DNS Flag Day : Are you ready ?

Le DNS n’a de cesse de faire parler de lui ces derniers temps ! Après le premier KSK rollover d’octobre 2018, et la désactivation de l’ancienne clé KSK le 11 janvier dernier, voici venue l’heure du DNS Flag Day !

DNS Flag Day : De quoi s’agit-il ?

Késako me direz-vous ? Le flag day est une expression utilisée en informatique pour signifier la date butoir et/ou un changement radical.

Rappelons-nous que lors de sa création, le poids des menaces cybercriminelles pesant désormais sur l’infrastructure DNS n’existait pas. Si la sécurité était reléguée au second plan, l’évolution des attaques l’ont rendue absolument nécessaire : le DNS se doit d’être renforcé !

C’est dans ce contexte qu’a été créé, en 1999, le standard EDNS (mis à jour en 2013 dans le RFC6891). EDNS a notamment permis la mise en œuvre de DNSSEC, la géolocalisation du DNS et d’autres mesures visant à un renforcement de la sécurité.

Cette transition n’a pas été sans mal. Adoptions du standard EDNS abusives, absences de mises à jour, contournements ont entrainé la création de nombreux patches et adaptations du code des serveurs récursifs (afin notamment de pouvoir différencier les serveurs DNS ne supportant pas correctement EDNS de ceux injoignables pour d’autres motifs).

Deux décennies plus tard, la maintenance de tous ces logiciels patchés est devenue plus que complexe et engendre des bugs pouvant compromettre la sécurité des DNS. Le poids de ces patchs impacte évidemment la rapidité des temps de réponse.

L’heure est donc venue pour ce standard d’être appliqué par tous, sous peine de ne plus pouvoir faire efficacement face aux nouvelles attaques DNS, telles que l’amplification ou encore les attaques layer 7.

C’est pourquoi les grands acteurs informatiques (Google, Cloudflare, Facebook, Cisco…), dont les développeurs des serveurs récursifs, ont décidé d’une seule voix de ne plus supporter les serveurs DNS ne respectant pas le standard EDNS à compter du 1^er février 2019. Le flag day arrive !

Et concrètement ?

A partir du DNS Flag Day, le 1^er février donc, tous les serveurs DNS non compatibles avec le standard EDNS (ou ne fonctionnant pas faute d’un firewall compatible EDNS), ne répondant donc pas à des requêtes EDNS, seront vus comme injoignables ; les contournements et autres patches évoqués allant être supprimés des nouvelles versions des logiciels DNS.

Pour simplifier, non placé sur des DNS compatibles, votre nom de domaine court le risque de ne plus répondre.

Comment anticiper ?

C’est pourquoi il est important de vous assurer que les serveurs DNS hébergeant les zones de vos noms soient compatibles EDNS, notamment si ces derniers ne sont pas placés sur l’infrastructure DNS Nameshield, ou si votre entreprise maintient sa propre infrastructure.

Le site DNS Flag Day permet également de tester la conformité de votre nom : https://dnsflagday.net/

Notre équipe se tient bien sûr à votre disposition pour toute question.

État des lieux de la cybersécurité – Baromètre du CESIN

Etat des lieux de la cybersécurité – Baromètre du CESIN — Source de l’image : TheDigitalArtist via Pixabay

Le CESIN (Club des Experts de la Sécurité de l’Information et du Numérique) vient de publier la quatrième édition de son baromètre annuel réalisée avec OpinionWay auprès de ses 174 membres, à 84% des RSSI (Responsables de la Sécurité des Systèmes d’Information) de grands groupes français. Cette enquête annuelle permet de mieux cerner la perception et la réalité de la cybersécurité et ses enjeux au sein des entreprises membres du CESIN.

Les cyberattaques les plus fréquentes et leurs impacts

Au cours de ces 12 derniers mois, bien que le nombre des attaques tend à se stabiliser, 80% des entreprises interrogées ont été victimes d’au moins une cyberattaque, et les conséquences sur le business (arrêt de la production, site internet indisponible, perte de CA…) sont plus importantes qu’en 2017.

En moyenne, chaque année, les entreprises font face à 5 types de cyberattaque.

Parmi les attaques subies, le phishing est la plus fréquente avec 73% des entreprises qui ont été touchées, suivi par l’arnaque au Président avec 50% des répondants puis en troisième position se trouvent le ransomware et l’infection par un malware.

Concernant les risques cyber, le Shadow IT est le risque le plus fréquemment rencontré, 64% des RSSI interrogés estiment qu’il s’agit d’une menace à traiter. En effet l’installation et l’utilisation d’applications non approuvées et souvent gratuites peuvent échapper au contrôle de la DSI.

Cloud et IoT : L’impact de la transformation numérique sur la sécurité des systèmes d’information

Pour 98% des entreprises, la transformation numérique a un véritable impact sur la sécurité des systèmes d’information et des données et accroît le périmètre des cyberattaques. Tout particulièrement par le recours important au Cloud, utilisé par 87% des entreprises dont 52% stockent leurs données dans des Clouds publics.

Cette utilisation du Cloud représente un risque fort en raison d’un manque de maîtrise par rapport à l’accès aux données de l’entreprise par les hébergeurs (via les administrateurs ou autres) ou par rapport à la chaîne de sous-traitance utilisée par l’hébergeur ou encore par rapport au non-effacement des données. Pour 89% des RSSI, ces enjeux impliquent le recours à des outils de sécurisation complémentaires à ceux proposés par le prestataire de service afin de sécuriser les données stockées dans le Cloud.

En ce qui concerne l’IoT (Internet of Things), la course à l’innovation et l’usage de plus en plus répandu des objets connectés ont fait apparaître de nouvelles menaces en matière de cybersécurité, notamment en raison des failles de sécurité présentes dans ces équipements.

Une cyber-résilience à développer

Pour faire face à ces risques cyber, les RSSI déploient de multiples solutions techniques.

Cependant malgré toutes ces solutions, les RSSI se disent moins confiants par rapport à l’année dernière quant à la capacité de l’entreprise à faire face à ces cyber-risques, et moins d’un sur deux estime que son entreprise est préparée à gérer une cyberattaque de grande ampleur. Et pourtant, seulement 12% ont mis en place un véritable programme de cyber-résilience, il est en cours pour 33% et 34% l’envisagent.

Trois enjeux essentiellement humains pour l’avenir de la cybersécurité

Sensibilisation des utilisateurs

Selon 61% des RSSI interrogés, l’enjeu principal pour l’avenir de la cybersécurité est la formation et la sensibilisation des utilisateurs aux questions de cybersécurité. Selon les répondants, « même si les salariés sont sensibilisés, ils restent peu impliqués en ne suivant pas forcément les recommandations. Un important travail de pédagogie reste à faire ».

Gouvernance de la cybersécurité

Pour 60% des interrogés, il faut placer la gouvernance de la cybersécurité au bon niveau. Bien que la mise en conformité RGPD a permis de sensibiliser les entreprises aux enjeux de la protection des données, la confiance en la capacité de leur COMEX à prendre en compte les enjeux de la cybersécurité reste très inégale suivant les secteurs d’activité.

Ressources humaines

La pénurie de profils en SSI observée par 91% des RSSI, est un réel défi pour les entreprises alors que 50% d’entre elles prévoient d’augmenter les effectifs alloués à la cybersécurité.

Risques mondiaux 2019 : Climat et risques cyber au cœur des préoccupations

Le Forum Economique Mondial (WEF – World Economic Forum) a présenté en amont des rencontres annuelles de Davos qui ont eu lieu du 22 au 25 janvier derniers en Suisse, son Global Risks Report, un rapport qui met en avant les principaux risques et enjeux mondiaux, basé sur une enquête auprès de 1000 décideurs mondiaux (dirigeants d’entreprises, personnalités politiques, représentants de la société civile et universitaires). Quels sont alors les principaux risques auxquels le monde est confronté ?

Les risques cyber dans le top 5

Pour la troisième année consécutive, les risques liés à l’environnement sont en tête des préoccupations des leaders mondiaux. Ils occupent les trois premières places des plus fortes probabilités envisagées pour 2019, suivis par les risques liés à la technologie, avec en 4^ème place le vol et l’utilisation frauduleuse des données et en 5^ème les cyberattaques.

Ainsi pour 2019, 82% des experts interrogés s’attendent à des vols de données et d’argent et 80% à des interruptions de services et d’infrastructure résultant de cyberattaques.

Les 5 risques les plus susceptibles de se produire selon les experts interrogés

Conditions climatiques extrêmes
L’échec de l’atténuation des changements climatiques et de l’adaptation à ces changements
Catastrophes naturelles
Utilisation frauduleuse et vol de données
Cyberattaques

Les 10 risques qui auront le plus d’impact

Outre les risques qui sont les plus susceptibles de se produire, le rapport demande aux experts d’identifier les risques qui auront le plus d’impact.

Top 10 des risques ayant le plus d’impact

Armes de destruction massive
L’échec de l’atténuation des changements climatiques et de l’adaptation à ces changements
Conditions climatiques extrêmes
Crises de l’eau
Catastrophes naturelles
Perte de la biodiversité et effondrement de l’écosystème
Cyberattaques
Défaillance de l’infrastructure de l’information critique
Catastrophe écologique d’origine humaine
Propagation de maladies infectieuses

Les cyberattaques occupent ainsi la 7^ème place du classement et la défaillance des systèmes d’information critique la 8^ème, s’insérant ainsi dans le top 10.

Concernant la technologie, Børge Brende, Président du World Economic Forum souligne qu’elle « continue de jouer un rôle important dans la configuration du paysage des risques mondiaux. Les préoccupations concernant l’utilisation frauduleuse des données et les cyberattaques étaient à nouveau au centre des préoccupations dans le Global Risks Report, ce qui a également mis en évidence un certain nombre de vulnérabilités technologiques : environ deux tiers des personnes interrogées s’attendent à ce que les risques associés aux fake news et au vol d’identité augmentent en 2019″. Ces préoccupations résultent d’une année 2018 traumatisée par l’augmentation des cyberattaques massives, des brèches dans les systèmes de sécurité informatique des Etats, des vols massifs de données et l’utilisation croissante de l’intelligence artificielle pour mener des cyberattaques toujours plus puissantes.

La révocation de la clé de sécurité DNS KSK-2010 par l’ICANN, c’est cette semaine !

Après le tout premier changement de clé cryptographique d’octobre dernier, c’est maintenant que, le 11 janvier, l’ancienne clé KSK (Key Signing Key) de la zone racine sera désactivée.

Le processus enclenché en octobre 2018 pour améliorer la sécurité de la zone racine, avec le déploiement de la Key Signing Key-2017, trouve donc son aboutissement avec la révocation de la racine de l’ancienne clé KSK-2010.

Comme l’indique Paul Hoffman, responsable de la technologie ICANN, « L’Icann pense que la révocation ne provoquera aucun problème. Cependant, c’est la première fois que l’on révoque le KSK de la zone racine du système de noms de domaine (DNS). L’Icann et la communauté technique du DNS suivront donc de près tout ce qui se passera pendant les 48 heures au moins après la publication de la clé KSK-2010 révoquée ».

A noter, lors du roulement d’octobre, les impacts négatifs avaient été extrêmement limités et il semblerait que seuls deux fournisseurs de services Internet aient été victimes de coupures lors de l’opération.

L’Icann encourage bien sûr les vendeurs de solutions à ne plus utiliser la KSK-2010 dans leurs produits. L’Icann devrait ensuite publier un livre blanc traitant du processus de roulement (rollover) dans son intégralité, y compris les leçons apprises de cette opération. Les communautés Icann pourront ensuite ouvrir les discussions relatives aux prochains roulements qui pourraient avoir lieu.

Cyberattaques, les entreprises de plus en plus efficaces

Cyberattaques, des sanctions annoncées par l'Union Européenne — Source de l’image : VISHNU_KV via pixabay

En Septembre dernier, Accenture publiait l’étude Gaining Ground On the Cyber Attacker 2018 State of Cyber Resilience et mettait en avant le doublement du nombre de cyberattaques subies par les entreprises (en moyenne 232 en 2018 contre 106 en 2017 au plan international), mais aussi l’amélioration de la capacité des entreprises à identifier et contrer ces attaques.

Le nombre d’attaques a plus que doublé entre 2017 et 2018…

Cette étude mérite l’attention, tant elle se différencie de nombreuses études très (trop) alarmistes. Si tout n’est pas rose, notamment en raison de l’ingéniosité et de la complexité croissante des attaques, les entreprises continuent à améliorer leur capacité de défense, ont su renforcer leur cyber-résilience et sont restées performantes malgré les menaces. Les entreprises sont de mieux en mieux capables de se défendre, en détectant notamment les attaques beaucoup plus tôt.

… mais là où un tiers des attaques étaient efficaces en 2017, la proportion d’attaques efficaces est descendue à 1 sur 8 (12,5%) en 2018.

Une étude qui souffle le chaud et le froid

Les équipes de sécurité gagnent en efficacité, mais il reste encore beaucoup à faire. Les entreprises préviennent désormais 87% de toutes les attaques ciblées, mais subissent toujours 2 ou 3 violations de sécurité par mois en moyenne.

Les entreprises pourraient être cyber-résilientes dans 2 à 3 ans, mais la pression et la complexité des menaces augmentent de jour en jour. Si 90% des répondants prévoient une augmentation des investissements en matière de cybersécurité au cours des 3 prochaines années, seuls 31% pensent qu’elle sera suffisante.

Les nouvelles technologies sont essentielles, mais les investissements ont pris du retard. Si 83% des répondants estiment que les nouvelles technologies sont indispensables, seulement 2 sur 5 investissent dans les domaines de l’IA, du machine learning et de l’automatisation.

La confiance reste forte, mais une approche plus proactive de la cybersécurité est requise. Si plus de 80% des répondants ont confiance en leurs capacités de surveillance des violations, 71% estiment en revanche que les cyberattaques restent malgré tout un domaine assez opaque, et ne savent ni quand ni comment celles-ci pourraient affecter leur organisation.

Les Directions et Conseils d’Administration sont plus impliqués sur les enjeux de la cybersécurité. 27% des budgets de cybersécurité sont autorisés par le Conseil d’Administration, et 32% par le PDG. Le rôle et les responsabilités du RSSI (Responsable de la sécurité des systèmes d’information) doivent évoluer vers plus de transversalité dans l’entreprise.

5 pistes vers la cyber-résilience

Accenture met en avant cinq pistes pour optimiser les défenses des entreprises et avancer vers l’objectif ultime de la cyber-résilience dans un monde qui continue à évoluer vers de nouveaux territoires de menaces (intelligence artificielle, omniprésence du cloud, réseaux sociaux, smartphones, internet des objets) pour des menaces de plus en plus complexes et difficiles à contrer et un besoin qui devient stratégique : la protection des données.

Construire des fondations solides en identifiant les actifs de valeur, afin de mieux les protéger y compris des risques internes. Il est essentiel de s’assurer que des contrôles sont mis en place tout au long de la chaîne de valeur de l’entreprise.
Tester sa sécurité informatique en entrainant les équipes de cybersécurité aux meilleures techniques des hackeurs. Les jeux de rôles mettant en scène une équipe d’attaque et de défense avec des entraîneurs peuvent permettre de faire émerger les points d’amélioration.
Oser les nouvelles technologies. Pour une entreprise il est recommandé d’investir dans des technologies capables d’automatiser la cyberdéfense et notamment de recourir à la nouvelle génération de gestion des identités qui s’appuie sur l’authentification multi-facteur et l’analyse du comportement utilisateur.
Etre force de proposition et identifier les menaces en amont en développant une équipe stratégique (« threat intelligence ») chargée de faire évoluer un centre opérationnel de sécurité (SOC) intelligent s’appuyant sur une collecte et une analyse massive de données (« data-driven approach »).
Faire évoluer le rôle du responsable de la sécurité des systèmes d’information. Le CISO est plus proche des métiers, il trouve le bon équilibre entre sécurité et prise de risque et il communique de plus en plus avec la direction générale, qui détient maintenant 59% des budgets sécurité contre 33% il y a un an.

Conclusion

L’étude d’Accenture met en avant une vraie prise de conscience des entreprises sur les cyber-menaces, et la mise en place d’investissements de fond pour mieux se protéger. La course est maintenant lancée pour tendre vers la cyber-résilience, entre attaquants de mieux en mieux organisés et systèmes de défense de plus en plus pointus. Rendez-vous en fin d’année pour faire un bilan des forces en présence.

Arnaque par e-mail

La fraude aux faux ordres de virement (FOVI) est de retour !!!

Des escrocs ont utilisé le bon vieux système des faux ordres de virement, en piratant des comptes mail de sociétés.

Récemment, la société Pathé a été la cible d’un groupe de fraudeurs professionnels qui, grâce à une communication raffinée, a réussi à gagner la confiance de certains collaborateurs de la filiale du groupe aux Pays-Bas. Montant de la fraude : 19 200 000 euros.

Leur méthode : Des courriels envoyés au cours du mois de mars 2018 depuis une fausse adresse électronique au PDG afin de de procéder à des virements d’argent destiné à financer une prétendue acquisition à Dubaï. Les fraudeurs se faisaient passer pour la direction du groupe et précisaient que l’argent serait remboursé après la transaction.

Autre cas, une société pétrolière française s’est fait dérober 900.000 euros à la mi-octobre. Un sous-traitant français de la société, opérant en Angola, contacte par email le service comptable de cette entreprise francilienne. Il lui demande d’effectuer un virement dans le cadre de leurs affaires commerciales : « L’argent a été viré sur un compte de la Barclays Bank à Londres avant de disparaître purement et simplement ». Ce n’est qu’après-coup que l’entreprise découvre que des escrocs ont réussi à pirater le compte mail de ce sous-traitant pour leur usurper leur identité.

Ce phénomène touche plus particulièrement les petites et moyennes entreprises car elles n’ont pas encore mis en place de stratégie de protection. Selon l’office central pour la répression de la grande délinquance financière en France, 430 millions d’euros ont été détournés en l’espace de 3 ans par les escrocs aux faux ordres de virement.

Les différents modes opératoires

1. L’escroquerie au Président

Technique consistant à convaincre le collaborateur d’une entreprise d’effectuer en urgence un virement important à un tiers pour obéir à un prétendu ordre du dirigeant.

2. L’escroquerie au changement de RIB

Technique consistant à contacter un fournisseur/client afin de lui notifier d’un changement de RIB. En général, l’escroc utilise des informations confidentielles (factures, contrat) afin de convaincre l’interlocuteur de modifier le RIB et d’initier le transfert. A noter, cette technique nécessite toutefois une prise de contrôle des messageries des cibles.

Quelques règles simples pour se prémunir

Au sein de l’entreprise :

1. Sensibilisation en interne

Rappeler aux collaborateurs la prudence concernant les données de l’entreprise : Toute information liée à l’entreprise peut être utilisée par des escrocs.

Sensibiliser régulièrement l’ensemble des employés des services comptables, trésorerie, secrétariats, standards, de ce type d’escroquerie, notamment pendant les périodes de congés.

2. Instaurer des procédures de vérification pour les paiements internationaux

3. Maintenir à jour le système de sécurité informatique

4. Accentuer la vigilance pendant les périodes de vacances scolaires, les jours fériés et les jours de paiement des loyers

Surveillance :

1. Surveiller/Détecter les noms de domaine utilisés pour la messagerie interne
Les cybercriminels enregistrent des noms de domaine proches de ceux de la société afin de créer l’illusion.

2. Lancer des actions concernant les noms de domaine déposés par des tiers (utilisés ou non)
Les escrocs utilisent les noms de domaine quelques heures après l’enregistrement du nom de domaine afin de lancer une attaque.

3. Sécuriser la messagerie contre le typosquatting
Le logiciel de messagerie doit permettre de bloquer toute intrusion via un nom de domaine proche de celui utilisé par l’entreprise.

4. Sensibiliser les clients/fournisseurs/sous-traitants
Informer les contacts sur le mode de communication/ordre afin d’éviter tout risque d’intrusion d’un tiers.

Reconnaître les signes d’attaque

Il existe une multitude de signes permettant d’identifier une attaque, cependant c’est le caractère rapide/urgent de la demande qui peut alerter l’interlocuteur. En effet, plus l’attaque sera rapide dans le temps, plus elle sera efficace.

En voici une liste non exhaustive :

1. Une demande de virement à l’international, non planifiée, au caractère urgent et confidentiel
Dans ce cas, il peut s’avérer utile de contacter son interlocuteur habituel avec les coordonnées connues de la société.

2. Se méfier de tout changement de coordonnées téléphoniques, RIB ou mails

3. Se méfier d’un contact direct d’un escroc se faisant passer pour un membre de la société ou un responsable

4. Pour assoir sa crédibilité, l’escroc apportera une abondance de détails sur l’entreprise et son environnement
L’escroc tentera de créer un climat de confiance en apportant des données confidentielles afin de prouver la légitimité de sa demande.

Dernière histoire (vraie) pour finir :

Un escroc fait son premier coup en juillet 2005 à Paris, en téléphonant à la directrice d’une agence bancaire. Il se fait passer directeur général de sa banque. Il lui raconte qu’un agent des services secrets va prendre contact avec elle. La directrice doit coopérer à une enquête confidentielle portant sur « le blanchiment de capitaux destinés à financer des actes terroristes ». L’escroc parviendra à se faire remettre une sacoche contenant 358 000 € avant de disparaître.

DNS Belgium mettra désormais hors service les sites web frauduleux sous 24 heures

Dans le cadre de la lutte contre l’insécurité sur le web, DNS Belgium, registre du .BE, a décidé d’intensifier son action en collaborant avec le SPF Economie [Le SPF Économie, PME, Classes moyennes et Énergie est le service public fédéral belge qui a pour mission de créer les conditions d’un fonctionnement compétitif, durable et équilibré du marché des biens et services en Belgique] pour fermer les sites frauduleux en moins de 24h.

Philip Du Bois, manager général de DNS Belgium indique ainsi : « Le présent protocole nous permettra d’agir ensemble avec le SPF Economie de manière encore plus ciblée contre les abus possibles impliquant des noms de domaine .be. Le protocole souligne notre ambition d’une zone .be sûre et de qualité qui crée un climat favorable pour le développement ultérieur de l’internet. »

Le but : garantir aux consommateurs une navigation en toute sécurité sur les sites Internet en .BE.

Cette procédure assurera une bien plus grande réactivité. En effet, jusqu’à présent SPF Economie ne pouvait demander au registre un blocage relatif au contenu, aussi les sites frauduleux mais dont les données d’identification étaient correctes (à tout le moins dont le caractère faux ne pouvait être prouvé) demeuraient intouchables. Le blocage nécessitait une requête auprès du Parquet, soit une procédure d’au moins deux semaines, laissant largement le temps au site frauduleux de créer des dommages importants auprès des consommateurs. Plusieurs centaines de sites par an sont concernés !

Dès le 1^er décembre 2018, le protocole permettra donc au registre DNS Belgium, à la demande du SPF Economie, de bloquer les noms en .BE qui :

Sont utilisés pour des sites web frauduleux
Abritent des sites phishing

Bien sûr, cette procédure sera appliquée pour les délits reconnus comme sérieux. Le propriétaire du nom bloqué disposera d’une période de deux semaines pour réagir au blocage. Sans action de sa part sous 6 mois, le nom bloqué expirera.

Cette initiative, encore trop rare, est à saluer dans un contexte de lutte acharnée contre la cybercriminalité !

La croisade de Google pour l’adoption du HTTPS par défaut

Le navigateur Chrome représente en octobre 2018, selon les sources et toutes plateformes confondues, entre 62% et 68% de parts de marché mondial. Une croissance d’une régularité implacable depuis le lancement du navigateur qui en fait aujourd’hui un acteur incontournable du web. Alors, quand le 8 septembre 2016, les équipes de développement de Chrome annoncèrent leur intention de déclarer le HTTP comme « not secure », le web dans son ensemble se mit à écouter.

L’objectif de Google était d’avertir simplement, et donc visuellement, l’internaute qu’une page en HTTP n’était pas sûre, d’autant plus pour les pages avec saisies de données à caractère personnel (login, mot de passe, informations personnelles, numéro de carte de crédit) :

” We, the Chrome Security Team, propose that user agents (UAs) gradually change their UX to display non-secure origins as affirmatively non-secure. The goal of this proposal is to more clearly display to users that HTTP provides no data security. ”

Un peu plus de deux ans et 17 versions du navigateur plus tard, le temps d’une transition graduée pour un peu plus de douceur, et Google est arrivé à ses fins avec une adoption massive du protocole HTTPS ; la quasi-totalité des autres navigateurs, Firefox en-tête, ayant suivi la même évolution.

Retour sur l’évolution des indicateurs de sécurité dans Chrome depuis 2 ans :

Septembre 2016 – Chrome 53 : le HTTP est la norme, et en dehors de certaines erreurs de sécurité liées à un défaut de la page (notamment lié aux certificats SSL), aucun indicateur particulier concernant le manque de sécurité
Janvier 2017 – Chrome 56 : pour commencer, Chrome met l’accent sur les pages contenant des informations sensibles pour l’internaute, telles que la saisie de mot de passe ou de numéro de carte de crédit. Firefox s’aligne immédiatement.
Octobre 2017 – Chrome 62 : Google avance vers un test grandeur nature du traitement de l’ensemble des pages HTTP considéré comme non sécurisé avec le lancement en mode « Chrome Incognito » de l’indicateur HTTP « Not secure » au lancement de la page, quel que soit son contenu
Juillet 2018 – Chrome 68 : toute page chargée en HTTP, quel que soit son contenu, quel que soit le mode de navigation, est désormais considéré comme « not secure »
Septembre 2018 – Chrome 69 : pour Google, HTTPS est désormais la norme. La prochaine étape, pour le moins controversée, consiste à éventuellement faire disparaître le cadenas de sécurité tant apprécié des internautes.Pour beaucoup c’est un sérieux pas en arrière, il faudra suivre de près cette évolution et penser à mettre en place des certificats SSL Extended Validation EV, qui pour l’instant ne sont pas remis en cause par Google.
Octobre 2018 – Chrome 70 : c’est maintenant !Désormais, l’affichage des pages HTTP contenant des informations sensibles pour l’internaute, telles que la saisie de mot de passe ou de numéro de carte de crédit, est barré d’un indicateur non sécurisé et pour la première fois de couleur rouge. Les autres pages HTTP sont indiquées non sécurisées en gris. Les pages HTTPS classiques avec un cadenas noir et celles avec un certificat EV affichent en plus le nom de la société… vous suivez ?
1. Date non définie – Chrome XX : la finalité de Google est la dualité sur le traitement des urls avec HTTPS ouvertement affichés en rouge pour alerter l’internaute et le HTTPS considéré comme normal, donc ne bénéficiant plus d’aucun indicateur « positif » :

Date non définie – Chrome YY : toujours dans une optique d’augmentation de la sécurité et de protection des identités, Google a dans ses cartons une réflexion en cours sur la fin du système d’url tel que nous le connaissons aujourd’hui… Pour le remplacer par un système nouveau et plus simple, affaire à suivre…

D’ici là, et si cette réflexion n’a pas encore été menée au sein de votre entreprise, il est grand temps de passer l’ensemble de vos sites web et applications en HTTPS. La réflexion doit également comprendre le fait d’insérer le nom de votre entreprise dans la barre d’adresse des navigateurs, au moins sur les sites vitrine et à fort trafic.

[INFOGRAPHIE] Sécurisez votre infrastructure DNS

Les noms de domaine stratégiques d’une entreprise et les services Internet qui y sont associés dépendent du DNS et exigent une haute disponibilité ainsi qu’un niveau élevé de sécurité. Une interruption de services aurait de lourdes conséquences pour les entreprises victimes.

Pourtant, le DNS est bien souvent l’infrastructure la moins sécurisée d’une entreprise et est exposé à de nombreuses attaques potentielles.

Quelles sont les principales cyberattaques visant le DNS ? Quelles en sont les conséquences ? Comment sécuriser votre infrastructure DNS pour vous en prémunir ?

Les réponses dans cette infographie :

Retrouvez également sur le blog les articles : DNS – le grand oublié de l’Internet et les 3 attaques DNS les plus communes et comment les combattre.

Cyberattaques, des sanctions annoncées par l’Union Européenne

Après le succès de l’opération collaborative Power Off, rassemblant plusieurs pays, dont le Royaume-Uni, l’Espagne, le Canada, les USA et les Pays-Bas, épaulée par Europol, ayant conduit au démantèlement de Webstresser.org [l’une des entités responsables de plus de 4 millions d’attaques DDoS dans le monde] en mai 2018, l’Union Européenne a décidé de travailler à la création d’un régime spécifique de sanctions contre les cybercriminels.

Lors du sommet européen du 18 octobre dernier, les dirigeants des 28 états membres se sont prononcés sur des sanctions à l’encontre des pirates informatiques et ce, après la récente tentative de piratage contre l’Organisation pour l’Interdiction des Armes Chimiques (OIAC) à La Haye.

Des accusations contre Moscou

La tentative de piratage en avril 2018 déjouée par les Pays-Bas, visait l’Organisation pour l’Interdiction des Armes Chimiques. Cette dernière aurait été perpétrée par l’agence russe des renseignements militaires ou GRU. Face à cette accusation, Moscou nie cependant toute implication.

Cette cyberattaque contrée s’est jouée au moment même où l’organisation menait une enquête sur l’empoisonnement par une substance neurotoxique au Royaume-Uni d’un ancien agent russe. Malgré le démenti de Moscou, Londres persiste à accuser le GRU d’avoir perpétré cette tentative d’empoisonnement.

Les pays européens se mettent d’accord sur la sanction

Lors d’une conférence de presse, à l’issue du sommet européen, le président du conseil européen, Donald Tusk, a affirmé avoir fait une requête auprès des ministres européens, afin qu’ils élaborent des sanctions spécifiques contre les auteurs de cyberattaques. Cette demande, visant initialement à protéger les entreprises et les internautes, a été validée par les dirigeants des états membres de l’Union Européenne. Selon Donald Tusk, les sanctions constitueront à geler les biens fiscaux des organisations ou des pirates informatiques, et à leur interdire l’accès aux 28 pays membres. Dans l’urgence, 8 états dont le Danemark, les Pays-Bas, la Lituanie, la Lettonie, l’Estonie, la Roumanie, la Finlande et la Grande Bretagne ont imposé à l’Union Européenne de prendre des mesures immédiates pour sanctionner les auteurs de piratages informatiques.

Dans un monde où les cyberattaques pourtant d’envergure semblent souvent rester impunies, les pays membres soulignent l’urgence et l’absolue nécessité d’imposer ces sanctions communes.

Cookie	Durée	Description
cookielawinfo-checkbox-advertisement	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Advertisement" category .
cookielawinfo-checkbox-analytics	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Analytics" category .
cookielawinfo-checkbox-functional	1 year	The cookie is set by the GDPR Cookie Consent plugin to record the user consent for the cookies in the category "Functional".
cookielawinfo-checkbox-necessary	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to record the user consent for the cookies in the "Necessary" category .
cookielawinfo-checkbox-others	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Others".
cookielawinfo-checkbox-performance	1 year	Set by the GDPR Cookie Consent plugin, this cookie is used to store the user consent for cookies in the category "Performance".
CookieLawInfoConsent	1 year	Records the default button state of the corresponding category & the status of CCPA. It works only in coordination with the primary cookie.

Cookie	Durée	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_25904574_14	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.
CONSENT	2 years	YouTube sets this cookie via embedded youtube-videos and registers anonymous statistical data.

Cookie	Durée	Description
NID	6 months	NID cookie, set by Google, is used for advertising purposes; to limit the number of times the user sees an ad, to mute unwanted ads, and to measure the effectiveness of ads.
VISITOR_INFO1_LIVE	5 months 27 days	A cookie set by YouTube to measure bandwidth that determines whether the user gets the new or old player interface.
YSC	session	YSC cookie is set by Youtube and is used to track the views of embedded videos on Youtube pages.
yt-remote-connected-devices	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.
yt-remote-device-id	never	YouTube sets this cookie to store the video preferences of the user using embedded YouTube video.

Cookie	Durée	Description
ppwp_wp_session	30 minutes	No description
visit	30 minutes	No description