécessaire?

Disons simplement que Google recommande l’utilisation de DMARC pour les expéditeurs de courrier, ce que nous suggérons fortement. De plus, Google et Microsoft sont compatibles DMARC.  Cela prouve aux FAI (fournisseurs d’accès internet) que vous êtes un expéditeur sérieux et que vous êtes prêt à prendre des mesures de précaution pour protéger votre identité et votre réputation. 

Conclusion

Ces méthodes permettent de protéger votre identité et le contenu de vos messages en amont. En mailing comme dans la vie courante, mieux vaut prévenir que guérir !

Comment construire une application avec Power Apps ?

Afin de comprendre la manière dont l’application Power Apps traite les données, vous pouvez vous référer à notre précédent post « Un tour d’horizon de Microsoft Power Platform« , nous vous conseillons d’en prendre connaissance avant d’aborder l’article qui va suivre.

Dans l’article qui suit, nous allons aborder 3 sujets. Dans un premier temps nous rentrerons plus en détail sur la source privilégiée de données de Power Apps « Common Data Service ». Nous vous expliquerons ensuite comment configurer une petite application. Enfin, nous reviendrons également sur les limites de l’outil afin que vous puissiez déterminer quand le mettre en place.
Pour rappel, ce post n’a pas pour but d’être un tutoriel d’utilisation de Power Apps. Nous souhaitons vous montrer l’étendue des possibilités qu’offre cette solution. Si vous comptez en apprendre davantage, vous pourrez retrouver des tutoriels sur Microsoft Learn.

Qu’est-ce que le Common Data Service (CDS)

Le Common Data Service est basé sur le Common Data Model. Pour résumer rapidement, il consiste à avoir un service de données unique, standardisé et simple d’accès.

Microsoft utilise déjà le Common Data Service dans un certain nombre de produit en plus de Power Platform, comme par exemple Dynamics 365. Le principal intérêt de CDS provient de la standardisation, c’est-à-dire que les entités telle que les utilisateurs, les tâches, une promotion, une commande etc. seront prédéfinies.

Les données sont au cœur des stratégies d’entreprise et sont devenues une source de revenus indispensable. Le principal problème rencontré est la mauvaise structure que l’on peut donner à ces dernières. C’est un critère important que Microsoft tente de résoudre via CDS: standardiser un maximum de choses. Lorsque l’on parle d’une « commande » dans l’application A, on doit pouvoir parler de la même chose dans l’application B en ayant la même structure. Il devient alors bien plus simple de communiquer entre les applications.

Dans Power Apps, nous pouvons créer nos propres entités, modifier certaines des entités préexistantes et manipuler les relations entre ces dernières. Il est aussi possible de créer plusieurs ‘instances’ de CDS.

Dans la suite de ce post, nous nous baserons sur CDS (plutôt qu’une base de données relationnelle classique) afin de vous montrer l’utilisation et les avantages avec Power Apps.

Pour en apprendre plus sur CDS, je vous conseille le lien suivant: Bien démarrer avec CDS

Exemple entité CDS
Exemples d’entités sur CDS
Exemple entité contact
Exemple de l’entité contact

Créer la structure d’une application avec Power Apps.

Pour démarrer une application d’exemple, nous allons commencer par créer un nouvel environnement. Un environnement est semblable à une instance de base de données. Chaque environnement contiendra une instance CDS séparée, avec un schéma et des données qui lui sont propres, ainsi que des applications liées à cet environnement.

Création d'une nouvelle entité
Création d’une nouvelle entité

Pour cet exemple, nous allons créer une application qui va permettre à un téléphone de rapidement charger et enregistrer des contacts sur un salon. L’entité « contact » existe déjà dans CDS.

Il va donc être intéressant de catégoriser la provenance des données que nous souhaitons collecter. Nous avons alors deux possibilités:

  • La création d’un champ d’option directement sur l’entité contact
  • La création d’une entité « Evenement » afin de créer une relation avec l’entité « Contact »

Ce choix va dépendre de plusieurs paramètres et notamment l’utilisation que nous souhaitons faire de nos données collectées. Nous vous conseillons fortement de privilégier les entités afin de garantir une pérennité et une modularité maximale à vos données. Cependant, il faut que vous gardiez en tête que plus le schéma de données sera complexe, plus vous serez confronté aux limites de Power Apps : une application plus « classique » sera alors à privilégier. Nous reviendrons sur ce point dans la dernière partie de cet article.

Pour des raisons de simplicité, reprenons notre exemple précédent en image:

Création d’un champ d’option sélectionnable directement sur l’entité

Premier pas dans Power Apps

Une fois que votre environnement CDS sera créé et personnalisé, il sera ensuite possible d’attaquer la construction de l’application.

Comme nous vous l’avons présenté dans le post précédent, Power Apps propose un grand nombre de modèles d’application répondant à un certain nombre de besoins. Afin de continuer dans la construction de notre application, nous allons continuer notre démonstration à partir d’une application canvas vierge.

Power Apps vous propose de démarrer une application depuis une source de données, mais rien n’empêche d’en ajouter par la suite

L’interface

Nous allons dans maintenant vous présenter l’interface de Power Apps. Comme vous allez le voir, l’interface est rapide à prendre en main. Elle se compose de 3 éléments principaux:

  • Le panneau gauche : sous-découpé en plusieurs composants. C’est là que nous allons retrouver l’arborescence de notre application (comprenez: les différentes pages et composants), la boite à outils contenant l’ensemble des composants que vous pouvez déposer sur votre application, et enfin les différentes sources de données auxquelles vous êtes connecté.
  • L’écran central : Il va permettre d’afficher votre application au faire et à mesure de votre construction et de pouvoir effectuer les modifications nécessaires.
  • Les éléments contextuels que sont le panneau de droite ainsi que le bandeau au-dessus du canvas.
La création d’une application en partant de zéro

Les différents type d’écrans

Différent type d’interface sont proposées

Lors de la création d’une application vierge, vous pouvez choisir entre plusieurs types d’écrans qui vous permettront ensuite de construire votre application autour de vos données.

Certains écrans sont très spécifiques à certaines sources de données, comme « Contacts », « Réunions » et « Calendrier » qui sont notamment fortement lié à Office 365. D’autres, tels que Liste et Formulaire sont beaucoup plus génériques.

Pour la construction de notre application, nous allons choisir l’écran liste qui va nous permettre d’afficher l’ensemble des contacts présents en base de données et de disposer d’un champ de recherche. Des données de tests ont été injectées. On peut voir dans la capture ci-dessous que nous avons bien l’écran qui apparaît sur l’arborescence à gauche, les données ont directement été chargées dans l’application en développement pour être plus « visuelle ». Enfin, dans le panneau contextuel, la « Source de données » est bien l’entité « Contacts ».

Avoir une liste d’affichage de données avec une barre de recherche est très simple

Si l’affichage des données peut être assez simple, la manipulation de ces données peut quant à elle être plus complexe. Il existe deux manières différentes selon votre niveau :

  • La programmation
  • L’utilisation de formulaires existants.

Nous allons continuer notre démonstration avec les formulaires existants. Les formulaires sont des composants liés à une source de données, ils ont un fonctionnement particulier. Un formulaire sera directement lié aux champs de votre entité et permettra l’ajout ou la modification de données de manière simplifiés. Il est possible d’ajouter de nouveaux champs à une entité depuis l’écran Power Apps si la source de données est CDS.

Le formulaire de création / édition ne prend que quelques clics
Vous avez oublié un champs dans votre entité? Pas de problèmes, vous pouvez l’ajouter à la volée

Déploiments, tests et debugs

Tout comme pour la construction de l’application, le management du cycle de vie (application lifecycle) de cette dernière se retrouve considérablement simplifié.

Comme vu ci-dessus, Power Apps intègre vos données depuis la source directement dans la construction de l’application quand cela est possible. Ce qui permet d’avoir un rendu très rapide et de s’assurer que l’application possède le fonctionnement souhaité. Même lorsque nous travaillons sur le filtrage de vos données, cela fonctionne.

A tout moment, il est possible de démarrer l’application via le bouton « play » en haut à droite de l’écran. Nous pouvons naviguer alors dans l’application telle qu’elle sera sur le PC / tablette / téléphone, avec la possibilité de manipuler les données. Il est possible de simuler les clics sans lancer l’application via le bouton « play », et ce en utilisant le raccourci ‘alt + clic’ sur une zone d’action de Power Apps. Le test manuel d’une application est ainsi simplifié.

Cependant, il est important de noter que Power Apps n’est pas une plateforme qui produit du « code » que vous pourriez compiler, analyser ou tester de manière « traditionnelle ». Ce qui rend difficile d’effectuer des tests automatisés ou des tests de performance. Les tests se limitent aux tests manuels. Cette logique se comprend néanmoins dans la volonté de faire des applications légères, rapides, et sans code. Le périmètre étant restreint, le besoin de tests « lourds » est lui aussi plus limité.

Pour pallier à cela, Microsoft a mis en place un outil « diagnostic » performant qui se base sur des formules et qui va permettre de limiter les erreurs. L’outil de diagnostic fonctionne en arrière-plan et permet de vérifier continuellement la cohérence de vos formules. Mais également leurs bons fonctionnements ainsi que les éventuels problèmes de performances ou encore les problèmes d’UX qui pourrait être rencontré.

Pour finir, une fois que votre application est créée, testée et validée, la publication devient un jeu d’enfant. Lors de la sauvegarde, ou directement depuis le bouton de publication, il est possible de partager votre application au sein de votre entreprise. Si l’application existe déjà, une nouvelle version sera créée. Le versionning est nativement géré dans Power Apps, permettant de revenir en arrière en cas de déploiement d’une version qui contiendrait de potentielles erreurs.

Retours et limites de Power Apps

Comme nous avons pu vous le démontrer, Power Apps est une excellente plateforme pour la création de petites applications. Ce qui en fait sa grande force, mais également sa faiblesse. L’outil a été conçu pour gagner du temps et permettre à tout à chacun de créer des applications basiques. Power Apps ne permettra pas de créer des applications « trop complexes ». Certains de vos projets demanderont un développement complet par des équipes de développeurs spécialisées.

Microsoft incite d’ailleurs à utiliser la plateforme afin de créer 10 micro-applications plutôt qu’une seule application monolithique. Chaque application répondant à un besoin spécifique. Power Apps possède un réel intérêt pour toute entreprise ayant de petits besoins sur lesquels on peut apporter une réponse rapide sans avoir besoin de dégager des budgets et/ou des compétences trop importantes.

Si vous avez des projets Power Apps ou Power Platform à l’étude, vous pouvez toujours nous contacter.

Le chiffrement asymétrique : c’est quoi ?

Cet article fait suite à l’article sur le chiffrement symétrique. Comme expliqué dans l’article précédent, le chiffrement symétrique complète le chiffrement asymétrique. S’il possède des défauts, il répond aussi à certains problèmes inhérents au chiffrement symétrique, notamment l’échange de clef. C’est le chiffrement le plus couramment utilisé: par exemple, c’est celui utilisé pour le protocole HTTPS.

Principe de base du chiffrement asymétrique

Le principe du chiffrement symétrique reposait sur la génération d’une clef, qui allait servir autant pour le chiffrement que pour le déchiffrement. La méthode utilisée était la même, en inversé. D’où la notion de « symétrique ».

Le chiffrement asymétrique, quant à lui, va reposer sur la génération non pas d’une mais de deux clefs. Ces clefs sont appelées clef privée et clef publique. La clef privée a, comme son nom l’indique, pour principe d’être à l’usage exclusif d’une personne ou service. On va ainsi chiffrer les communications vers cette personne / ce service.

Pour reprendre le cas d’un service web en HTTPS, un couple de clefs sera généré pour son usage. Le protocole HTTPS n’est rien de plus que le protocole HTTP utilisant un chiffrement asymétrique pour protéger la communication.

Fonctionnement du chiffrement asymétrique

Comme dit précédemment, le but est de chiffrer la communication vers le service ayant généré les clefs. Cette personne / service doit alors mettre à disposition sa clef publique. Cette clef va être utilisée pour chiffrer la communication, qui va ensuite être envoyée au service. Enfin, le service va déchiffrer la communication via sa clef privée.

Pour faire un parallèle simple, le chiffrement asymétrique fonctionne de la même façon qu’une encre invisible. La protection (l’encre) qui sera utilisée par l’émetteur ne lui sert à rien pour lire le message. Et seul le destinataire qui possède la bonne lampe peut lire le message. Pour parfaire la métaphore, la génération de clef reviendrait à avoir votre propre combinaison d’encre + lampe qui vous serait propre. Vous transmettriez alors l’encre à tout ceux qui veulent vous écrire un message, mais seuls vous avez la bonne lampe.

Implications du chiffrement asymétrique

Le chiffrement asymétrique a pour principal avantage d’éliminer le problème de l’échange de clef. Il reste néanmoins un point crucial: la clef privée doit absolument le rester. Tout comme pour la clef symétrique, toute la sécurité repose sur cette dernière. L’endroit où elle est stockée doit donc être parfaitement sécurisé.

Un certain nombre d’attaques existe aussi, utilisant le principe d’une clef publique notamment. Tout le monde peut générer ses clefs, mais alors les clefs sont appelées « auto-signée ».

Exemple d’erreur avec un certificat auto-signé

Les certificats auto-signés sont appelés ainsi car aucune autorité de certification (nommée couramment CA pour Certificate Authority) n’a délivré le certificat. Une autorité de certification est un organisme approuvé comme étant de confiance pour délivrer ces certificats.

Autorités racines approuvées par défaut sur Google Chrome pour la validation de certificats

Il est aussi possible créer dans son entreprise une PKI (Public Key Infrastructure), qui aura pour but de gérer cela. Cela peut être fait via des solutions telle que Microsoft AD CS. Pour être accompagné dans la mise en place d’une PKI, n’hésitez pas à prendre contact avec nous.

La signature digitale

Jusqu’à présent nous avons vu comment protéger une communication vers une personne / un service via le chiffrement asymétrique. L’un des problèmes est de bien protéger sa clef privée. L’autre est qu’en l’état, il est impossible de prouver de qui provient la communication, ni que la communication n’a pas été altérée.

La signature digitale répond à ces derniers problèmes. Ce principe est couramment utilisé afin de garantir l’intégrité et la non-répudiation des messages. Elle repose elle aussi sur le chiffrement asymétrique. Mais contrairement à l’explication précédente où on cherchait la confidentialité du message, on va ici utiliser le process inverse.

Une fois le message établi, on va utiliser un algorithme de hash afin de garantir l’intégrité du message. Puis on va utiliser une fonction de signature à partir de la clef privée de l’expéditeur sur ce hash. Le résultat sera alors envoyé avec le message. Le destinataire va alors vérifier la signature via la clef publique de l’expéditeur. Si c’est valide, alors on prouve ainsi que le message n’a pas été altéré, et que c’est bien l’expéditeur qui l’a envoyé.

La signature digitale peut être utilisée sans le chiffrement asymétrique, mais le message reste alors parfaitement visible. Pour garantir à la fois confidentialité, intégrité et non-répudiation, on peut cumuler les deux principes.

La combinaison de chiffrement symétrique / asymétrique

Déjà évoqué plus haut dans cet article, le principal défaut du chiffrement asymétrique est la gestion de la clef. C’est la même clef qui gère le chiffrement et le déchiffrement, ce qui ne rend l’algorithme utile que dans certains contextes. De plus, il faut s’assurer qu’on puisse s’échanger la fameuse clef en toute sécurité. Or, ce n’est pas une évidence. De plus, cela complique le changement de clefs régulier.

Afin de pallier à ce genre de problème, des algorithmes ont été mis en place afin de fusionner les avantages et éliminer la plupart des problèmes de ces méthodes. Ces algorithmes reposent souvent sur la même méthode: il s’agit de mettre en place un chiffrement asymétrique (ou un « challenge ») qui va servir à générer / s’échanger les clefs privées symétriques. Une fois l’échange effectué, le chiffrement symétrique, plus rapide, est mise en place. En mettant une durée de vie suffisamment courte, la rotation régulière des clefs permet de garder une sécurité optimale.

Le principal risque de sécurité de ce type d’algorithme se situe souvent sur l’implémentation de l’échange de clef.

L’authentification « passwordless » (sans mot de passe)

Les certificats sont aussi beaucoup utilisés pour éviter l’utilisation de mot de passe en entreprise.

Pour éviter les mots de passe sur les applications d’un téléphone, il est possible de déployer un certificat personnel. Si l’application le permet, c’est le certificat qui authentifie la personne, et non pas un mot de passe. Cela peut aussi servir pour la double authentification (certificat + mot de passe ou autre).

C’est aussi le principe qui est utilisé pour le protocole WebAuthn et les clefs de sécurité tels que les clefs de chez Yubico.

Cas d’utilisation du chiffrement asymétrique

Pour faire une rapide synthèse, voici quelques cas courants d’utilisation de chiffrement asymétrique:

  • Afin de chiffrer communication entre un service et des inconnus. Par exemple, le HTTPS d’un site web. On veut chiffrer toutes les communications vers notre site, mais on ne sait pas à l’avance qui s’y connecte
  • Pour chiffrer des informations à mettre en base de données, et lisibles que par certaines personnes / services. On utilisera alors la clef publique pour chiffrer, et seul la personne / service à qui c’est destiné possède la clef privée
  • La mise en place de service « passwordless ». La personne ou le service sera identifié via le principe de signature digitale.
  • La création de containers de sécurité que l’on évoquera dans un prochain article.

Comment automatiser des tâches avec Power Automate ?

Power Automate (anciennement Microsoft Flow) est une solution proposée par Microsoft pour automatiser les tâches du quotidien. De par sa conception « algorithmique », elle se place comme concurrente du célèbre IFTTT. Power Automate possède néanmoins le grand avantage de faire partie de l’écosystème Power Platform.

A l’instar des autres outils de Power Platform, la limite sera surtout les sources de données à disposition. Et donc les connecteurs auxquels on a accès. Sachant qu’il est possible de créer ses propres connecteurs à partir d’une API REST, le champ des possibles est tout de même assez vaste.

Afin d’aider à envisager les scénarios possibles, Microsoft propose de nombreux exemples. Les usages peuvent concerner tant des tâches de la vie professionnelle que personnelle.

Les applications Power Automate
Plusieurs catégories et un classement par popularité pour donner des idées
Exemples App Automate 2
Certains choix ont plus de pertinence pro que d’autres

Power Automate, comment ça marche?

Microsoft Automate (anciennement Flow) s’organise à la manière d’un IFTTT (IF This Then That). Des « flux » vont être créés, composés de deux parties:

  • un « déclencheur » (cela peut être une nouvelle donnée, un timer, un bouton…)
  • … qui va mettre en route le flux, qui va exécuter une série « d’actions »
Power automate déclencheurs possibles
Microsoft incite à utiliser les trois déclencheurs principaux. Le quatrième, bien plus complexe, fera l’objet d’un post complet

Ces actions seront organisées en algorithme comme une suite de tâche. Il est possible d’y ajouter un peu de logique via des process de boucles ou de conditions. Des exemples pour chaque type de flux sont proposés ci-dessous.

Les flux automatisés dans Power Automate

Un exemple assez simple peut être le tag et la notification sur téléphone lorsqu’un mail particulier vient d’arriver. Suite aux mails des managers par exemple, afin de ne manquer aucune communication. Sur les captures ci-dessous, l’action est déclenchée lorsqu’un mail est reçu du site web. Il est alors « flaggué » pour être sur de le traiter en plus d’envoyer une notification sur le téléphone.

Exemple flux automatisé
Exemple de flux automatisé à la réception d’un email

D’autres cas courants peuvent inclure des demandes d’approbations pour la validation de documents ou de congés, l’insertion en base de données lorsqu’un fichier Excel est modifié… La seule limite est ce qui est permis dans les connecteurs proposés, et ceux que l’on peut créer.

Exemple actions
Quelques choix d’actions possibles

Programmer ses rapports avec les flux planifiés

Les flux planifiés sont, comme leurs noms l’indiquent, des actions automatisées qui vont s’exécuter à intervalle régulier. Cela va être très pratique notamment pour tout ce qui va être rapports et indexations.

Les choix de planification ont une unité de temps assez permissive. Elle s’étend du mois jusqu’à la seconde (pour des besoins assez spécifiques). Quelques exemples d’utilisation en vrac:

  • Générer un rapport mensuel à partir d’une base de données
  • Un rappel annuel d’un événement d’entreprise
  • Un process d’indexation de base de données tous les matins

Attention: Comme pour Power Apps, il est possible de faire beaucoup de choses avec Power Automate. Cependant, ce n’est pas parce que c’est possible que c’est une bonne pratique. Power Automate peut permettre de facilement tester un process. Dans certains cas, d’autres solutions / services seront plus adaptées pour ce besoin.

Exemple tâches planifiés
Il est possible de programmer des actions à la seconde

Pour l’exemple, nous nous baserons sur le Common Data Service utilisé par Dynamics, pour lequel nous allons créer process de rapport journalier. Chaque matin, les contacts ajoutés dans la journée sont récupérés, insérés dans un tableau Excel vierge, puis envoyés dans un fichier en pièce jointe à l’équipe marketing.

Exemple process Power Automate
Le process aurait évidemment pu être amélioré avec un système d’approbation, l’ajout de conditionnel…

Se créer des boutons d’accès rapide

Les boutons Power Automate ont deux usages distincts. Cela peut être des boutons accessibles directement dans l’application Power Automate. Mais ça peut aussi être une action utilisable depuis Power Apps.

L’exemple ci-dessous montre un bouton qui va récupérer la liste des contacts ajoutés ce jour sur notre application et d’envoyer une notification du nombre des nouveaux contacts.

Exemple bouton Power Automate
Exemple de bouton pour envoyer une notification
Les process Power Automate correspondants sont directement accessibles depuis l’application modèle

Intégration dans Power Apps

La grande force de Power Platform, en plus de ses connecteurs, est l’interconnexion entre ses outils. Power Apps est limité par défaut à des tâches simples de présentation de l’information, voir de l’ajout / suppression. La partie « développement » n’est pas l’objectif premier de Power Apps, même si ce dernier permet néanmoins choses.

Cette partie de « process métier » est en fait plus portée par Power Automate. On va pouvoir créer un processus basé sur un déclencheur « bouton Power Apps », qui sera alors possible d’appeler dans notre application. Si on reprend l’application de contact, on peut créer un bouton « Export » qui sera chargé de générer un fichier Excel avec la liste de contact, et de l’envoyer par mail.

Ecran Power Apps avec bouton sur action Power Automate
Modification de l’application de base, avec ajout d’un bouton lié à mon process Power Automate
Processus Power Automate exécuté par Power Apps
Le process Power Automate lié à Power Apps

Vérifier les performances et l’utilisation

Côté analyse et debug, plusieurs outils sont mis à disposition. Tout d’abord, comme Power Apps, l’analyseur de flux sera chargé de surveiller constamment si vos paramètres sont opérationnels. Il consiste principalement à vérifier que tous les champs obligatoires sont remplis, et les connexions correctement paramétrées. La majorité des problèmes qui seront rencontrés dans Power Automate proviendront de connexions mal paramétrées ou de jetons de connexion ayant expiré.

La page de détail du flux possède un résumé des connexions paramétrées et nécessaires, ainsi que les exécutions du flux qui ont eu lieu précédemment. Il sera ainsi possible de voir l’historique, et d’analyser une exécution en particulier pour traquer les problèmes de performance ou les erreurs. Enfin, un tableau d’analyse Power BI donne un rapport sur les exécutions sur les 30 derniers jours ainsi qu’un état sur les erreurs survenues.

Power Automate vue détail
La vue détail donne pas mal d’informations
Power Automate analyse performances
Il est possible d’analyser l’historique d’exécution en détail

Conclusion sur Power Automate

Power Automate permet d’automatiser un nombre important de process, et de répondre a plusieurs besoins fonctionnels. Il remplace, pour la partie planifiée, les « tâches cron ». Cela peut être un moyen de les centraliser et / ou de les partager. Pour les tâches automatiques, il va permettre de gagner du temps sur les traitements du quotidien. Enfin, il ouvre la possibilité d’ajouter de l’intelligence à votre application Power Apps.

Tout n’est actuellement automatisable, notamment car certains connecteurs sont encore limités sur les possibilités qu’ils proposent. Il faut aussi faire attention à la redondance des process, car si Power Automate propose de les centraliser, il est aisé d’avoir un process en doublons. Ca peut être entre deux personnes, ou entre deux outils (Power Automate et la source de donnée originelle par exemple).

Power Automate est donc un outil puissant qui peut répondre à nombre de besoins et faire gagner en productivité. Son évolution rapide est à surveiller, notamment sur des nouvelles fonctionnalités sur les connecteurs, ce qui arrive très régulièrement.

C’est quoi un DNS ?

Nous en parlons souvent dans d’autres articles et c’est un terme utilisé couramment dans le monde de l’informatique. Cependant, DNS, Domain Name System, n’est pas un terme qui va de soi. Il mérite donc une petite explication que je vais tenter de faire la plus claire et simple possible. Ce terme renvoie à des notions très simples, mais parfois difficiles à entrevoir.

Des machines qui communiquent

Pour commencer, il faut considérer nos ordinateurs comme des personnes possédant une carte d’identité. Cette carte d’identité est un protocole qui, sur Internet ou des réseaux privés, permet aux machines de s’identifier entre elles. C’est le protocole IP. Chaque machine possède donc une adresse IP, unique, qui lui permet d’être reconnue. Elles respectent un format précis et il existe deux types d’adresses IP :

  • La plus courante, IPv4, qui s’écrit sous cette forme : 74.125.206.94
  • IPv6, écriture beaucoup plus récente et complexe qui peut prendre cette forme : 2001:0db8:0000:85a3:0000:0000:ac1f:8001

Ne tenez pas compte de cette écriture qui ne vous dit surement rien, l’idée c’est de comprendre que votre machine est reconnue par cette suite de chiffres, et qu’elle va reconnaître les autres de la même façon.

Simplifier les adresses IP avec le DNS

Maintenant que la base est acquise, comprenons le rôle de ce Domain Name System. Premièrement, l’Internet que nous utilisons aujourd’hui est entièrement basé sur cette manière de fonctionner.

Puisque les adresses IP sont un peu indigestes, peu faciles à retenir, et qu’en plus elles peuvent changer (si l’on change d’hébergeur, on change d’IP), il fallait un système plus simple. C’est le DNS qui est alors mis en place. Le principe, c’est que Devensys.com correspond à une adresse IP. C’est ce qu’on appelle un nom de domaine, comme il en existe aujourd’hui des milliards sur Internet.

Le nom de domaine, c’est la partie d’une adresse URL qui contient l’adresse IP avec laquelle on va retrouver le serveur qui héberge le site. Voici le détail d’une adresse pour mieux comprendre :

adresse URL devensys détaillée

Avant que vous ne demandiez, si, lorsque vous effectuez une requête votre serveur (qui est votre box internet) interagit avec d’autres ordinateurs, des serveurs qui vous renvoient la page à afficher.

Tout ça c’est bien beau, un DNS correspond donc à une IP, et un DNS est plus facilement reconnaissable qu’une suite de chiffres. Mais comment nos machines font-elles pour identifier quel nom correspond à quoi, et comment les retrouver ? Lorsque vous tapez une adresse URL, pourquoi et comment cela vous amène-t-il rapidement au bon endroit ?

Fonctionnement du DNS :

Votre nom de domaine est composé de plusieurs parties. Pour trouver à quoi correspond la requête que vous venez d’entrer sur internet, votre ordinateur va interroger très rapidement d’autres ordinateurs afin de retrouver l’adresse IP correspondante. Votre requête va être envoyée à un résolveur DNS, qui est présent de base sur votre système d’exploitation.

Ce résolveur va aller chercher votre requête grâce au nom de domaine. Il va aller chercher les différents éléments qui le composent, de droite à gauche.

D’abord, il accède à l’endroit où tous les Top level domain (TLD) se trouvent. Il s’agit du .com, .org, .fr etc. Il en existe plus de 600 dans le monde. Ils sont stockés dans les serveurs DNS racines, qui sont au nombre de 13. Dispatchés sur tout le globe, ce sont d’immenses Data Center et de vraies forteresses.

Le serveur racine ne connaît pas l’adresse IP finale des noms de domaine, mais il connaît l’adresse IP des DNS qui gèrent le com. Il va donc renvoyer l’information à votre ordinateur, qui va cette fois se rendre dans la base du com. Cette base connait les noms de domaines de second niveau, ce qui correspond dans notre exemple à Devensys. L’information est donc transmise à notre machine, qui va aller chercher le www, qu’on appelle un sous-domaine. Ainsi, en un rien de temps, votre ordinateur a réalisé plusieurs échanges avec ces différents serveurs pour satisfaire votre requête.

Il faut préciser que la première requête vers un nom de domaine est légèrement plus longue que les suivantes. La raison est simple : votre navigateur enregistre pendant un certain temps les adresses IP et votre ordinateur n’a pas à aller chercher à quoi correspond le DNS que vous demandez.

Conclusion

Pour reprendre une expression souvent utilisée, le système DNS est une sorte d’annuaire d’adresses IP. La recherche du nom de domaine fonctionne comme le jeu « Qui est-ce ? ». On pose une question, on élimine des choix, et on progresse petit à petit jusqu’à trouver la bonne personne, qui est une adresse IP.

Si le concept de DNS et de serveurs DNS est plus clair, vous comprenez sans doute pourquoi il est si important de savoir protéger les serveurs DNS. En reprenant l’exemple de l’annuaire, c’est comme si on vous donnait un annuaire certifié avec le numéro de votre banque dessus, que vous appeliez votre banque pour une question d’argent. Et si l’annuaire qu’on vous a donné est falsifié, vous ne le savez pas et vous confierez votre argent à un imposteur. Ici, c’est pareil, en cas de détournement de serveurs DNS vous allez confier vos informations à des hackers potentiels.

Protégez votre marque avec le BIMI

L’email est un vecteur d’attaque classique et simple pour les pirates. Il demande surtout des informations et des compétences de « social engineering », mais peu de compétences techniques. Le gain peut être très important pour un minimum d’effort. Nous avons déjà évoqué ces sujets sur notre article SPF DKIM DMARC : le trio gagnant. Regardons maintenant le dernier né de la protection email: le BIMI.

Testez votre domaine ->

Petit récapitulatif sur SPF / DKIM / DMARC

L’email est un vecteur d’attaque classique, car il est facile à exploiter et faillible depuis sa création. L’une des premières RFC sur la définition du SMTP (simple email transfer protocol, toujours utilisé aujourd’hui), la RFC 788, date de novembre 1981. Internet a bien évolué depuis, et les menaces grandissent à la même vitesse. La priorité a donc été de protéger les échanges emails au travers de plusieurs technologies :

  • Les antispams : Souvent en point d’entrée d’une entreprise ou d’un service, l’antispam est chargé d’analyser l’email pour détecter s’il est légitime ou non et effectuer une action en conséquence.
  • Le SPF : Permets de lister les adresses IP autorisées à envoyer un email pour le compte du domaine sur lequel il est placé. L’antispam du destinataire lit cette information et rejette l’email dans le cas où il provient d’une adresse non listée.
  • Le DKIM : Signe l’email expédié afin que l’antispam du destinataire puisse attester que c’est bien l’expéditeur qui a envoyé l’email, et ne fait pas l’objet d’une usurpation d’identité.
  • Le DMARC : Rajoute une couche de protection supplémentaire en demandant aux antispams des destinataires de vérifier l’alignement des informations d’expéditions et d’envoyer un rapport sur l’usage et la conformité des emails. Vous pouvez alors définir la politique à appliquer sur les mails non conformes, et consulter les rapports via un outil adapté tel que notre plateforme Merox.

Qu’est-ce que le BIMI, et quelle est son utilité ?

Le BIMI est une initiative soutenue par plusieurs grands noms des technologies emails, mais aussi des E-commerces. Parmi ceux-ci, nous trouvons notamment Yahoo, Ebay et surtout, Google qui souhaite mettre en place son pilote cette année. L’objectif est simple, le BIMI a pour but d’augmenter la visibilité des marques.

Le constat est que la RFC sur le DMARC est publié depuis 2015, mais l’adoption de ce protocole reste encore faible. Or, le nombre d’attaques par email et notamment les arnaques au président, sont en forte augmentation ces dernières années.

La norme BIMI a été créée afin d’accélérer l’adoption de la norme DMARC, tout en répondant à un besoin marketing envers les sociétés. Le « Brand Indicators for Message Identification » consiste en l’affichage du logo de l’entreprise sur les emails envoyés par cette dernière. Elle permet une identification rapide et une meilleure adoption de la marque. L’intérêt marketing pour les entreprises est indéniable.

Afin de pousser et de protéger les entreprises, le BIMI est une technologie qui vient en renforcement du DMARC. Seuls les domaines valides d’un point de vue DMARC peuvent être validés pour le BIMI.

Différences entre avec et sans BIMI
Exemple d’avantage BIMI: les emails sont affichés avec le logo de la marque

Si votre domaine est donc valide, votre marque s’affichera au niveau de l’email de l’utilisateur pour les plateformes qui acceptent et ont intégré cette norme. Seuls les bêta testeurs ont actuellement accès à la fonctionnalité.

Comment mettre en place le BIMI?

La norme est encore en cours d’élaboration, ce qui implique qu’elle ne soit pas d’or et déjà fonctionnelle. Il est cependant possible de préparer son adoption en étudiant le fonctionnement prévu à l’heure actuelle.

Comme signalé précédemment, la technologie BIMI vient en addition du DMARC. Il est essentiel d’être valide d’un point de vue du DMARC avant de mettre en place la partie BIMI. Si vous souhaitez être accompagné sur ce point, n’hésitez pas à prendre contact avec nos équipes.

Au même titre que le SPF, le DKIM ou encore le DMARC, l’implémentation du BIMI se veut facile et il est surtout indépendant de votre infrastructure. Il ne demande que l’ajout d’entrées DNS et n’intervient en aucun cas dans le routage de vos emails ou de quelque autre information. Le BIMI est simplement un indicateur d’où se situe le logo de l’entreprise qui doit être affiché.

Une fois le protocole DMARC validé sur votre vos domaines de messagerie, vous pourrez ajouter une entrée DNS qui déterminera l’emplacement du logotype. L’entrée est, à la manière du DKIM, ajoutée via un sélecteur. Il est possible donc d’en avoir plusieurs, selon les besoins. À l’heure actuelle, seul le format SVG est pris en charge.

Le Verified Mark Certificate : la sécurité du BIMI

Le BIMI étant une simple entrée DNS, il est très facile pour un pirate de l’usurper en l’état. La technologie repose donc sur un autre élément important: le VMC (pour Verified Mark Certificate). Au même titre que les certificats SSL EV, le VMC est fourni par une autorité de certification tierce reconnue.

Concrètement, le processus est toujours en cours d’élaboration. Un schéma global se dessine tout de même. Lorsqu’un mail passera par l’antispam, ce dernier fera plusieurs vérifications. L’antispam cherchera notamment à vérifier si les autres politiques sont OK. Puis, si une entrée BIMI existe et si son VMC est valide auprès de l’autorité de certification tierce. Seuls les emails répondants à l’ensemble de ces critères pourront alors voir le logo de l’entreprise être affiché. Ce processus intégrant une validation d’un acteur tiers permet de renforcer la sécurité en garantissant la paternité.

Conclusion

Si le BIMI n’apporte rien directement d’un point de vue de la sécurité. Il a l’avantage pour la communauté d’inciter à l’adoption des bonnes pratiques. Et pour les entreprises, la possibilité de faire rapidement du marketing tout en sécurisant leurs clientèles. 

Le BIMI, tout comme le fameux « cadenas vert » du HTTPS, sera très certainement un indicateur de fiabilité incontournable ces prochaines années.

La norme BIMI est encore en élaboration. Cela qui implique qu’elle n’est actuellement active que pour certaines sociétés en bêta test. La norme risque d’évoluer et de changer au cours des prochains mois / années. Nous vous tiendrons informé des évolutions.

Microsoft Power Platform, c’est quoi ?

Tour d’horizon de Microsoft Power Platform

Depuis quelques années, la donnée ne cesse de prendre de l’importance jusqu’à aujourd’hui devenir une mine d’or. Chaque corps de métier se digitalise pour augmenter la productivité. Les solutions sur le marché pour exploiter ces « datas » sont de plus en plus nombreuses. Avec l’avènement de la « Business Intelligence », le but reste toujours d’accumuler et d’exploiter de manière la plus rapide et facile l’ensemble des données. Power Platform est l’une de ces alternatives proposée par Microsoft.

Qu’est-ce que Power Platform ?

Power Platform est un ensemble de solutions composé de 4 applications avec un but commun: rendre la donnée accessible. En quelques clics, on doit par exemple pouvoir:

  1. Consulter l’information dans une base de données SQL
  2. Mettre en corrélation avec le dernier Excel envoyé par l’équipe Marketing
  3. Construire une application pour faciliter la manipulation des données
  4. Envoyer un rapport automatique en fin de journée sur les modifications

Tout cela est possible via les 4 applications présentées ci-dessous.

  • Les workflow avec Power Automate (anciennement: Microsoft Flow)
  • Les applications avec Power Apps
  • La consultation de donnée via Power BI
  • Power Virtual Agent (Des précisions viendront prochainement.)
Les solutions qui composent Power Platform

Le nerf de la guerre : les données !

Depuis le début de l’informatique, nous stockons un nombre impressionnant de données qui ne cesse d’augmenter d’année en année. Malgré le GreenIT, la tendance ne ralentit pas. Cela a accéléré l’essor d’outils et de compétences tel que le big data et les data scientists. Si ces domaines étaient plutôt fermés par leurs complexités et leurs technicités, Power Platform cherche justement à rendre plus accessible ce type de besoin.

Mais que sont ces données? Pourquoi les stocke-t-on? Voici quelques raisons fréquentes :

  • Sauvegarde (ne pas supprimer un mail important)
  • Comptable ou commercial (conserver la commande d’un client)
  • Légal (savoir qu’un patient a participé à une étude clinique)
  • Absence de préoccupation de stockage / nettoyage / GreenIT (quand on garde un fichier inutile depuis 10 ans sur un stockage quelconque tel que le mail ou un partage)

À partir de ces données, vous pourrez créer des applications pour faciliter leurs consultations et leurs manipulations. Un exemple peut être l’édition d’un fichier Excel partagé sur SharePoint qui contient une liste de produits avec image, nom et prix. Afin d’en faciliter l’accès, vous pouvez créer une application se basant sur ce fichier, avec un formulaire d’ajout / édition directement intégré. Une procédure d’automatisation peut alors faire une demande d’approbation du fichier à la fin de la journée. Si la demande d’approbation est validée, on peut choisir d’insérer les données en base puis de vider le fichier.

Et Power Platform dans tout ça?

La force de Power Plateform, ce sont avant tout les connecteurs. Ils vont pouvoir intervenir sur des sources de données très diverses, plus ou moins structurées. Microsoft propose des dizaines de connecteurs prépackagés pour vous connecter facilement à vos données et pouvoir les exploiter rapidement. Pour en citer que quelques-uns, vous avez à disposition:

  • Excel
  • Sharepoint
  • SQL Server
  • Mysql
  • Saleforce
Liste de connecteurs possibles
Côté connecteur, il y a le choix

Autre point: dans le cas particulier où un connecteur spécifique n’est pas disponible, il est possible de créer votre propre connecteur à partir d’une API.

Automatisez vos besoins avec Power Automate

Power Automate est une première approche simple pour manipuler Power Platform et ses connecteurs.

Nous avons tous des tâches que nous pouvons automatiser. Synthèse des emails traités, alerte téléphone quand un message négatif est détecté… les sujets ne manquent pas. Il est toujours possible d’automatiser au moins une partie des tâches redondantes de la journée.
Power automate propose par défaut un grand nombre de scénarios préconfigurés:

Power Automate exemples
Plusieurs exemples sont nativement présents

L’application se présente simplement comme une suite de tâches (algorithme). Selon votre besoin, ce dernier sera plus ou moins complexe. Power Automate s’articule autour de deux choses:

  • Un déclencheur : ça peut être un mail, un tweet, un clic sur un bouton, un déclenchement horodaté…
  • Une ou plusieurs actions: Envoyer un mail, fusionner des données, lancer un processus d’approbation…

Ci-dessous, un exemple rapide d’approbation de demande de congés. Un processus d’approbation est envoyé au responsable et aux RH quand une demande de congé est reçue. Une fois que tout le monde a répondu, et si tout le monde a accepté, un mail de validation est envoyé au demandeur. Dans le cas contraire, un mail de refus avec le sera émis.

Algorithme Power Automate
Les algorithmes Power Automate sont très visuels

Créez votre application avec Power Apps

Alors Power Apps, qu’est ce que c’est?

Power Apps est un outil vous permettant de créer des applications en quelques clics autour de vos données, via les connecteurs évoqués au début. L’application sera créée à partir d’une base PC/tablette ou téléphone, et permettra de consulter, ajouter, modifier, ou supprimer des données.
Tout comme Power Automate, Power App arrive avec son lot de template préconfigurés dont voici quelques exemples:

Exemple d'application de Power Apps
Plusieurs applications sont proposées

En plus des templates, Power Apps propose son lot de « composants ». Ce sont des éléments qui vont être utilisés pour construire l’application. On y retrouve les éléments classiques d’affichage tel que bouton, champs texte, images, etc. Certains composants plus complexes ont aussi été prévus: liste de données avec champs de recherche, carte Bing, et bien d’autres.

Quelques exemples de composants

Dans quel cas ça sert?

La création d’une application, ça demande d’avoir des développeurs disponibles, du temps pour définir les besoins, la création de maquettes, le développement, le recettage… Quand il faut répondre à un besoin urgent, ce n’est pas évident.

Si Power Apps n’est pas une solution miracle à ces problèmes, elle peut néanmoins vous apporter beaucoup. En tant que chef de projet et développeur, voici les principaux intérêts que j’ai pu y trouver :

  • Il est possible de créer une application simple et visuelle en quelques minutes
  • Il n’y a pas besoin de compétence en développement pour répondre aux besoins simples
  • Cela peut aussi permettre de maquetter vos projets (préférez tout même des outils spécifiques tels qu’Adobe XD, mais ça reste parfaitement faisable)

A l’instar de DreamWeaver, Windev et autres, l’objectif de Power Apps est de vous permettre de concevoir, sans développer. Mais cette politique est poussée plus loin que ces derniers. Si la création d’application est plus simple que sur DreamWeaver par exemple, le côté développement est quant à lui encore plus contraint. Power Apps a comme objectif de répondre a des besoins très simples très rapidement. La solution n’a pas pour ambition (actuelle) d’être mise en concurrence sur les projets moyens à conséquents.

Faites parler vos données avec Power BI

La montée en puissance de l’informatique fait que nous ajoutons chaque jour toujours plus de données. Ces données peuvent être non structurées, et stockées un peu partout. Les entreprises ont toutes de nombreuses données archivées qui ne servent pas. Cela peut par exemple concerner:

  • Des données sur les ventes / achats
  • Des informations sur les personnes
  • Le tracking d’un ou plusieurs services

Pour reprendre le cas des E-commerces, il est facile de connaitre l’évolution du chiffre d’affaires. Il reste aussi assez courant d’avoir les produits les plus vendus ou les meilleurs clients. Mais avoir les meilleurs achats des 10 meilleurs clients sur une période donnée? Et connaitre la régularité de ce produit (une grosse commande, ou plusieurs petites? quel étalage dans le temps?)?

Voici ce que Power BI peut vous apporter: rendre vos données plus parlantes. Ces fonctionnalités existaient déjà, via d’autres outils de BI tel que SQL SSRS. Via des requêtes SQL complexes, il était aussi possible de faire de la Business Intelligence. Power BI donne ici la possibilité de facilement et rapidement croiser vos données.

Pourquoi Power BI?

Power BI à plusieurs avantages, dont :

  • Sélection des données: seules les données que vous décidez de charger dans PowerBI seront envoyées. Comme certaines tables spécifiques d’une base de données par exemple.
  • Catégorisation: il est possible de manipuler le type de vos données, ou en ajouter via des calculs
  • Corrélation des données: Ajoutez des relations entre les données relationnelles d’une même source, ou même croisez plusieurs sources !
  • Décorrélation du traitement: Les données originelles ne sont pas altérées, et la puissance de calcul est fournie par Power BI et non votre infrastructure

Un cas concret est la corrélation d’un fichier Excel de contact, géré sur un salon. On peut alors charger ce fichier en parallèle des données de l’ERP de l’entreprise dans Power BI. On met ainsi en corrélation les deux sources de données à partir du nom du contact. En ressortirais si le contact est client ou non, son chiffre d’affaires, les derniers échanges avec lui, etc.

Power BI dashboard
Un exemple de tableau Power BI

Tous pour un, un pour tous !

Nous avons rapidement vu chacune des applications. Mais la grande force de la plateforme, outre son grand nombre de connecteurs, est l’interconnexion de ses outils.
Vous pouvez ainsi avoir un bouton dans Power App qui déclenche un process Power Automate. Ou encore, intégrer vos tableaux de bord Power BI dans votre application.
Tout cela est proposé nativement et intégrable en quelques clics.

Vous pouvez aussi intégrer rapidement Power BI et Power Automate dans Sharepoint ainsi que Dynamics. Ce sont d’ailleurs des sources de données privilégiées pour Power Platform.

Conclusion sur Power Platform

Power Platform est une excellente suite logicielle pour manipuler la donnée, sans compétence technique particulière. Elle a pour vocation à répondre à des besoins simples uniquement, mais elle le fait parfaitement. On atteint ainsi un niveau fonctionnel plus que satisfaisant pour la plupart des besoins.

Les interconnexions possibles entre les outils, et notamment avec SharePoint et Dynamics, en font un allié idéal dans l’utilisation d’une infrastructure Microsoft.

Power Platform reste une plateforme jeune, en constante évolution. N’hésitez pas à vous tenir informé des très régulières mises à jour qui sont proposées.

Dans de prochains billets, nous reviendrons plus en détail sur chacune des applications citées ci-dessus et comment les utiliser au travers d’une application qui utilisera l’ensemble de la plateforme. J’ai fait une description succincte de chacun et ai surtout abordé les principaux avantages « commerciaux ». Dans les prochains billets, je rentrais plus en détail sur les fonctionnalités, les possibilités, et du coup les avantages / inconvénients de chacun.

Si vous souhaitez en savoir plus sur Power Platform, un très bon cursus d’apprentissage est disponible sur Microsoft Learn: https://docs.microsoft.com/fr-fr/learn/powerplatform/

Petit retour sur une notion: le DevSecOps

Le terme DevSecOps prend une place de plus en plus importante dans les discours des éditeurs de logiciels. Les termes utilisés sont nombreux: « DevOps », « CI/CD », « intégration continue », « ALM » ou encore « usine logicielle ». Les concepts derrière sont quant à eux plus obscurs. Il peut être donc important de les éclaircir et d’avoir une vue d’ensemble.

La suite de cet article présentera les différentes étapes du cycle « DevSecOps » et les concepts importants de chacun d’entre eux.

Le processus DevSecOps
Les différentes phases du cycle de vie d’une application

L’objectif du DevSecOps, c’est quoi?

Le DevSecOps, et la gestion du cycle de vie d’une application (ALM) en général, a plusieurs buts. Comme le montre le schéma ci-dessus, le principal intérêt est de mettre en place un process d’amélioration continue. On va ainsi se rapprocher du concept de cercles vertueux tel que la Deming Wheel. Cette vertuosité va être atteinte principalement par l’automatisation, mais aussi par la structuration des process.

Voici une liste non exhaustive des points traités.

  • Donner une structure au travail en équipe (gestion de projet implémentant les processus agiles, gestionnaires de code type Git)
  • Augmenter la qualité, la maintenabilité et la sécurité du code par l’analyse manuelle (Pull Request) et automatique (outils) du code
  • Renforcer la sécurité par l’utilisation de tests (unitaires / fonctionnels / performances) automatisés
  • Valider le code plus rapidement et ainsi réduire la frustration par la mise en place de l’intégration continue
  • Protéger son application et son infrastructure par la gestion des déploiements et la mise en place de workflow de validations
  • Sécuriser la production par la mise en place de logs, métriques et gestion d’erreurs pertinente
  • Documenter les process et les actions

Chacun de ces process est couvert par une phase bien spécifique du cycle de vie, et est présenté ci-dessous.

La planification

Spécifications et Kanban

Le point de départ de tout projet, ce sont les spécifications. Tout projet évolue naturellement avec le temps. On a de nouvelles idées, des retours utilisateurs, ou simplement des effets de mode. Quelle qu’en soit la raison, il est important de noter les spécifications et leurs évolutions. La description et l’organisation de ces tâches sont au cœur des problématiques du projet. Ce sont elles qui déterminent la charge du projet, les dates de livraisons des fonctionnalités importantes, etc.

Azure DevOps vous permet entre autres de noter, pondérer et organiser vos tâches

C’est là que rentre en jeu tous les concepts de méthodologie agile, planning poker ou encore la priorisation des tâches. C’est en vaste sujet que nous traiterons dans un futur article.

Les uses et abuses cases

Un concept crucial et pourtant souvent oublié, c’est la définition des cas d’abus et des risques potentiels. Si les cas d’utilisation (uses cases) sont maintenant passés comme courants, c’est beaucoup moins le cas de ces derniers. Ils sont pourtant le point de départ la sécurité d’une application.

La culture de sécurité est malheureusement peu répandue. Or il est essentiel de penser aux contournements possibles qu’un attaquant peut faire. Et si possible, il faut y penser dès la rédaction des spécifications.

En comprenant comment l’application peut être détournée et attaquée, il est plus aisé de chiffrer et prioriser les tâches de sécurité et de les intégrer au projet. Brainstormer avec l’équipe à ce sujet peut, en outre, aider l’équipe de prendre conscience des risques potentiels et d’intégrer nativement la sécurité dans leurs processus de développement. C’est aussi cela intégrer la partie « Sécurité » du DevSecOps.

Schéma des uses et abuses cases
Exemple de définitions

Gestion & analyse de code

Les gestionnaires de code, un besoin incontournable

Depuis une vingtaine d’années, les gestionnaires de code ont apporté de grands changements dans le monde du développement. Microsoft Visual Source Code ou SVN ont été les premières vraies solutions sur ce sujet. Mais c’est l’arrivée de Git et le dépôt GitHub sur le marché qui a définitivement enterré les vieilles pratiques, telles que le travail en production via FTP.

Finis le code sur le poste de travail du développeur uniquement. Désormais le code est versionné, sauvegardé, décentralisé et partagé. L’utilisation massive de Git a permis de faciliter grandement le travail en équipe tout en augmentant la sécurité et la productivité. Moins de travail perdu, moins d’erreurs humaines, moins d’oublis, de dépendances… les avantages sont nombreux. L’adhésion forte de Git à permis d’uniformiser les besoins, et surtout de passer un cap sur la sécurité des développements.

Evolution Google Trends entre VSS, Git et SVN
Si le débat existait en 2004, Git a su mettre tout le monde d’accord avec ses avantages

Le fait d’avoir le travail sauvegardé et décentralisé a fait naître des ambitions nouvelles. Le code est facilement partagé, notamment avec GitHub. Un intérêt renouvelé s’est porté sur la normalisation des pratiques de code, puisque le travail en communauté est plus simple.

Construire de la valeur autour de l’outil

Des outils d’analyse de code ou encore d’analyse algorithmique ont commencé à apparaître. En se câblant directement au système de gestion de code, il est possible d’avoir un rapport de qualité et de sécurité sur ce dernier.

On peut alors combiner cela au principe des Pull Requests et au workflow de validation humaine. Tout code produit est analysé automatiquement pour tous les problèmes rébarbatifs de normalisation, en plus d’être approuvé par un senior expérimenté. L’équipe met ainsi en place une formation continue en plus d’augmenter la qualité de l’application.

Exemple de Pull Request sur Azure DevOps
Un exemple de retour d’analyse automatique, sur une Pull Request avec Azure DevOps. Il est possible de construire un workflow de validation autour de ce process
Exemple de bonnes pratiques
Les outils arrivent avec des centaines de règles, sur différents langages, et des exemples de bonnes pratiques. Il est souvent possible de personnaliser ses propres règles

L’intégration continue & le testing

La CI (pour « continuous integration ») est un terme que l’on croise fréquemment, mais souvent utilisé de manière approximative. Elle est, pour reprendre le schéma du cycle de vie d’une application, la partie qui concerne le « build » et le « test ». Son but est de créer l’artefact qui servira pour la partie déploiement. Nous reviendrons sur ces deux notions un peu plus tard dans l’article.

On parle d’intégration continue pour décrire le processus servant à automatiquement générer un artefact à partir du code source validé. Le build consiste à :

  • récupérer le code source après validation
  • installer les packages nécessaires
  • lancer les tests automatisés
  • vérifier que les fichiers de configuration des développeurs ne soient pas dans les sources
  • etc.

Chaque société et projet étant différent, les besoins et les process seront à voir au cas par cas. Les besoins sont néanmoins communs dans la plupart des cas.

Un process de build sur Azure DevOps
Un exemple de process classique

Si le processus de build et les tests sont validés, alors les sources sont nettoyées et un artefact est créé à partir de là.

Les artefacts

Définition d’un artefact

Par expérience, la notion d’artefact est très probablement la moins bien comprise du concept de DevSecOps. Mais alors, qu’est-ce qu’un artefact?

La philosophie d’un artefact est d’avoir un objet unique, versionné, que l’on va pouvoir suivre durant toute sa vie. Le concept central est qu’une fois l’artefact généré, il ne doit pas être altéré pour aucune raison que ce soit. Toute modification entraîne la génération d’un nouvel artefact, et donc d’une nouvelle version.

Attention, la version d’un artefact n’est pas nécessairement liée à la version de votre application / librairie / code / fichiers. Mais c’est souvent plus simple pour en suivre l’évolution.

Un artefact peut être composé de nombreux fichiers ou type de fichiers différents.. Le cas le plus courant est une archive Zip (ou autre) qui contient l’ensemble des sources et fichiers nécessaires de votre application après nettoyage. Cela permet de plus facilement gérer le versionning (un seul fichier) et son intégrité (checksum). Mais cela peut aussi être un binaire, une dll, un container…

Principes fondamentaux

Le fait de ne pas altérer un artefact est extrêmement important. C’est la seule garantie que la validation d’un artefact à un instant T ait une valeur. L’erreur la plus courante est l’utilisation de branches Git en tant qu’outil de versionning applicatif (avec des branches de tests, preproduction, et production par exemple). C’est une grave erreur.

En effet, il peut être compliqué d’assurer la persistance d’une version, et notamment la restauration en cas d’erreur. Il existe évidemment des solutions à chaque cas. Mais le DevSecOps a pour principe la sécurité et la performance par la simplicité et l’automatisation, entre autres choses. L’utilisation de branche Git, pour poursuivre l’exemple, pose des problèmes de sécurité, d’intégrité et de simplicité. Pour retrouver le niveau fonctionnel que l’on aurait en utilisant les artefacts, il faut mettre en place des processus complexes.

Le DevSecOps doit rester un processus simple à comprendre et à analyser. Ce sont des points importants pour la maintenabilité et le transfert de compétences. Le maître mot est d’automatiser au possible afin de gagner du temps et éviter les erreurs humaines.

Liste des versions d'artefact par environnement sur Azure DevOps
Il est important d’avoir une vision claire des artefacts validés, déployés, et de pouvoir revenir en arrière en deux clics si nécessaire

La gestion des déploiements

Le déploiement continu, aussi appelé CD (continuous deployment) ou encore release management, concerne toute la partie de mise en application de l’artefact.

L’artefact contient donc l’application, et valide une version figée de cette dernière. Le travail consiste alors à savoir quels sont les processus à mettre en place pour valider et sécuriser l’application.

Le cas le plus courant est la mise en place d’un processus de validation via plateforme de test, préproduction et production. L’équipe applicative est donc en mesure de tester sur un environnement ISO à la production. Si l’artefact est validé, il est déployé sans altération sur la plateforme de préproduction et soumis alors aux validations des équipes métier et clients privilégiés. Enfin, après validation, le déploiement peut s’effectuer sur la production.

Release Management sur Azure DevOps
Un exemple de release management

Le monitoring de l’application

Enfin, une fois l’application en production, il va être important de surveiller son bon fonctionnement, analyser les retours utilisateurs, l’utilisation des fonctionnalités, etc.

De ce côté, ce ne sont pas les outils qui manquent. Google analytics, AB Testing, hotjar… autant d’outils qui peuvent être intrusif, mais aussi aider dans l’amélioration de l’application. Il convient donc de faire une analyse exhaustive de vos besoins et des outils à mettre en face.

Personnellement, je privilégie les outils tels que App Insight ou New Relic. Ce sont des outils complets qui permettent à la fois une analyse de l’utilisation de l’application, du temps de réponse, mais aussi et surtout de toute la partie logicielle. On obtient ainsi des retours concernant le temps de requête, de l’exécution SQL, des performances par fonctions, etc. Toutes ces métriques permettent de détecter les points problématiques d’une application et d’agir en conséquence.

App Insight est un excellent allié pour tout éditeur
Si en plus vous travaillez sur les technologies .Net, il est incontournable !

Qui est en charge du DevSecOps?

Le DevSecOps regroupe plusieurs compétences transversales (Développement / sécurité / opérationnel (IT)). Mais les profils maîtrisant l’ensemble de ces compétences sont rares. Les solutions les plus couramment rencontrées sont :

  • Recrutement d’un profil, ce qui peut être long et coûteux
  • Mise en place d’une équipe spécialisée : cela permet de répartir les compétences, ce qui est plus aisé, mais demande de monopoliser plusieurs profils
  • Accompagnement par un tiers expert

Comme souvent, c’est la culture de l’entreprise et les ressources disponibles à l’instant T qui motive la solution qui sera choisie. Le plus souvent, ce sont les chefs de projet avec une qualification technique qui s’en occupent. Ce sont en effet les premiers concernés par les sujets de planifications des besoins et de gestion de l’équipe. Il est cependant très fréquent de se faire accompagner par un expert afin de sécuriser la mise en place des processus et de respecter les bonnes pratiques.

Conclusion

Le DevSecOps est un sujet complexe, demandant des compétences pluridisciplinaires. Il est parfois difficile de prendre la décision de s’attaquer à un tel sujet, qui souvent est crucial pour un éditeur logiciel, mais pas seulement. Toute entreprise ayant un projet de développement logiciel est concernée, pour des raisons de gouvernance du code source, de sécurité et de transparence. Si sa mise en place peut avoir un coût en début de projet, les avantages que l’on en retire sont indubitables.

Si vous souhaitez être accompagné sur le sujet, dans le cadre d’une mise en place ou d’amélioration du processus existant, n’hésitez pas à prendre contact avec nous.

C’est quoi un Next Generation Firewall (NGFW) ?

Historiquement, la sécurité informatique se résumait à installer un antivirus (le vaccin magique contre les maladies des ordinateurs) et un firewall (le videur des portes d’entrée de l’ordinateur sur internet). Aujourd’hui, à l’heure de l’hyperconnexion, les cyberattaques se sont multipliées et ne se résument plus aux simples virus destructeurs de données. Donc les antivirus et les firewall ont évolué en conséquence. Dans cet article, nous nous concentrerons sur ces derniers et en particulier sur les NGFW (Next Generation Firewall).

C’est quoi un Firewall ?

Dans les grandes lignes, un Firewall (ou pare-feu en français) est un logiciel et/ou matériel permettant de contrôler et surveiller les applications et flux de données.
Ainsi, il regarde chaque paquet indépendamment des autres et le compare à une liste de règles préconfigurées. Notons que ce filtrage de paquets est dynamique. Jusqu’ici, nous avons une définition du Firewall dit de première génération. Nous étudierons les NGFW (Next Generation Firewall) en détail plus bas.

Lorsque le Firewall est matériel, nous parlons généralement d’un boitier qui se place entre le routeur et le reste du réseau privé. Ainsi, toute connexion devra passer par le boitier et le trafic pourra être correctement contrôlé. Sinon, si le Firewall est logiciel, une machine devra héberger le service (par exemple PFSense) et ainsi pouvoir surveiller les flux entrants et sortants du réseau.

Quoi qu’il en soit, surveiller le trafic ne suffit pas, il faut ensuite lui appliquer des règles. De ce fait, il faut définir un certain nombre de règles en fonction de la politique de sécurité de l’entreprise. En conséquence, le Firewall va vérifier la source et la destination de chaque paquet et identifier si cet échange est validé par les règles. De plus, il vérifie que chaque paquet est bien la suite ou la réponse d’un autre.

Mais alors, quelles fonctionnalités un NGFW peut-il apporter ?

C’est quoi un NGFW ?

Les NGFW (Next Generation Firewall) sont la dernière génération de Firewall. En français, nous les appelons les pare-feu applicatifs.
Ils vérifient non seulement la complète conformité d’un paquet, mais aussi qu’il correspond bien au protocole attendu. Donc un paquet qui veut passer par le port TCP 80 devra utiliser le protocole HTTP. De même, ils permettent de faire une gestion de la qualité de service (QOS : Quality Of Service), du blocage d’URLs, de l’inspection de paquet en profondeur (DPI : Deep packet inspection), de l’inspection SSL/SSH ou encore de la détection de logiciels malveillants. Les options sont tellement nombreuses, que la configuration d’un tel dispositif peut devenir très complexe et nécessite l’intervention de spécialistes.

En somme, les NGFW ont la capacité de comprendre et prendre des décisions en analysant les détails du trafic. Cela à deux incidences majeures : premièrement un traitement gourmand en temps de calcul (en fonction du débit). Deuxièmement, un besoin de mises à jour régulières afin de pouvoir contrer les dernières menaces. D’ailleurs, Palo Alto Networks, un des leaders du NGFW et de la cybersécurité publie régulièrement des mises à jour de son logiciel PAN-OS. Nous avons fait un article à ce sujet que vous pouvez retrouver ici.

Dans l’état actuel des choses, les Firewall de première génération ont tendance à disparaître au profit des NGFW (Next Generation Firewall) bien qu’ils soient encore présents sur certains routeurs ou systèmes d’exploitations. Grâce à leurs systèmes de filtrage beaucoup plus avancé et leurs « compréhensions » du trafic, les NGFW agissent véritablement comme un premier mur de protection pour votre entreprise, avant même que les données arrivent sur votre réseau. Mais comme toujours en cybersécurité, ce n’est pas une solution miracle et elle n’est efficace que si la politique de sécurité de l’entreprise est clairement définie et en complément d’autres solutions, comme l’implémentation du trio gagnant de la protection mail.

LastPass entreprise : Comment ça marche ?

Cet article fait suite à « comment choisir un bon mot de passe » que nous avions publié il y a quelque temps. Pour ce nouvel item sur les mots de passe, nous avons choisi de vous parler de LastPass entreprise. C’est une solution que nous avons l’habitude d’utiliser chez Devensys. Elle est particulièrement bien sécurisée et très simple à prendre en main.

De la nécessité d’avoir des mots de passe sécurisés

Au quotidien, nous utilisons des technologies en constante évolution et 80% des sites internet que nous rencontrons nécessitent l’usage de mots de passe.
Si protéger sa vie privée est important, il est compliqué de se souvenir de 200 mots de passe. Le réflexe est souvent d’utiliser le même sur toutes les plateformes qui demandent une connexion personnelle. Imaginons que vous êtes inscrits, avec le même mot de passe, sur une dizaine de sites qui contiennent, pour certains, des données sensibles ou personnelles. Un hacker qui réussirait à le trouver aurait besoin d’une seule combinaison pour récupérer tout ce dont vous disposez.
Vous comprenez qu’il est important d’avoir des mots de passe sécurisés et des solutions plus sécurisantes pour vos données sensibles.

Prenons maintenant un cas d’entreprise. Imaginons un employé, cadre, ayant accès à des informations dites sensibles (compte bancaire, accès administrateurs…). Un jour, il vient au bureau très énervé contre la direction. Le nouveau système mis en place ne lui convient pas et il pense depuis un moment à démissionner. Nous pouvons émettre l’hypothèse que cette personne pourrait utiliser ses accès pour voler des fichiers, détruire des documents, etc.

On voit bien dans ce contexte, l’intérêt d’avoir la main sur ce type d’accès avec une gestion par le DSI ou responsable informatique. Il pourra administrer des accès sécurisés et surveiller des activités non autorisées dans l’entreprise. En un changement de mot de passe, il peut couper l’accès à tout le système informatique.
Comment cela fonctionne-t-il, comment l’utiliser et le mettre en place ? C’est ce que nous allons voir maintenant.

Introduction au logiciel LastPass

Parmi les leaders du marché, LastPass est un logiciel de gestion de mots de passe, complètement sécurisé. Il évolue régulièrement depuis sa création en 2008, surtout sur l’ergonomie de la navigation. LastPass compte parmi ses clients des géants comme Mozilla, Github, Harvard, ou encore VMWare. Ce produit a été conçu pour faciliter et sécuriser les mots de passe. Des formules existent pour les particuliers et pour les entreprises. Dans cet article, nous nous intéresserons spécifiquement à la solution proposée aux entreprises.

LastPass dispose de plusieurs fonctionnalités

  • Administration centralisée : Le tableau de bord analyse les habitudes des utilisateurs de mots de passe. Il permet de les modifier au besoin.
  • Gestion automatisée des utilisateurs : Permet une intégration transparente avec votre annuaire existant. Vous pouvez rapidement accueillir les nouvelles recrues à l’échelle de l’entreprise.
  • Accès fédéré : Autorise les employés à se connecter à LastPass avec leurs identifiants AD, tout en conservant un modèle de sécurité « connaissance zéro ».
  • Partage aisé des mots de passe : Apporte de la souplesse dans le partage de mots de passe pour vos employés, tout en sécurisant les accès aux données de l’entreprise.
  • Sécurité et fiabilité de pointe : Protéger vos données ne se résume pas à cocher les bonnes cases. Dans LastPass la sécurité est intégrée partout.
  • Stockage sécurisé des mots de passe : Permet de fournir un coffre-fort à chaque employé pour y stocker tous ses identifiants pour accéder aux sites web et aux applications.

LastPass propose deux formules payantes pour les entreprises

Offres LastPass

La version entreprise est bien plus complète. Vous pouvez y souscrire même avec 20 utilisateurs.

LastPass est facile à prendre en main, avec de nombreuses sécurités. Il est lié à tous les moteurs de recherche et à de multiples applications. La solution est conçue de manière très sécurisée sans que l’éditeur n’ait accès a aucun de vos mots de passe. Un algorithme de chiffrement de pointe,  AES 256 bits avec SHA-256 PBKDF2 et hachage salt, garantit une complète sécurité dans le cloud. On crée un compte avec une adresse e-mail et un mot de passe maître fort pour générer une clé de chiffrement unique, en local.

Les données sont chiffrées et déchiffrées sur l’appareil. Votre mot de passe maître et les clés qui servent à chiffrer et déchiffrer les données, ne sont jamais envoyées vers les serveurs de l’éditeur. LastPass n’y a jamais accès.
Une sécurité supplémentaire est présente, l’authentification à deux facteurs (parfois appelée multi-facteurs ou A2F). Elle renforce la sécurité de votre compte en exigeant une deuxième étape d’identification avant d’autoriser l’accès à votre coffre-fort.

Son fonctionnement

Une phrase utilisée par l’éditeur traduit bien son fonctionnement, “Ne mémorisez que votre mot de passe maître. LastPass mémorise le reste”. Lors de votre ouverture de droits, LastPass va vous demander de créer un mot de passe. Il va vous permettre d’ouvrir l’accès à l’ensemble de votre coffre fort. Ce mot de passe doit être complexe. C’est le seul que vous avez besoin de retenir.

Vous allez devoir télécharger une extension qui va venir s’ajouter à votre navigateur.

Place de l'extension LastPass dans la barre des tâches
Place de l’extension LastPass dans la barre des tâches

Une fois LastPass téléchargé, sa miniature se place dans la barre d’outils du navigateur (en rouge ci-dessus). Ce bouton permet de se connecter à LastPass au début de votre journée.

Créer un compte

Sur l’interface de la solution vous allez pouvoir créer votre compte. Il est primordial pour cette application de créer un mot de passe long et sûr. Cela requiert des exigences minimales. Un code couleur, sous le champ « Mot de Passe Maître, « permet de jauger la force de mot de passe.

Page d'accueil LastPass

Après ces étapes, vous confirmez votre mot de passe pour accéder à votre coffre-fort.

Interface LastPass

Ce coffre-fort représente l’ensemble des applications sur lesquelles vous avez enregistré un mot de passe avec LastPass. Vous pouvez directement accéder aux applications en cliquant dessus et changer le mot de passe à tout moment, au besoin. Chaque utilisateur a un accès en fonction de ce qu’il a enregistré et des droits qu’on lui a octroyés.

Quel est l’intérêt de LastPass pour mon entreprise ?

LastPass aide les services informatiques à reprendre le contrôle de la sécurité des mots de passe dans leur organisation. L’intégration d’annuaire, la gestion des utilisateurs, les stratégies, la création de rapports, etc. Le tableau de bord d’administration permet de gérer tout cela. Il offre des informations exploitables et des contrôles complets.

Centraliser le contrôle administrateur : Centralisation du déploiement et de la gestion de LastPass à partir d’un portail d’administration sécurisé.
Intégrer avec les annuaires d’utilisateurs : Automatisez l’intégration et la suppression des utilisateurs en les synchronisant avec Microsoft Active Directory ou une API personnalisée.
Configurer des stratégies personnalisées : Plus de 100 politiques personalisables pour assurer un accès aux employés approprié et sécurisé.
Automatiser les rapports : Développez la conformité et maintenez la responsabilité avec des journaux de rapports détaillés qui associent les actions aux individus.
Attribuer des autorisations au niveau du groupe : Gérez la sécurité des mots de passe et les mots de passe partagés avec les groupes créés dans votre répertoire ou LastPass.

Protéger les applications cloud : Des applications cloud d’entreprise et des employés qui y ont accès ainsi qu’à tous les services Web depuis un coffre-fort.
Ajouter une authentification multifacteurs : Protégez chaque mot de passe de l’entreprise avec des étapes d’authentification supplémentaires. LastPass Enterprise inclut LastPass Authenticator et prend en charge de nombreuses autres solutions majeures de MFA.
Réinitialiser les comptes utilisateur : La politique de super administrateur assure que les données des employés ne sont pas perdues s’ils laissent ou oublient leur mot de passe principal.

Conclusion

Vous l’aurez compris, il est important, tant en personnel qu’en entreprise, de savoir gérer ses mots de passe. La menace peut provenir de l’extérieur comme de l’intérieur pour vos données d’entreprise. Une solution comme LastPass est une bonne manière de renforcer la protection de vos données, avec un minimum de contraintes.

Avantage non négligeable, retenir un seul mot de passe vous simplifiera le quotidien et permettra une meilleure sécurité !

C’est quoi SPF ?

La principale menace pour les données en entreprise reste les employés (faille physique). Les arnaques reçues via email sont récurrentes et très variées. Se défendre contre ces attaques est primordial. Sensibiliser les utilisateurs à la menace est une première mesure, mais même une personne sensibilisée peut commettre une erreur et se faire hameçonner. Le meilleur moyen reste alors de filtrer les messages en amont afin que l’utilisateur n’ait pas l’occasion de les voir .

Fonctionnement du protocole SPF

Cet article s’intéresse à un des trois piliers de la protection email, le SPF. Il forme le trio gagnant de l’authentification email avec le DKIM et le DMARC.

Le SPF (Sender Policy Framework) est un processus d’authentification qui assure que votre email peut être reçu et conforme. Il vous permet d’indiquer qui est autorisé à utiliser votre nom de domaine lors de l’envoi de mails. Pour cela, il faut effectuer un enregistrement (sous forme TXT) au sein de votre serveur DNS. Puis venir enregistrer les adresses IP que vous autorisez ainsi que les fournisseurs de messagerie que vous acceptez.

Une fois SPF mis en place, voici ce qu’il se passe :

  • Les fournisseurs de messagerie regardent l’enregistrement SPF et cherchent le domaine inclus de l’expéditeur (mailfrom).
  • Si l’adresse IP depuis laquelle le message est envoyé est répertoriée, l’authentification SPF réussie et vous recevez le message.
  • Dans le cas contraire, il sera bloqué et le message échouera.

Une norme importante mais insuffisante

Cette norme a pour premier effet d’améliorer la légitimité de vos mails car votre domaine à moins de chance de se faire usurper. Mais elle ne garantit pas que la partie locale de l’adresse mail est authentique.

Ensuite, elle est efficace sous réserve que vous mettiez les enregistrements à jour régulièrement. Auquel cas, ils peuvent vite devenir obsolètes. En effet, les fournisseurs qui envoient des mails au nom de votre entreprise changent régulièrement et sont de plus en plus nombreux.

De plus, en cas de transfert de mail, le SPF ne s’applique pas. Il est également insuffisant car il ne vérifie pas l’authenticité du nom de domaine de l’expéditeur d’un message. Cette protection peut donc être contournée, même si elle est un premier pas indispensable à une sécurité optimale de vos emails.

Il existe une autre norme prévue pour compléter la protection mise en place par SPF : DKIM (DomainKeys Identified Mail). Nous vous proposons de la découvrir en suivant ce lien : Qu’est-ce que le DKIM ?

C’est quoi DKIM ?

Le protocole DKIM (DomainKey Identified Mail) est une des trois solutions permettant d’authentifier les mails légitimes des arnaques ou spam. Il vient compléter la protection que propose le SPF auquel vient s’ajouter le DMARC, permettant ainsi une protection optimale.

Comment fonctionne le DKIM ?

Le DKIM est une signature cryptographique qui est utilisée afin de savoir si le message électronique provient d’un domaine autorisé. Il permet de filtrer les spammeurs en les empêchant de se faire passer pour des adresses légitimes. Et surtout de garantir que le mail n’a pas été modifié entre son envoi et sa réception.

Pour mettre en place le DKIM, il faut aller dans vos enregistrements DNS pour y renseigner les serveurs autorisés.

La signature se situe dans l’en-tête de chaque mail envoyé. Elle est propre à votre domaine de messagerie, vous en possédez la clé privée. A cette clé privée correspond une clé publique, qui est enregistrée dans votre DNS. Lorsque vous envoyez un message, le serveur qui le reçoit va aller regarder votre clé publique. Ainsi, il détermine si la clé privée a bien été utilisée lors de l’envoi du message afin d’y inscrire la signature cryptographique. Si la clé privée n’a pas été utilisée, alors le message est considéré comme non légitime.

Concernant ses faiblesses,
une partie d’un message seulement peut-être signée. Donc, ce qui est rajouté au delà est falsifiable. Enfin, il est conseillé d’utiliser en complément d’autres protections comme le système SPF et DMARC. Vous pouvez retrouver un article sur le trio de protection à ce sujet ici ->

C’est quoi le DMARC ?

Il y a peu, nous vous parlions des moyens d’améliorer sa sécurité email en entreprise. Nous vous proposons ici de revenir sur la norme DMARC, élément essentiel pour sécuriser vos boites email.

Le mail a été créé sans vraie protection, reposant sur le protocole SMTP. C’est pour cette raison que nous avons vu apparaître au fil des années des protections destinées à améliorer la sécurité des échanges en SMTP. Les protocoles DKIM et SPF en font partie et sont efficaces dans leur domaine. Ils permettent de bloquer les emails n’ayant pas de validation et n’étant pas envoyé depuis le bon serveur.

Petits rappels techniques de ces deux technologies :

SPF (Sender Policy Framework) : permet de déclarer les IP autorisées par votre domaine à envoyer des emails.

DKIM (DomainKey Identified Mail) : permet grâce à une signature cryptographique de s’assurer que le message que vous envoyez/recevez ne va pas se faire altérer.

Ce sont deux protections indispensables, mais qui peuvent être contournées. SPF et DKIM vont venir vérifier le « Mailfrom », l’expéditeur du message. Cependant, ils ne vont pas inspecter le « From », qui correspond au vrai expéditeur. En effet les deux protocoles ne vérifient pas que ces informations concordent, on peut donc les contourner.

Fonctionnement de DMARC

Schéma fonctionnement DMARC

DMARC (Domain-based Message Authentication, Reporting, and Conformance) a été créé pour répondre à cette problématique. Il vient s’appuyer sur le principe de « l’alignement ». Il va alors agir sur les messages où les protocoles SPF et DKIM ont échoué, en venant vérifier le Mailfrom mais aussi le From. Si un des deux est différent, alors DMARC peut traiter le mail de 3 manières possibles :

  • DMARC policy none : On vient juste surveiller les résultats mais on ne prend aucune mesure concernant ces mails. Vous les recevrez, mais un message sera envoyé à l’administrateur du domaine expéditeur pour le prévenir que l’alignement n’est pas respecté.
  • DMARC policy quarantine : Tous les mails qui échouent au respect des protections vont se mettre en quarantaine, ils peuvent être traités ultérieurement.
  • DMARC policy reject : Les mails qui ne passent pas les vérifications de la norme vont s’annuler directement pour qu’ils ne soient pas envoyés au destinataire.

Ainsi, la norme DMARC permet de lutter plus efficacement contre le spam et le phishing. Si les renseignements du mail respectent SPF, DKIM et respectent l’alignement, alors il passera la protection DMARC. Cette norme est donc indispensable pour assurer une protection optimisée.

Devensys sera présent au FIC 2019

Devensys sera présent au FIC 2019

Pour sa 11ème édition, le forum international de la cybersécurité voit les choses en grand. Le FIC a lieu les 22 et 23 janvier 2019 au grand palais de Lille. En 2018, c’est 80 pays représentés et plus de 8500 personnes qui y ont assisté. Il s’agit d’une référence dans le domaine de la cyber sécurité en France ainsi qu’au niveau européen.

FIC 2019 forum international de la cybersécurité

« Security and privacy by design », voilà une question et un challenge important, presque imposé avec le RGPD. En effet, ce concept a pour objectif de garantir la protection de la vie privée de l’utilisateur. Et ce, dès la conception d’une nouvelle application technologique et commerciale.

Entre séances plénières, ateliers, conférences partenaires, démonstrations techniques, FIC talks et master classes, c’est plus de 100 interventions qui vont avoir lieu cette année. De plus, 15 000m² de salon sont réservés pour plus de 350 intervenants et 380 exposants. Nouveauté 2019 : un forum de recrutement va s’installer. Destiné aux profils cybersécurité, techniques et non techniques, c’est déjà 80 postes qui sont à pourvoir lors de l’événement. 20 entreprises et écoles seront présentes avec plus de 40 recruteurs. Voilà une opportunité pour les entreprises de dénicher de nouveaux profils. Afin de répondre aux problématiques du « by design », elles peuvent ainsi se positionner et trouver de nouveaux talents en ce sens.

Notre CEO et l’un d’un nos experts cybersécurité, seront sur place. Amis ou partenaires, si vous nous croisez durant l’événement, n’hésitez pas à venir discuter autour d’un café.

Les méthodes pour améliorer la sécurité des emails

Les méthodes pour améliorer votre sécurité email.

Vous avez manqué notre intervention à Cap Oméga Montpellier sur la sécurité des emails ? On vous met le lien de la vidéo pour une session de rattrapage. 

Jeudi 13 décembre 2018, nous avons pu intervenir dans les locaux de Cap Oméga Montpellier grâce à Frenchsouth.digital, sur le sujet de la sécurité des emails. Nous remercions les personnes qui ont pu être présentes ainsi que nos partenaires Frenchsouth.digital et Compufirst. Notre intervenant Alexandre Marguerite, Directeur Technique et Associé chez Devensys, a pu parler de la sécurité email en général et notamment du phishing, usurpation d’identité, ransomware.

Aujourd’hui le mail est devenu l’un des moyens digitaux les plus utilisés par les hackers. En pleine évolution, les sociétés doivent faire face à ces menaces pour éviter de se faire extorquer des données ou de l’argent. Alors comment  peut-on travailler sur la sécurité de ses emails ? Comment améliorer la sécurité et donc, quelles sont les nouvelles méthodes que nous pouvons mettre en place aujourd’hui ?

Retour en chiffres sur la cybersécurité email

Dans un premier temps, faisons un rappel des chiffres concernant la sécurité des emails. Grâce aux rapports constructeurs et éditeurs, tels que Cisco ou ProofPoint, nous avons pu établir un constat : La sécurité des emails est aujourd’hui indispensable. D’après le rapport de sécurité de Cisco, 70% des entreprises dites « midmarket » qui ont subi une intrusion, déclarent une perte de plus de 100K€. 20% d’entre elles déclarent des coûts de plus d’un million d’€. Certaines attaques peuvent également infecter les infrastructures et se propager dans les systèmes, ce qui peut causer des dommages irréversibles.

D’après le rapport de Proofpoint, les nouvelles attaques sont maintenant extrêmement ciblées (Malware, phishing d’identifiant de connexion…) et représentent 60% des attaques au troisième trimestre 2018. C’est à dire que les hackers prennent maintenant davantage de temps à rédiger des mails de manière à éviter les fautes, à rajouter les logos adéquats etc. pour permettre de tromper davantage les destinataires. Ils sont choisis avec soin. Ce sont les dirigeants, les cadres, les employés… qui subissent de plus en plus d’attaques. 85% d’augmentation de fraude par email par rapport au même trimestre de l’année 2017.

Des attaques qui touchent le sommet de l’entreprise

L’email n’est pas le seul outil utilisé pour favoriser le bon déroulement de la fraude. Les hackers mettent en place des stratégies avec des standards téléphoniques en incitant les destinataires à l’action. Par exemple, vous recevez un mail d’un livreur qui vous dit que votre colis est bloqué. On vous donne un numéro pour le débloquer. C’est un hacker ou un complice qui vous répondra. Il va, comme dans un service SAV basique, vous aider à débloquer votre colis en vous faisant télécharger des documents etc. Mais ils seront infectés.
En règle générale, vous ne cliqueriez pas sur ces documents, ils sont trop suspects. Mais si vous êtes en confiance avec une personne que vous croyez être un technicien, vous pouvez vous faire facilement avoir.

Les attaques à la mode sont les arnaques au président qui représentent, sur le marché américain, plus 2.3 milliards de dollars. En France, c’est 2300 plaintes déposées en 5 ans. Dernier exemple de fraude en date, le groupe Pathé qui a perdu 19 millions d’€ suite à une attaque d’un groupe de hackers qui se sont fait passer pour des dirigeants.

Les faiblesses du système email et l’usurpation simple

Petit retour en arrière, à la création du mail. Il faut savoir que le mail a pris forme en 1965 et qu’il s’est démocratisé en 1970 sur l’internet de l’époque, ARPANET.  Le protocole SMTP a quant à lui été créé en 1982 et il est toujours d’actualité. Difficile de se dire qu’avec la vitesse de développement d’internet, nous utilisons toujours les mêmes protocoles. Aujourd’hui c’est 44,45 milliards de mails légitimes par mois et 257 milliards illégitimes (Chiffres de Novembre 2018). Autant dire que la protection email devient une obligation.

Infographie sur les faiblesses du système email et l’usurpation simple. Protocole SMTP. Nombre de mails légitimes et illégitimes

Comment fonctionne le mail ? Et bien de la même manière que vous allez à la poste. Prenez une enveloppe, écrivez le destinataire, retournez là pour inscrire vos coordonnées. Mais qui vérifie votre identité et le contenu de votre message ? Personne, puisque c’est écrit dessus.  La problématique qui se pose est donc celle de la vérification d’identité de l’expéditeur. C’est ce qu’il se passe quand vous recevez un mail malveillant puisque à la base il n’existe aucun système de vérification entre un vrai ou un faux expéditeur.

Comment différencier un mail légitime d’un mail illégitime en sachant que je n’ai aucun moyen de le vérifier techniquement ?

En effet, le protocole STMP n’a pas été pensé pour être sécurisé, il présente donc certaines faiblesses. Chacun peut forger ses emails, on pourrait très bien dire que je suis Mark Zukerberg et que j’envoie un message depuis mon adresse Facebook. Il ne vous permet pas d’être certain que l’émetteur du message est bien celui que vous pensez. Vous ne pouvez pas différencier une usurpation d’un mail légitime.  

Il faut procéder d’une manière différente pour les repérer. Au niveau des anti-spams, on passe par les mots clés pour bloquer des mails. On peut aussi vérifier les liens à l’intérieur, ont-ils l’air fiables ou non. La provenance du mail est aussi un indicateur de sa légitimité. S’il vient d’un serveur envoyant d’habitude des malwares, on peut le bloquer.

Mais si on s’arrête là, l’arnaque au président reste tout à fait possible. La provenance reste connue, les liens vérifiés, aucun mot clé détecté. Il faut aller au-delà de ces protocoles basiques de sécurité. Il faut identifier toute menace sérieuse. Pouvoir se rendre compte qu’une personne de l’entreprise est en train de se faire usurper son identité.

L’identification des emails SPF et DKIM

Le protocole SPF

L’identification des emails SPF et DKIM : schéma du protocole SPF.

Tout d’abord, et cela reste tout le problème, ces deux protocoles sont optionnels. Pourtant, ils permettent de sécuriser d’avantage les envois et les réceptions de mail. Prenons le SPF : pour éviter que le  mail soit envoyé depuis n’importe où dans le monde, en se faisant passer pour un dirigeant par exemple, il permet de limiter les envois à des serveurs et des adresses IP préalablement définies. Ainsi, le mail envoyé aura l’adresse IP de son serveur affiché, qui sera vérifiée par le protocole SPF. Si elle correspond bien au serveur, le mail est légitime, sinon il est qualifié de spam. 

Pour que cela fonctionne, l’administrateur doit indiquer au serveur DNS le paramétrage du protocole SPF. Cependant, de plus en plus de structures sont aujourd’hui mutualisées. Plusieurs personnes peuvent donc être sur la même IP, on ne peut alors peut-être pas tout vérifier.

Le protocole DKIM

C’est pour cela que le protocole DKIM a été également conçu, il offre un autre niveau de sécurité. Il s’agit tout simplement de cryptographie, à savoir une signature numérique qui va être mise sur votre DNS. C’est une clé privée, connue uniquement de votre serveur. Si une fois que vous recevez le mail il n’est pas reconnu avec la bonne clé, alors le mail ne sera pas considéré comme légitime. En comparaison, il s’agirait du tampon que l’on mettrait sur une lettre, permettant d’identifier sa provenance et sa légitimité.

En résumé, votre serveur informatique peut posséder soit le protocole SPF, soit DKIM, ou alors les deux. Il faudra que le mail arrive depuis la bonne adresse IP ainsi que du bon serveur avec la bonne clé. Identifier la vraie identité d’une personne devient alors plus facile, rendant votre boîte mail plus fiable.

L’usurpation v2 pour contourner ces protections

L’usurpation v2 pour contourner les protections SPF et DKIM. Explication de l’usurpation du « mailfrom »

Cela peut paraître logique, mais à chaque protection qui vient s’ajouter, les hackers cherchent de nouvelles manières de contourner ces sécurités. Ils ont alors développé de nouveaux moyens. Reprenons l’exemple de la poste. Vous prenez votre courrier et vous l’envoyez en disant qui vous êtes et d’où vous l’envoyez. Vous avez donc votre lettre originale, mais une autre lettre vient la recouvrir en disant que vous êtes quelqu’un d’autre. C’est la même chose pour les mails, ils contournent ce problème en respectant les protocoles SPF et DKIM. Cependant ils écrivent clairement qu’ils ne sont pas ce qu’ils prétendent être.

Les deux protocoles étant respectés, le mail peut s’envoyer sans problème. Le mail envoyé dira donc, pour schématiser : « Je suis le hacker » et le contenu de mon courrier dira « Je suis votre entreprise ». L’anti-spam va considérer que vous êtes bien l’entreprise. Il va vérifier le mail en disant « vous êtes le hacker, possédez-vous le protocole SPF et DKIM ? ». Vous recevrez donc un contenu considéré comme légitime alors qu’il s’agit de spam ou d’arnaque.

Aujourd’hui avec le SPF et DKIM vous pouvez donc toujours vous faire spam votre boîte mail, le hacker peut toujours se faire passer pour votre directeur. Votre anti-spam ne le détectera pas et au contraire considérera votre mail comme de qualité, en recevant une bonne note, car il respecte les protocoles à la lettre, là où un mail de spam classique sera mal noté car il ne les respectera pas.

Le DMARC : Renforcer la protection contre les usurpations

Le mail n’ayant eu aucune protection lors de sa création, le protocole SPF et DKIM ont été créés. Lorsqu’ils se sont rendus compte qu’il y avait moyen de les contourner, une nouvelle norme, le DMARC (domain-based message authentication reporting and conformance), a été développé afin de « patcher » les failles des protocoles précédents. Il va s’occuper de vérifier si les contenus du « mailfrom » et du «from» sont alignés. Cela correspond à l’enveloppe et au contenu. Si les deux contenus n’ont rien à voir, alors c’est qu’il y a un problème. Il va regarder si le SPF et le DKIM sont présents dans ces deux contenus, et non pas dans un seul. A l’origine, cette vérification supplémentaire n’était pas réalisée et seul le mailfrom était inspecté. Le DMARC offre donc un niveau de protection optimal à l’utilisateur. Il vient renforcer les deux protocoles précédents.

Depuis que les entreprises commencent à utiliser cette nouvelle norme, l’usurpation des domaines de messagerie a chuté de 18%, on se rend compte que ça fonctionne. Il vient bien vérifier que celui qui a été écrit le mail est bel et bien la bonne personne, ne laissant aucune fraude possible. Le DMARC permet d’appliquer un traitement personnalisé aux mails non conformes. On peut ainsi choisir de placer ces mails frauduleux en quarantaine ou bien de les supprimer directement.

La visibilité contre les attaques sur le domaine de messagerie

Un des aspects qui apparaît avec le DMARC, c’est la visibilité.

Avec le SPF et le DKIM, si jamais votre identité se fait usurper, si jamais il y a une fraude, vous ne pourrez pas communiquer pour la simple et bonne raison que vous ne le saurez pas. Il ne sera pas possible de prévenir que l’entreprise subit une tentative de fraude, car l’anti-spam va supprimer les messages automatiquement, donc il ne sera pas possible de le savoir, de prévenir qu’une campagne de phishing est en cours, etc. Cela peut vite nuire à l’image, les clients de l’entreprise pourraient être touchés sans être informés de la fraude.

Le DMARC vient remédier à ce problème, car la fraude peut être décelée plus facilement. vous pouvez ainsi communiquer directement que des tentatives d’usurpation sont en cours. Vous pourrez renforcer votre protection, prévenir les clients et les autres entreprises qu’il y a un problème. Vous ne pourrez peut-être pas tout faire, mais au moins l’information circule.

Emails Gone Wild : Comment reprendre le contrôle sur les flux emails

La norme DMARC est très pratique pour reprendre le contrôle de ses mails. Sans les normes, certains mails peuvent partir un peu n’importe comment et n’importe où. C’est notamment le cas des grandes entreprises avec beaucoup de services différents, qui vieillissent, avec les équipements et les méthodes de travail qui nécessiteraient une mise à jour. Autant de situations dans lesquelles on ne sait pas d’où vont partir les mails. On aimerait recentrer leurs envois depuis un même serveur, qui vérifie les identités de tout le monde et qui fait la mise en conformité.

Mais il faut d’abord identifier où se trouvent ces mails, car si l’on commence à appliquer des normes en disant qu’on bloque tout car c’est de l’usurpation mais qu’en fait, aucun mail n’est bien identifié, alors on peut avoir des soucis et potentiellement refuser des mails légitimes, voir les perdre. D’un autre côté, sans la norme DMARC on peut usurper tout un tas de mail, il faut donc pouvoir revoir tout son système d’envoi.

Définir ses stratégies d’envois de mail

Grâce à la visibilité qu’apporte le DMARC, on va pouvoir retracer d’où partent nos mails pour à terme optimiser tout notre service. Etant donné qu’il n’y avait aucune règle à l’envoie de mail lors de leur création, des grandes entreprises ont créés plusieurs services, chacun avec leur politique d’envoie etc… Autant de choses à corriger et que cette norme aide à réaliser.

Avoir une stratégie d’envoi est aujourd’hui essentiel. Il faut un domaine de messagerie principal qui concerne les humains employés de votre entreprise, auquel on applique un niveau de sécurité maximal, on ne veut pas que cela puisse se faire usurper. Et à côté de ça, on peut avoir un ou plusieurs domaines annexes qui vont servir pour le côté des machines : les transactions, les confirmations de commande, les mails de marketing, le scan to mail, les devis etc.  Ces domaines ne doivent pas pouvoir usurper les identités des employés. C’est comme cela que fonctionnent beaucoup de grandes entreprises à l’heure actuelle. Les bonnes pratiques d’envoi  d’il y a 10ans ne sont plus les mêmes qu’aujourd’hui.

Bonnes pratiques sur la configuration antispam

Penser à configurer son propre anti-spam est une bonne pratique à avoir. Il serait dommage que vous en receviez car votre DMARC n’a pas été configuré ou que vous n’en ayez pas, alors que vos entreprises partenaires ont configuré le leur, mais que vous receviez quand même des spams potentiels car vous n’êtes pas aux normes. Par exemple, nous avons reçu des mails illégitimes de la banque populaire : cela ne serait pas arrivé si leur protection était efficace. En tant que client, nous recevons des spams car eux ne sont pas bien protégés.

Pour résumé, pour se mettre en conformité et améliorer la sécurité de ses mails, voici les étapes à suivre :

  • Mettre en place un protocole DKIM : il ne va rien bloquer, ne présente que des avantages.
  • On met un DMARC policy none : c’est-à-dire que tous les mails n’ayant pas de DKIM sont alertés, mais ils ne seront pas supprimés pour autant. Cela permet d’identifier tous les mails n’ayant pas encore de DKIM, de les localiser pour ensuite les traiter.
  • Lorsque on a identifié d’où partent tous nos mails, on peut mettre le protocole SPF. On va bloquer des IP, et si l’on n’est pas déclaré on va prendre un malus anti-spam. Il faut être sûr de soi et savoir qui peut envoyer des mails et d’où. On le fait en deux étapes : le soft fail, on déclare au protocole que normalement les IP sont bonnes, mais qu’il peut y en avoir d’autres. Au pire, le mail est mis en quarantaine utilisateur.
  • Lorsque on est sûr des IP à utiliser, notamment grâce au DMARC, alors on passe en protocole SPF hard fail. Si l’adresse IP n’est pas reconnue, alors le mail est automatiquement supprimé.
  • On peut ainsi naturellement passer en DMARC policy quarantaine. Cette fois les mails étrangers ne seront plus notifiés mais resteront récupérables.
  • Une fois que le taux de mails en quarantaine est conforme avec nos attentes, on applique la norme DMARC policy reject. Ainsi tous les mails légitimes arriveront bien dans ma boîte de réception. Tout ce qui reste est obligatoirement du spam donc ils peuvent être supprimés.

Une fois cette protection mise en place, la sécurité mail de l’entreprise est optimale. Vous êtes protégés et protégez également vos différents partenaires. Si on tente d’usurper votre domaine, tous seront au courant.

WIFI : Vers une simplification des noms de réseaux 802.11

Le WIFI 4,5 et 6 pour simplifier les noms de réseaux 802.11. C’est ce que nous allons abordé dans cet article. WIFI Alliance veut rendre la reconnaissance et la compréhension plus facile. Le WIFI 6 est le nom de la prochaine génération de réseaux WIFI qui succède au 802.11a,  802.11b, 802.11g, 802.11n et 802.11ac. Cette norme sera également connue sous le nom de 802.11ax. Désormais les noms seront simplifiés, les 802.11 seront remplacé par le WIFI et le numéro de la génération.

L’objectif de ce changement est une compréhension simplifié pour les techniciens afin qu’ils ne soient pas obligé de se transformer en ingénieur à chaque intervention. Oui car même si les ingénieur ont quelque chose de répréhensible, même les techniciens peuvent avoir du mal à se rappeler que IEEE 802.11 signifie réseaux sans fil, IEEE 1394 régit les connexions de données FireWire et IEEE 802.3 concerne les connexions réseaux Ethernet.

Le WIFI 6

Le WIFI 6 est techniquement basé sur le standard IEEE 802.11ax décrit officiellement depuis le début de 2018. Il permet des connexions intelligentes qui s’adaptent à leur environnement. Le WIFI 6 fait également grimper les débits : un test du 802.11ax par Huawei avait montré des débits possibles atteignant jusqu’à 10 Gbit/s en condition de laboratoire. Cette nouvelle norme est en fait une évolution du WIFI 5 / 802.11ac qui s’inspire des réseaux 4G pour fonctionner enfin correctement dans les lieux très fréquentés. Ainsi le WIFI 6 permet :

  • Des débits plus rapides que le WIFI 5 / 802.11ac (qui permet jusqu’à 910 Mbit/s)
  • Plus de connexions simultanées (jusqu’à 74 sur une seule plage de fréquence de 160 kHz)
  • De meilleures performances dans les lieux où les réseaux WIFI sont fortement utilisés
  • Une meilleure efficience énergétique

Les changements pour 2019

Si le WIFI 6 à déjà bien simplifié la connexion de nombreux utilisateurs dans les lieux publics, un vrai casse-tête depuis plusieurs années, les nouvelles normes devraient davantage améliorer les débit de couvertures réseau. Notamment chez les particuliers, ciblant les appartements où les bandes de fréquences sont souvent saturées.
Le WIFI Alliance change complètement la convention de nommage des différentes technologies. Ainsi les nomenclatures IEEE 802.11 disparaissent, et des noms plus simples sont associés à chaque génération :

  • 802.11a devient WIFI 1
  • 802.11b devient WIFI 2
  • 802.11g devient WIFI 3
  • 802.11n devient WIFI 4
  • 802.11ac devient WIFI 5
  • 802.11ax devient WIFI 6

SSO : Single Sign On qu’est ce que c’est ?

Le SSO, pour Single Sign-On, désigne un système d’authentification permettant à un utilisateur d’accéder à de nombreuses applications sans avoir à multiplier les authentifications. L’utilisateur renseigne un mot de passe en début de session et peut ensuite accéder à de nombreuses applications informatiques sans être contraint de devoir s’authentifier sur chacune d’entre elles. D’où l’expression anglaise « single sign-on », qui veut bien dire qu’il n’y a qu’une seule (« single ») connexion (« sign-on »).
Le SSO simplifie donc grandement, la gestion de ses mots de passe. Utilisant souvent des cookies pour reconnaître les utilisateurs, c’est un annuaire qui envoie directement à une application donnée le mot de passe nécessaire. L’utilisateur n’est donc plus obligé d’intervenir sur chaque application différentes. La solution d’identifiant ou de signature unique élimine tout besoin pour les utilisateurs de se souvenir de plusieurs processus de connexion, de plusieurs identifiants ou mots de passe. En regroupant l’ensemble des mots de passe sur une seule et unique authentification, le SSO augmente en revanche l’importance et le volume des données pouvant être volées en cas de piratage du mot de passe d’authentification. Des entreprises comme Evidian, Synetis ou Enovacom proposent des solutions de type SSO.

comprendre le SSO schéma
comprendre le SSO schéma

Les trois raisons pour une entreprise d’investir dans un système d’authentification unique

Augmenter la sécurité et obéir aux contraintes réglementaires

En mettant un point de passage obligé entre un utilisateur et ses applications, une organisation peut contrôler les accès de manière efficace. De plus, ces accès et les opérations d’administration sont historisées, ce qui facilite les audits. Des rapports périodiques peuvent être mis à disposition des utilisateurs et responsables de la sécurité. Tout cela facilite la conformité à des exigences de confidentialité, d’intégrité et de disponibilité.

Réduire les coûts de fonctionnement de l’informatique

En multipliant les mots de passe, souvent pour d’excellentes raisons, la productivité de l’utilisateur baisse et la qualité du travail s’en ressent. Mais ces « coûts cachés » ont aussi une face visible : jusqu’à 30% des appels au help desk résultent de mots de passe perdus. Cette charge sera considérablement allégée par un système d’authentification unique, avec un retour sur investissement facile à estimer. D’autres études montrent que la mise en place d’un SSO permet de gagner jusqu’à 24 heures de travail par an et par utilisateur temps plein.

Ouvrir sans risque l’informatique au monde extérieur

Cette demande est de plus en plus fréquente : l’accès au Web est devenu aisé, mais les employés continuent à avoir des difficultés à accéder de l’extérieur aux applications intranet. Médecins qui doivent consulter des dossiers médicaux, ingénieurs sur un chantier, commerciaux dans leurs hôtels, banques qui pour plusieurs activités ont l’obligation de continuité d’activité : un système d’authentification unique permet un accès transparent et sécurisé aux applications Web et serveurs de présentation, même de l’extérieur.

Pour rentrer davantage dans les détails, vous pouvez lire notre article sur Kerberos

Article écrit par Devensys.
sources :
– Evidian – Qu’est ce que l’authentification unique (SSO) ?
Journal du net – SSO (Single Sign-On) : définition, traduction et acteurs

Rogue Access Point : Une menace de sécurité

Rogue Access point

Pour les responsables informatiques d’aujourd’hui, un des problèmes de sécurité les plus critiques est la gestion du contrôle d’accès au réseau de l’entreprise, et d’autant plus lorsqu’il s’agit de connexions sans fil. En effet, le problème majeur avec le Wi-Fi est qu’il n’est plus nécessaire d’être branché physiquement dans les locaux de l’entreprise, car le simple fait d’être à portée d’un point d’accès sans fil permet de s’y connecter. Les ondes quant à elles ne s’arrêtent évidemment pas aux portes de l’entreprise, en somme, c’est comme si la prise Ethernet à laquelle on se connecte pour avoir accès au réseau était partout!

Une potentielle faille de sécurité est alors possible si une personne venait à brancher sa propre borne Wi-Fi sur le réseau de l’entreprise. C’est ce que l’on appellera une «  Rogue Access Point  » !

cadenas bleu cybersécurité

Une Rogue Access Point est tout simplement un point d’accès sans fil non autorisé par l’entreprise. Le problème est que les points d’accès non autorisés ne sont pas conformes aux politiques de sécurité sans fil de l’entreprise, ce qui présente une ouverture pour les attaquants directement depuis l’extérieur de l’établissement.

L’origine de la menace

Les employés ont un accès relativement libre aux locaux de l’entreprise ce qui rend possible l’installation, à des fins malveillantes ou non, de Rogue Access Point.

Par exemple, un employé amène sa tablette, son smartphone ou encore son ordinateur personnel dans l’entreprise. La politique de sécurité de l’entreprise l’empêche de se connecter au réseau. Il va donc acheter une borne Wi-Fi à la première grande surface du coin et va la brancher sans en avoir parlé aux personnes en charge l’IT. En bref, c’est une personne qui n’est peut-être pas sensibilisée à la sécurité informatique. Pour l’employé c’est un acte banal et sans risque qui lui permettra de connecter sa tablette.

Un autre exemple. L’employé n’est plus en bon terme avec l’entreprise (augmentation refusée, licenciement, etc.) et souhaite se laisser un accès depuis l’extérieur, il va placer une borne Wi-Fi dans un coin discret de l’entreprise, où personne n’aura l’idée d’aller chercher. Puis, il pourra depuis l’extérieur se connecter avec n’importe quel appareil qui embarque une antenne Wi-Fi et mener diverses actions malveillantes : vol de données client, vol de documents, suppression de fichiers, etc.

Solutions ?

Pour éviter ce genre de situations, il faut tout d’abord implémenter une politique de sécurité qui requiert une mise en conformité de la part des utilisateurs envers le personnel de l’IT avant installation de quelconques matériels. Il faut évidemment s’assurer de la prise de connaissance de cette dernière par les employés.

Ensuite, il faut sensibiliser le personnel à la sécurité. Que tous signes ou comportement douteux soient signalés.

Enfin, des solutions de détections de Rogue Access Point peuvent être mises en place. Ces solutions dépendent directement de la topologie réseau qui est mise en place pour gérer l’infrastructure Wi-Fi.

Conclusion

Vous l’avez compris, dans la plupart des cas l’installation de Rogue Access Point ne sera pas volontaire, mais le résultat reste le même : L’Access point qui sera ajouté au réseau ne se conformera pas à la politique de sécurité de l’entreprise et le réseau devient alors vulnérable aux attaquants.

Comment la technologie WildFire a permis de détecter la menace d’un CV malveillant transmis par e-mail ?

Comment la technologie WildFire a permis de détecter la menace d’un CV malveillant transmis par e-mail ?

Le service d’analyseWildFire est un moteur d’analyse heuristique de prévention des exploits et des logiciels malveillants inconnus. Le service est généralement basé sur le cloud (disponible via un cloud américain ou européen au choix ) mais également disponible en version on premise. WildFire utilise une approche multi-technique unique combinant une analyse dynamique et statique, pour détecter et prévenir même les menaces les plus évasives.

Cette technologie est une option disponible pour les pare feux Paloalto et pour l’antivirus de Paloalto « TRAPS ».

Concrètement comment ça marche ?

—> Un fichier malveillant est transmits par mail en pièce jointe.

Le pare-feu envoie automatiquement  tous les fichiers inconnus (dont le hash n’existe pas en base ) à WildFire pour analyse au moment où il pénètre dans le réseau.

WildFire récupère le fichier transmis :

Dans un premier temps, WildFire effectue une analyse statique :

WildFire détecte deux éléments suspicieux :  

-Le document contient une macro* :

*Une macro est un script exécuté dans le document contenant. Les macros sont généralement écrites en VBA (Visual Basic for Applications) et souvent utilisées dans des documents Microsoft Word et des feuilles de calcul Microsoft Excel. Les macros sont un vecteur commun pour exploiter les vulnérabilités dans les applications Microsoft Office.

-Le document contient un fichier intégré* :

*Les images, les documents, les supports Flash et d’autres fichiers peuvent être incorporés dans des documents CDF pour l’affichage et la lecture en ligne. Les fichiers intégrés de cette manière sont un vecteur commun pour exploiter les vulnérabilités dans les applications Microsoft Office et les plug-ins d’applications.

Cette première analyse statique permet de déterminer si une analyse dynamique est nécessaire. Ici le fichier contient des macros la seconde analyse est donc nécéssaire.

Dans un second temps WildFire effectue une analyse dynamique :  

L’analyse dynamique observe le fichier en l’exécutant dans un environnement virtuel situé dans le cloud ou sur l’appliance WildFire selon l’option choisie. Cet environnement est résistant à l’évasion personnalisée, il permet la détection de logiciels malveillants et d’exploits,  en utilisant des centaines de caractéristiques comportementales.

Cette analyse s’effectue sur deux machines virtuelles configurées de différentes manières.

Lors de cette analyse, WildFire procède à une analyse comportementale du fichier et liste toutes ses actions tout en évaluant leur gravité.

Ici on peut voir entre autres que le fichier télécharge un exécutable avec une mauvaise extension, se connecte à une IP déjà répertoriée par Paloalto comme malicieuse, modifie le fichier de démarrage automatique du système.

WildFire liste aussi toute l’activité réseau instancié par le fichier requêtes DNS , HTTP et les adresses IP vers lesquelles le fichier tente de se connecter.

Enfin WildFire récapitule les activités de l’hôte par processus : 

Un tableau détaille aussi chaque :

–   Activité de fichier

–   Activité  sur le registre

–   Création de mutex

A la fin de ces analyses WildFire établit un verdict  :

C’est un malware. L’administrateur reçoit donc une alerte concernant le fichier qui vient d’être téléchargé. L’administrateur peut accéder au récapitulatif du test via son espace personnel.

De surcroit dans les 1min, le hash du fichier et toutes les IP malveillantes vont être ajoutés à la base antivirale WildFire. Ce qui permet de protéger tous les autres utilisateurs de WildFire qui recevraient eux aussi ce fichier.

Le  cas des menaces évasives déployant des systèmes d’analyse anti machine virtuelle est traité, par un système envoyant automatiquement le fichier à un environnement matériel réel pour la l’analyse dynamique. Eliminant entièrement la capacité du malware à déployer des techniques de détection de honeypot (exécution dans une machine virtuelle par exemple).

Apple OS X, le Fruit défendu l’est-il vraiment ?

Assis à mon bureau, tout en écrivant cet article, je contemple mon MacBook pro flambant neuf, il faut dire que la marque à la pomme mérite l’admiration. Les chiffres montrent une claire évolution de ses parts de marché et doucement, mais surement, Apple vient imposer son système d’exploitation: OS X. Les raisons de cette évolution sont claires, les Mac sont conçus pour la performance et la facilité d’utilisation. Gagnant tranquillement du terrain au fil des années, les utilisateurs commencent à tourner le dos au système de Microsoft pour OS X.

Mais un grand pouvoir implique de grandes responsabilités, les utilisateurs attendent de leur nouvel OS une sécurité à toute épreuve et le mythe de l’inviolabilité du système persiste. On entend encore souvent dans les Apple Stores: « Il n’y a pas de virus sur Mac », un argument de vente à toute épreuve pour un profane. Pourtant, par rapport à ses concurrents, Apple a encore beaucoup à apprendre en terme de sécurité.

Cet article n’a pas pour objectif de vous montrer les arcanes d’OS X, mais plutôt de vous donner quelques outils pour mieux comprendre et sécuriser votre machine. Il est maintenant temps de prendre le contrôle afin que les vendeurs de la pomme ne vous prennent plus pour des poires.

Apple, la dure Realité

Ce n’est pas un secret, plus la cible est large, plus la menace est grande, et plus vous risquez, un jour, de subir une attaque. Apple ne déroge pas à la règle et possède également son lot[2] de vulnérabilités[3]. La venue du fameux malware « Flashback »[1], qui a infecté plus de 600.000 machines en 2012 a permis à Apple de se réveiller et de remettre les pendules à l’heure. Mais les vers contenus dans la pomme sont de plus en plus nombreux.

Il est vrai qu’à l’époque où Apple et PowerPC marchaient main dans la main, les auteurs de malware avaient tendance à se tourner vers celui qui avait la plus grosse part du gâteau: Microsoft Windows, il y avait bien plus à gagner. Cependant, l’arrivée d’Intel au rayon fruits et légumes a changé la donne, porter du code malveillant vers une architecture maintenant similaire à celle de Windows était devenu plus facile.

Pendant longtemps, Apple a eu du mal à traiter et corriger et les problématiques de sécurité. De plus, avec le manque de communication sur ces problématiques, les utilisateurs de Mac ne se souciaient guère de la sécurité de leurs machines, pensant (à tort) être totalement protégé et invulnérable. Ils sont pourtant des cibles faciles, inconscient du danger et des menaces auquel ils sont exposés.

Mais ne nous méprenons pas, l’époque semble révolue et Apple a fait des efforts considérables. OS X est un très bon OS, intégrant aujourd’hui de nombreuses fonctionnalités de protection[5], malheureusement désactivée par défaut. Nous allons donc exposés quelques une d’entre elles dans les paragraphes suivants afin de consolidés votre système et surtout, de vous offrir une prise de conscience.

Protéger le Fruit défendu

Au rayon fruits et légumes, nous trouvons en ce moment « Yosemite » (et bientot « El Capitan »), le système d’exploitation dernier cri de notre agriculteur préféré. Il est courant de retrouver des configurations de sécurité laxistes sur les installations toutes fraiches des OS, et OSX en fait partie. Passons donc en revue les quelques options qui pourraient, un jour, sauver vos données.

Paramètre de Sécurité

Si l’on regarde du côté des préférences systèmes, nous retrouvons une icône portant bien son nom:  »Security & Privacy ». Ce menu offre l’accès à de nombreux paramètres concernant la sécurité de la machine.

Menu Apple (en haut à gauche de l’écran) > System Preferences > Security & Privacy.

Nous retrouvons d’ailleurs ici quelques options intéressantes, telle que la demande de mot de passe après la mise en veille ou la sortie de l’écran de veille. Il est d’ailleurs recommandé de demander un mot de passe immédiatement lors de la sortie du mode veille, ainsi que de désactiver l’authentification automatique. Nous y retrouvons aussi la possibilité de restreindre l’exécution des applications téléchargées, gérées par Gatekeeper. Gatekeeper assure que vous n’installez pas de logiciels malveillants lorsque vous téléchargez des applications sur votre Mac en empêchant l’installation d’outils conçus par des développeurs inconnus.

Il y a ici trois options de sécurité. Vous pouvez télécharger et installer des apps provenant de partout sur Internet, choisir exclusivement celles provenant de l’App Store ou utiliser l’option par défaut, qui vous permet d’installer les applications du Mac App Store et de développeurs identifiés. Lorsqu’une application ne porte pas de signature numérique, Gatekeeper empêche son installation et vous informe qu’elle ne provient pas d’un développeur approuvé. Néanmoins, si vous êtes certain que celle-ci est fiable, vous pouvez manuellement passer outre Gatekeeper en faisant un Contrôle + clic sur l’app et en choisissant de l’ouvrir.

Le bouton « Advanced », quant à lui, offre la possibilité d’effectuer une demande de mot de passe à chaque fois que l’on tente de modifier des paramètres systèmes. Une fois encore, il ne sera pas de trop de cocher cette case.

FileVault

FileVault est la solution offerte par Apple pour chiffrer vos données. Utilisant l’algorithme AES-XTS 128[6], l’outil permet de chiffrer l’intégralité du disque dur de manière simple et rapide. Le chiffrement et le déchiffrement sont effectués à la volée lors de l’utilisation du système.

Menu Apple > System Preferences > Security & Privacy, puis cliquer sur FileVault.

Lors de l’activation de FileVault, vous pouvez choisir d’utiliser votre compte iCloud ou de créer une clé de récupération pour débloquer le disque en cas de perte du mot de passe.

FileVault peut également chiffrer des disques amovibles, afin de sécuriser vos sauvegardes Time Machine et autres disques externes.

Il est vrai qu’il existe un impact sur les performances de la machine, mais il reste minime et invisible aux yeux de l’utilisateur. Les processeurs modernes inclus maintenant dans leur jeu d’instruction des fonctionnalités permettant de traiter AES avec facilité et rapidité [4].

Firewall

Apple OS X vient avec un firewall applicatif basé sur pf[] (Apple a remplacé le firewall ipfw de FreeBSD par pf d’OpenBSD depuis la version 10.7 du système). Par défaut il est désactivé, mais il suffit de cliquer sur Turn On pour l’activer.

Menu Apple > System Preferences > Security & Privacy, puis cliquer sur Firewall.

Les options du firewall permettent d’autoriser ou de bloquer certaines applications dépendamment de vos besoins. Ici, tout est bloqué, sauf les services réseau de base (DHCP, Bonjour et IPSec), qui représentent tout de même des portes d’entrée sur le système.

Sauvegarde

Autre option intéressante, le système de sauvegarde Time Machine. Il est fortement conseiller de vous offrir un petit disque dur externe pour sauvegarder vos données, il serait malencontreux que votre ordinateur rende l’âme, emportant dans sa tombe les photos de vacances des 5 dernières années et votre superbe collection de musique.

Menu Apple > System Preferences > Time Machine.

Time Machine, offre la possibilité de chiffrer vos données sauvegardées via FileVault, pensez à l’activer.

Autres Détails

La section Privacy du menu de sécurité offre un bon nombre d’options permettant de garder vos informations confidentielles. Nous y retrouvons notamment les services de Géolocalisation, contenant les applications capables de vous localiser ou encore la section accessibilité, montrant les applications autorisées à effectuer des actions privilégiées sur votre Mac. Il est conseillé de configurer ces options en fonction de vos besoins et de vous assurer qu’aucune application téléchargée ne possède plus de droits qu’elle ne le devrait.

Menu Apple > System Preferences > Security & Privacy, puis cliquer sur Privacy.

Enfin, un dernier point concernant les services de partage, que l’on retrouve dans les préférences système.

Menu Apple > System Preferences > Sharing.

Ici, vous pouvez sélectionner ce que votre Mac partage sur le réseau. Vous avez la possibilité de  décocher les services que vous souhaitez désactiver, tout en sachant que l’utilisateur moyen n’a probablement besoin d’aucun d’entre eux.

Conclusion

Nous en avons fini avec ces recommandations. Bien sûr , cela ne rend pas votre machine invulnérable, mais il s’agit là de quelques recommandations rapides à mettre en place, permettant de vous prémunir d’éventuelles menaces en réduisant la surface d’attaque.

Sachez que peu importe votre religion en terme de système d’exploitation, dans le monde de la sécurité, il n’existe pas de solution miracle, l’éducation et la sensibilisation des utilisateurs face aux menaces sont un premier pas vers la protection des données. La connaissance des solutions techniques pour se protéger des attaques vient compléter la formation.

Cependant, dans notre monde connecté, personne n’est à l’abri, tôt ou tard, on se fera toujours avoir…

« The only truly secure system is one that is powered off, cast in a block of concrete and sealed in a lead-lined room with armed guards. » – Gene Spafford

Alexandre CHERON (@axcheron)

Références

[1] http://arstechnica.com/apple/2012/04/flashback-trojan-reportedly-controls-half-a-million-macs-and-counting/
[2] http://arstechnica.com/security/2015/06/serious-os-x-and-ios-flaws-let-hackers-steal-keychain-1password-contents/
[3] http://arstechnica.com/security/2015/01/worlds-first-known-bootkit-for-os-x-can-permanently-backdoor-macs/
[4] https://en.wikipedia.org/wiki/AES_instruction_set
[5] https://www.apple.com/fr/osx/what-is/security/
[6] http://csrc.nist.gov/publications/nistpubs/800-38E/nist-sp-800-38E.pdf

WiFi à la MODE !

Quand le WiFi change la façon de travailler des entreprises

Synonyme de mobilité, le WiFi est finalement parvenu à changer la façon de travailler des entreprises. En effet cette technologie n’a eu aucun mal à se faire une place dans presque toutes les entreprises et on peut le constater car le nombre d’appareils mobiles augmente sans cesse.

Aujourd’hui, les utilisateurs possèdent surtout des PC portables, des smartphones et éventuellement des tablettes. Tous ces équipements requièrent évidement la précieuse connexion Wi-Fi, et si possible partout dans l’entreprise.

Voilà pourquoi la mise en place d’infrastructures WLAN robustes ET contrôlées (Bring Your Own Device) sont de plus en plus demandées par de nombreuses sociétés.

Mais ce n’est pas tout, aujourd’hui on parle même d’une deuxième vague d’appareils connectés qui prennent de plus en plus de place sur le marché puisqu’il s’agit des « Wearable devices » c’est-à-dire tous ces petits « plus » (toujours connectés), que l’on peut apporter à son quotidien comme les bracelets médicaux et autres montres connectées ou encore les fameuses Google Glass (Lunettes Connectées de chez Google). Ce concept porte un nom : « Internet Of Everything »

logo wifi blanc et bleu

Si l’on en croit les chiffres, on passerait de 109 millions d’appareils connectés en 2014 à 578 millions en 2019.

Ces appareils mobiles consommant parfois beaucoup de bande passante, il est important pour les entreprises de faire face à cette montée en charge sous peine de subir un potentiel manque à gagner due à eu une baisse de productivité.

Par exemple, si l’infrastructure n’est pas assez solide pour supporter tous les appareils connectés ce qui conduirait à la mise en place de Rogue Access Point, ou encore si un employé ne peut plus accéder à une ressource à cause d’un problème de droit car sa tablette ne porterait pas le certificat de l’entreprise, etc…

D’ailleurs on peut noter que la vitesse moyenne des connexions pour les appareils mobiles a augmenté de 20% en 2014. Et cela devrait encore s’améliorer grâce aux nouvelles normes 802.11ac qui permettent désormais d’atteindre jusqu’à 1,3 Gbit/s. Et même le 802.11ad (encore à l’état de draft) qui permettrait d’atteindre jusqu’à 7 Gbit/s.

Conclusion

Le WiFi peut apporter une véritable valeur ajoutée dans le monde du travail d’aujourd’hui grâce à son indiscutable flexibilité. Il faut maintenant que les entreprises s’adaptent si ce n’est pas déjà fait en mettant en œuvre les moyens nécessaires pour adresser ce besoin qui de toute évidence est déjà présent.