Emballer du courrier sensible

Lorsque l’on veut faire parvenir du matériel sensible à un client ou partenaire commercial il convient de prendre les dispositions nécessaires pour que votre envoi soit sécurisé au mieux.

Il existe plusieurs méthodes pour cela pour les plis ou les petits colis.

La première comme dans la vidéo ci-dessous est réalisable mais assez longue, demandes des accessoires, surtout si vous avez plusieurs documents à envoyer, c’est une méthode américaine dont la vidéo a été réalisé par le Defense Security Service (DSS).

L’objectif de sécurité est décrit en France au sein de l’Instruction Générale Interministérielle 1300 article 56. On y trouve dans cet article les règles de bon sens nécessaire pour envoyer du courrier qui n’attire pas les regards. Aujourd’hui c’est ce qu’on appelle la méthode dite du scotch bleu. Celui-ci est un scotch autocollant que l’on doit mettre sur toutes les ouvertures possibles du pli interne. Pour le pli externe il n’est pas nécessaire d’en mettre.

Actuellement l’utilisation d’enveloppe indéchirable est préféré pour l’enveloppe intérieure car cela permet de gagner du temps et de la qualité dans la détection d’une ouverture frauduleuse. n’oubliez pas de communiquer au destinataire le numéro de l’enveloppe pour qu’il puisse identifier s’il y a eu subtilisation de l’enveloppe, pour cela utilisez un autre moyen de communication.

Mon amour d’Heathrow ma clé USB

clé usb
Cle USB

Il y a quelques jours un chômeur a trouvé une clé USB au milieu d’autres papiers, sur un trottoir d’Ilbert Street à Queen’s Park dans l’ouest de Londres. Quelle ne fut pas sa surprise d’y découvrir des données très sensibles marquée confidentielles pour certaines, lesquelles concernaient l’aéroport de Londres Heathrow. Il a bien évidemment contacté un journal plutôt que les forces de police, et donc grâce à lui cette histoire nous est connue.
La clé contenait près de 2.5 Go de données, réparties dans 76 répertoires. Parmi ces données on y a trouvé, le chemin emprunté par la Reine et les mesures de sécurité la concernant au sein de l’aéroport, les ID d’accès aux zones y compris ceux employé par les policiers sous couverture, les calendriers des rondes assurant la protection contre les attaques terroristes, des cartes d’implantation des caméras de surveillance, le cheminement des personnalités, le système de scanner de piste…Toutes ces données étaient librement accessibles sur une clé USB, non chiffrées.

Cet exemple médiatique est très intéressant à plusieurs titres.

Il rappelle que les données stockées sur un support numérique sont naturellement volumineuses, ici on parle de 2.5 Go soit environ 800 000 pages A4 ou encore 1600 ramettes de papier ! Autant se promener avec une clé USB est naturel, avec 1600 ramettes sous le bras beaucoup moins.
Ensuite comment expliquer qu’un tel volume d’information sensible soit trouvé dans la rue a une douzaine de kilomètres de l’aéroport? Cette question se scinde en 2, une première sur l’aspect humain, une seconde sur l’aspect technique.

Sur la question humaine on peut imaginer plusieurs scénarios.

  • Le premier, peut-être le plus vraisemblable, la clé USB a été perdue par un employé tout simplement, l’histoire finissant finalement bien.
  • Autre scénario un employé s’est fait voler une sacoche contenant entre autres documents cette clé USB, le voleur se débarrassant de ce qu’il ne trouvait pas utile, les documents papiers et la clé.
  • La clé a été perdue par une personne qui n’était pas légitime à la détenir.
  • Le chômeur a peut-être trouvé la clé USB dans un endroit que l’on appelle une boîte aux lettres et l’a récupéré avant le passage de la personne qui aurait dû « légitimement » la récupérer.

Dans tous ces scénarios les services de police britanniques détiennent un témoin vital, la clé USB. En effet une analyse technique poussée permettra de retracer la vie de la clé. On pourra définir par exemple quand des fichiers ont été copiés, supprimés, modifié, en analysant les métas datas des fichiers ont pourra définir qui a créé les fichiers, qui les a modifié, où et quand la clé a été branché…bref connaître l’histoire de la clé.

En comparant l’histoire de la clé on pourra très probablement en définir un propriétaire ou du moins des gens ayant le besoin de détenir ces fichiers. On pourra aussi définir si c’est une clé fournie par l’entreprise ou non.

Si l’analyse forensique ne donne rien de probant, c’est que l’on aura affaire à une clé très probablement “fabriqué” compilant des informations recueillies par ailleurs, situation guère rassurante. Dans tous les cas cette analyse sera déterminante pour identifier le responsable de la fuite et/ou la destination de la clé dans le cas d’une fuite volontaire.

Pour l’aspect technique on imagine mal en 2017 qu’aucun dispositif de protection ne soit mis en place par l’aéroport. Des produits de Data Leak Prevention (DLP) existent et font aujourd’hui partie de la panoplie dont dispose un RSSI pour limiter au mieux ces fuites d’information. Autre moyen technique, le chiffrement qui aurait pu permettre de limiter l’accès à l’information par celui qui trouve le support. Ces 2 moyens techniques auraient permis au RSSI de l’aéroport et aux services de sécurités d’être plus serein sur la sécurité des voyageurs.

Pourtant le Royaume-Uni dispose d’une réglementation, qui donne des objectifs de protection des informations sensibles et marquées.

La fuite d’information sensible marquée n’est pas une nouveauté, en août 2016 une fuite d’information concernant une société française portant sur plus de 22000 documents avait eu lieu ici et avait posé bien des questions non résolus.

Au vu de la quantité de données numériques et de la quantité de clé USB produite dans le monde, il est de la responsabilité de chaque entreprise de faire le nécessaire pour s’assurer que son patrimoine ne s’envole pas. C’est dans ce sens que l’II901 portée par l’ANSSI recommande de chiffrer les supports amovibles et d’en contrôler la connexion aux réseaux d’entreprises.

Il y a un an…

avait lieu le 1er festival du film de sécurité. Belle initiative qui ne fut pas reconduite, c’est bien dommage.

Je profite de cet anniversaire pour mettre en ligne le lauréat de cette unique édition, Airbus Group. Ce film fait la part belle aux rêves de prototypes dont les aboutissements se trouve compromis par des comportements malheureux.

Appréciez les images, les messages, mais aussi les lieux ou vous n’irez probablement jamais 😉

Bravo à Airbus Group pour cette belle réalisation.

Ingérence le plus vieux métier du monde?

Voter
Voter

L’ingérence des pays dans les élections est aussi vieille que l’art de la guerre. En effet selon Sun Tzu. Il « Le meilleur savoir-faire n’est pas de gagner cent victoires dans cent batailles, mais plutôt de vaincre l’ennemi sans combattre ».

Plusieurs phénomènes se sont développé au fil du temps et aboutissent à ce raffinement ultime que l’on connaît actuellement et qui scandalise de nombreuses personnes.

Depuis longtemps les états cherchent à influencer les autres états, de façon plus ou moins violente et transparente. Ce fait n’est pas nouveau en soi. ce qui est nouveau par contre c’est la façon de le faire.

D’un autre côté le développement commercial passe par une phase de marketing, domaine qui n’a de cesse de s’améliorer au fil du temps. Ce domaine qu’est le marketing n’a de cesse de développer de nouveaux modes d’action et l’un d’eux est le marketing politique qui s’appuie principalement sur les médias et dernièrement sur les réseaux sociaux. Par exemple le marketing politique a été employé en Irak en 2003 (ici). Il ne faut toutefois pas confondre la propagande avec du marketing politique.

Enfin dernier ingrédient de notre savant mélange, les technologies de l’information que sont, Internet, le Big Data et les objets connectés. Ces techniques ont permis une accélération du temps, de concentrer les données et de pouvoir les analyser finement et rapidement.

Ces différents phénomènes imbriqués les uns dans les autres, permettent aujourd’hui d’avoir une certaine forme d’influence sur les processus démocratiques des démocraties. Ce qui n’était pas concevable et réalisable par le passé devient réalisable aujourd’hui.

Ensuite ce qui est acceptable pour certains acteurs, je pense en particulier aux pays occidentaux qui cherchent à imposer leurs modèles à d’autres, semble ne pas acceptable pour d’autres. Les pays occidentaux sont passé au fil du temps d’une imposition de leur volonté par des moyens militaires au Soft Power (ici) comme lorsque la CIA a appuyé Force ouvrière (ici), or ils ne sont pas les seuls à pouvoir utiliser cette méthode. Au final l’utilisation de ces principes repose sur un principe simple l’ingérence.

Dans le cas qui nous préoccupe, nous en France, c’est de constater que lors de l’élection américaine il semble qu’il y ait eu une ingérence Russe dans l’optique de placer un candidat qui soit le moins mauvais pour l’ingérant, cela n’implique pas qu’il soit pro-russe. Comme le principe d’une élection n’est pas d’avoir tous les votes pour soi mais juste la majorité, il suffit de pousser l’opinion publique, de quelques pourcents dans un sens ou dans l’autre. Dans le cas américain, le principe de l’élection par grand électeur rend le travail plus facile puisqu’il suffit de mener l’action aux points stratégiques, de remporter quelques états clés pour faire basculer le vote.

Dans le cas français le processus est différent, car la seule élection a grand électeur est celle du Sénat qui se renouvelle par tiers tous les 3 ans. donc influencer directement une élection française sur un mode à l’américaine est très improbable.

Cependant il est toujours possible d’infléchir à l’inverse le candidat que l’on ne souhaite pas voir arriver au pouvoir et cela grâce aux techniques cybers qui permettront de sortir une “affaire” au plus mauvais moment, par exemple dans le cas américain l’affaire des mails à quelques jours de l’élection comme cela est arrivé pour Hillary Clinton. Dans ce dernier cas c’est très compliqué de gommer l’effet au moment de déposer son bulletin dans l’urne.

Maintenant construire une affaire n’est pas trop compliqué, car par définition les personnalités politiques sont publiques et elles ont des vulnérabilités comme tout le monde, on se souviendra de l’affaire “DSK”. De plus comme les personnalités politiques sont mêlés à plusieurs milieux, comme ceux des affaires et du journalisme, il est assez facile pour un service de renseignements étranger de trouver des indices et des éléments pour construire une affaire ou en exhumer une.

Contrer cette ingérence sans mettre en péril les fondements de la démocratie est compliqué car cela abouti indirectement à compromettre certains candidats aux détriment des autres, c’est probablement le point faible de la démocratie de nos jours.

FIC 2107 à Lille

L’événement majeur de la sécurité informatique de ce début d’année se déroule à Lille les 24 & 25 janvier.

Le Salon du FIC pour sa 9ième éditions une fois n’est pas coutume au Grand Palais de Lille. Il regroupera plus de 5000 visiteurs, des dizaines de conférenciers et des centaines d’industriels pour échanger, partager et tracer un chemin vers une meilleure protection des systèmes d’information.

Je vous donne donc rendez-vous à cet événement majeur de la cybersécurité, avec la présence des ministres de l’Intérieur, de la Défense, de la secrétaire d’état au numérique, mais aussi à tous les visiteurs qui apporteront leur pierre à l’édifice de la sécurité.

A noter qu’a l’heure actuelle les ateliers sont complets mais que les inscriptions sont toujours possibles.

 

 

Les lauréats du film de sécurité

a14-generique-festi

Il y a quelque temps je vous avais parlé du festival du film de sécurité. celui-ci s’est déroulé le 11 octobre 2016 à Enghein Les Bains près de Paris. Voici donc les résultats avec en prime les vidéos dans la mesure où elle était publique et le teaser du festival .

Le grand prix du jury a été décerné à la série “Sécurité” produite par Master Films, réalisé par Frédéric Duvin pour le compte d’Airbus Group. Voici quelques épisodes traitant de plusieurs sujets récurrents de la sécurité des informations dans l’entreprise.

Episode 1, Episode 2, Episode 3, Episode 4, Episode 5, Episode 6,

Le trophée de la meilleure réalisation a été décerné à “Cybersecurity changes with Orange” produite par Woow your Life, réalisé par Woow your Life pour Orange.

Le film ici.

Le trophée du meilleur scénario a été décerné à “Seconde fatale” produite par Image in Production, réalisé par Image Production pour Soltanche Freyssinet.

Le film n’est pas disponible.

Le trophée du meilleur film d’animation a été décerné à “La sécurité des SI, tous concerné” produite par la RATP, réalisé par Caribara pour la RATP.

Le teaser des films est ici, des extraits des épisodes par la Episode 1, Episode 2, Episode 3, Episode 4, Episode 5, Episode 6.

Le trophée du meilleur film dans la catégorie “Produit” a été décerné à “Liva” produite par Fulgura Films, réalisé par Fulgura Films pour Liva.

Le film est ici.

Le trophée du meilleur film dans la catégorie “Communication Externe” a été décerné à “Will you invite a trojan horse in your home” produite par Humblestorm/Armstong Film, réalisé par Johan Ring et Johon Alrion pour F-Secure.

Le film est ici.

Le trophée du meilleur film dans la catégorie “Communication Intene” a été décerné à “Série Rapid Learning Surf Clean Phishing” produite par Getzem Secure, réalisé par Getzem Secure pour le Crédit Agricole.

Le film n’est pas disponible.

Les sujets traités sont variés, agréable à regarder, ce qui est la première qualité lorsqu’ont les regarde.

L’initiative de ce festival est formidable car elle permet de mettre sur le devant de la scène un aspect important de l’entreprise numérique et du salarié connecté. En attendant le prochain l’année prochaine.

Les leviers de la fuite de données

manipulation
manipulation

Ces derniers temps le nombre de fuites de données ne se tarissent pas, pourtant ce n’est plus par méconnaissance, ni par manque de moyen technique, n’y aurait-il pas autre chose derrière tout ça.
En assistant un peu par hasard à une séance de sensibilisation j’ai découvert un concept intéressant, celui du MICE, rien à voir avec le mulot de l’ancien président français Jacques Chirac. Le MICE est l’acronyme de “Money – Ideology – Compromise – Ego“. L’argent, l’idéologie, la compromission et l’égo.
D’après les spécialistes que j’ai religieusement écouté ces 4 motivations sont les leviers qui permettent à des personnes d’entreprendre des actions de “trahison” envers leur environnement proche, amis, famille, employeur, pays, etc… En français on utiliserait plutôt l’acronyme VICE “Venal, Idéologie, Compromission, Ego”.
Ce concept, peut-être utilisé comme grille de lecture, et peut servir à manipuler quelqu’un, dans le bon, comme le mauvais sens.
Dans le bon sens le manager peut utiliser quelques éléments de cette grille, l’argent et l’égo, voir l’idéologie. En effet pour bien manager une force commerciale, l’argente et l’égo font souvent mouche, par contre dans une équipe d’ouvriers, l’idéologie, sous forme de loyauté à son entreprise et une fibre bien meilleur pour les résultats du manager qu’augmenter les salaires.
Dans le mauvais sens, les services secrets utiliseront tous les moyens pour manipuler une personne, est lui faire faire réaliser des actions qu’elle ne souhaite pas, comme par exemple faire fuiter des informations, un petit peu comme dans l’affaire Edward Snowden, ou plus connu l’affaire Farewell.
Passons tout d’abord ces leviers en revue.

L’argent :
L’argent moteur du monde, et une motivation qui fait se dépasser les traders, dans l’optique de bonus énormes. Un certain Jérôme Kerviel a pris des risques en ce sens. Ce n’est pas l’argent qui est une fin en soi comme l’oncle picsou, mais plutôt ce qu’on en retire.

M de MICE
M de MICE

L’argent permet d’acheter des objets et des biens de grande valeur, de rembourser des dettes, accéder à un statut social, cela permet d’assouvir un certain sentiment de puissance et de réussite.

L’idéologie :
L’idéologie repose sur une croyance en une, religion, politique, type de société, et dans l’extrémisme de la pensée de celle-ci.

I de MICE
I de MICE

En effet ces personnes font de leur idéologie une fin en soi, mais qui peut un jour s’effondrer, comme s’est effondré le communiste dans les années 90.

La compromission:
Le levier de la compromission permet de mettre une personne en opposition des lois, de la morale, ou de la société et finalement de la faire “collaborer” à un dessin qui n’est pas le sien en promettant de passer “l’éponge”.

C de MICE
C de MICE

La compromission concerne souvent des histoires, de mœurs, criminels, qui permettent de faire du chantage à la personne concernée.

L’égo:
Qui n’a jamais été flatté par un manager qui lui dit qu’il est les meilleurs de l’équipe? C’est tellement bon à entendre…
L’égo est une arme redoutable qui permet d’obtenir des choses incroyables de la personne “ciblé”. Les managers sont très friands de ce levier, tout comme les employés qui les écoutent.

E de MICE
E de MICE

Être le meilleur, une star, ou encore un héros, la finalité de notre société en mal être.

Ces 4 leviers permettent d’obtenir toutes sortes de choses de la personne qui en est la cible. Et souvent bien au-delà des espoirs du commanditaire.
Lors de cette conférence il a été expliqué que cette grille était utilisée comme lecture des vulnérabilités d’un individu. A bien y réfléchir on est tous sujet à ces 4 éléments.
Dans le cas qui nous occupe les fuites d’informations des systèmes d’information, on peut légitimement se demander si celle-ci se produisent grâce ou a cause de ces vulnérabilités ou force de motivation si on regarde l’attaquant.
Dans les cas de phising exemple l’égo est très utilisé pour donner de la confiance à la cible, puisqu’elle a la confiance du PDG.
Et partir de la commence l’histoire de la fuite, mais c’est une autre histoire.

1er Festival du Film de Sécurité

a12-fs

Dévoilé le 16 Octobre 2015 par Monsieur le Premier ministre Manuel Valls la Stratégie nationale pour la sécurité du numérique a mis en avant 5 points. Le point numéro 3 est celui de la sensibilisation et de la formation.

Il n’y a pas de sensibilisation sans support. Le Cigref avait développé une série de petits films sous le label Hack Academy dont j’avais de parlé ici. Le département du Val d’Oise et l’association Pays de Roissy-CDG sont à l’initiative du 1er festival du Film de Sécurité qui se tiendra le 11 octobre 2016 à Enghein Les Bains. Cette initiative très intéressante rentre directement dans le cadre de la Stratégie nationale pour la sécurité du numérique et permettra à différents acteurs de se rencontrer, d’échanger sur ce vaste sujet.

Lors de cette journée des films projetés seront en compétition, des conférences auront lieu et un espace dédié aux entreprises permettra à chacun de connaitre le savoir-faire des uns et des autres dans les métiers de la réalisation, du tournage ou des serious games.

Vous trouverez toutes les informations ici.

La diode réseau

Diode
Diode

L’enjeu d’aujourd’hui est de sécuriser ses réseaux. Lorsque l’on a plusieurs réseaux l’on cherche toujours un moyen de limiter les flux, le premier élément qui vient à l’esprit est le firewall. Cela permet des choses mais si l’on souhaite faire circuler l’information dans un seul sens, et être sûr que l’on ne puisse pas remonter le flux dans l’autre sens il ne reste qu’un seul outil : la diode réseau.

La diode est un mécanisme physique se basant sur une fibre optique qui n’aurait qu’un brin. C’est donc une liaison réseau unidirectionnelle. Cela permet de relier 2 réseaux, appelé, réseau bas et réseau haut. Ces 2 réseaux ne peuvent pas fonctionner en mode connecté, car seul un brin transmet les informations, donc les paquets partent sans avoir de garantie qu’ils arrivent, même s’ils arrivent. Pour que le tout fonctionne correctement, il est nécessaire de disposer de 2 serveurs, qui s’appellent le guichet haut et le guichet bas. Ici et ici vous avez la présentation faite au SSTIC 2006 par Philippe Lagadec, il y a déjà 10 ans.

Depuis 10 ans les choses ont évolué, plusieurs fabricants propose des produits, Thales avec sa Diode ELips SD (ici la plaquette), Seclab avec Denelis ou encore la Fox Datadiode de Factory Système. D’autres acteurs étrangers existent aussi et proposent des produit sur des architectures similaires. Tel Arbit, Deep Secure, Vado Security, Advenica, …

Ces produits ont un certain coût qui peut dissuader un acheteur d’implémenter une solution surtout dans le cadre d’un budget contraint. Dans cette optique Arnaud Soullié et Ary Kokos ont présenté au SSTIC 2016 une diode a moins de 200€ (vidéo ici). Cela peut permettre à une petite structure avec un petit budget et un peu d’huile de coude de disposer d’un dispositif permettant de mettre de la sécurité entre plusieurs réseaux à un prix vraiment abordable.

Cet outil me semble un incontournable, car permet de mieux ségréger les réseaux en particulier dans le cadre de réseaux industriels qui ont des besoins différents de réseaux bureautiques. Et rien de mieux qu’une solution à bas cout pour réaliser un proof of concept pour convaincre d’investir dans des infrastructures plus adaptées. Il existe aussi des solutions logicielles mais j’aurai le temps de revenir dessus plus tard.

CyberDef-CyberSec

Bilan des conférences Cyber à Eurosatory 2016

Cyber Def EuroSatory
Cyber Def EuroSatory

La semaine dernière s’est déroulé le 4ième forum CyberDef-CyberSec. Ce forum s’est déroulé lors du salon Eurosatory 2016 à Villepinte. Le cycle de conférences s’est déroulé sur 2 jours, cette année, c’était les mardi 14 et mercredi 15 juin. Hormis la conférence d’ouverture, toutes les conférences étaient en anglais.

La conférence d’ouverture a été faite par le vice-amiral Arnaud Coustillière qui est en charge de la cyber défense au sein des forces armées françaises. Il a synthétisé la position française sur le sujet. avec une question qui est revenu pour d’autres conférences, l’équilibrage entre la lutte informatique défensive (LID) et la lutte informatique offensive (LIO), question auquel les orateurs ont répondu en indiquant que l’équilibrage se faisait en fonction des besoins, réponse assez évasive, mais réponse quand même.

Lors de la conférence suivante il a été question de la course aux armements dans le cyberespace avec Mikko Hypponen de F-Secure.

La troisième conférence de la première journée portait sur un sujet qui a été remis sur le tapis le lendemain, “Convergence de la guerre électronique et Cyber sur le champ de bataille”. Le mercredi c’était “comment contrôler simultanément le cyberespace et le spectre électromagnétique”. Ces sujets assez proches ont été présenté par des officiels américains qui il faut le reconnaitre ont une longueur d’avance sur le sujet. Ce sujet concerne plutôt le champ de bataille, ce qui assez logique sur un salon comme Eurosatory.

Le mardi on a eu un sujet sur la menace intérieure, “Insider Threat : comment faire face aux menaces provenant de l’intérieur de votre organisation”, une menace bien souvent ignorée par les CIO, alors que chaque salarié quittant une société emmène toujours des données de l’entreprise.

La dernière conférence de la journée portait sur la résilience cyber quand tous les systèmes et plateformes sont connectés, un vaste programme. La vue japonaise des choses était intéressante, car axée sur les problématiques du pays devant tenir compte de son environnement tectonique qui a un impact fort sur la résilience des systèmes d’information.

La première conférence du mercredi portait sur un sujet assez classique sur la détection des menaces et des attaques.

La conférence suivante était sur les fuites d’informations, avec l’affirmation du moment, “il n’est plus question de savoir si on sera attaqué, mais quand?”. Là aussi il n’y avait rien de très nouveau mais l’allocution de Mr Koivunen de F-Secure était agréable.

La conférence de début d’après-midi portait sur la Cyber Défense et la Cyber sécurité en Afrique, continent vierge s’il en est. Les problèmes de l’Afrique sont plutôt orientés sur la cyber criminalité pour l’instant mais les compétences montent vite. Cette conférence a attiré beaucoup de monde.

Les conférences n’étaient pas d’un niveau technique très pointu, mais correspondaient au niveau d’attente d’un salon comme Eurosatory, en particulier les conférences situées au carrefour entre le cyberespace et le champ de bataille. La liaison entre le spectre électromagnétique et le cyberespace montre très bien la très grande maitrise qu’ont les Américains du sujet. Ce qui est rassurant ou pas, c’est que les messages sont constants, sensibilisation, maintenance des niveaux techniques sont les mamelles de la cyber.

Mr Tissot a organisé de bien belles conférences, vivement les prochaines.