Strava mes données a moi, que j’ai donné avec plaisir et sueur

La raison de vivre d’un réseau social est le partage avec ses « amis », Strava ne déroge pas à la règle, mais le partage des données collectées n’était pas vraiment attendu par tout le monde. Cette affaire permet de lever un coin de voile sur les réseaux sociaux et leur capacité à collecter des informations, à les agréger et enfin à les exploiter…
Le réseau social Strava permet de partager ses « exploits » sportif avec ses amis via un équipement connecté au travers des données collectées pendant l’effort. Celles-ci ont été agrégé par le réseau social est rendue publique fin janvier sur le site Strava Global Heatmap. Cela permet à travers une première analyse de voir que l’on fait beaucoup de sport en Europe, en Amérique du nord mais pas uniquement, l’on aperçoit sur la carte globale beaucoup d’espaces où l’on fait du sport, en particulier dans des endroits improbables, le désert ou la mer, on y remarque aussi quelques bugs…

Lorsque l’on a l’habitude de regarder Google Map pour regarder des endroits lointains, on regarde en réalité des photos et en dehors des villes, difficile de se rendre compte de l’activité humaine. Strava va agir comme un révélateur de cette activité. Un peu comme lorsque vous utilisez des jumelles de vision nocturne en pleine nuit. Ce qui frappe tout d’abord, c’est les routes, en effet on distingue très bien les autoroutes et les routes importantes, or ce n’est pas un lieu où l’on pratique du sport. Viennent ensuite les stades qui sont des lieux de pratique évidents, on y remarque d’ailleurs ceux a forte activité par rapport à d’autres. Strava fournit plusieurs fonctionnalités qui permettent de filtrer les informations suivant le type de sport, élément important suivant l’utilisation que l’on en fait, on le verra par la suite.
Au même titre que Google Map cela permet de regarder des endroits improbables, la Corée par exemple. en particulier au nord on y retrouve de l’activité sportive, des touristes probablement…

Dans les zones de conflits on y retrouve l’activité de militaire, on pense tout de suite à la Syrie, au mali, en Libye, mais plus amusant l’ile de Xonjing dans les iles Paracel. On constatera aussi que quelques menus travaux d’aménagement on était réalisé….

Dans d’autres zones de conflit on peut voir les patrouilles à pied de celles en véhicules grâce aux paramètres de l’application.
Mais mieux encore cela permet aussi de voir les activités passées d’un endroit, une sorte d’empreinte du temps. Cela ne se détecte que si vous connaissez l’endroit parfaitement. Par exemple sur l’aéroport de Paris Le Bourget se déroule tous les 2 ans le Salon International de l’Aéronautique et de l’Espace, ce salon se déroule sur le tarmac pour la partie extérieure et l’on y remarque sur Strava l’agencement des chalets extérieurs par exemple. cela ne fonctionne pas pour les activités en intérieur comme les salons porte de Versailles.

Cette divulgation consentie permet de prendre conscience si cela était encore nécessaire que de la protection des données personnelles est une action importante. Ces données pouvant être exploitées par l’état disposant de ces données. Pour rappel Strava est basé aux Etats-Unis, donc soumise à la loi américaine et donc au Patriot Act. Lequel est utilisé pour lutter contre le terrorisme mais pas uniquement et en particulier dans la guerre économique mondiale. alors que dire des informations recueillies par les GAFAM qui eux représentent des milliards d’utilisateurs. A ce titre là, une carte diffusée par Facebook seraient très instructive!
La mise en place du RGPD permettra peut-être de mieux lutter contre la diffusion de vos données, mais en attendant celles-ci sont exploités au mieux par d’autres bien mal intentionnés.

Emballer du courrier sensible

Lorsque l’on veut faire parvenir du matériel sensible à un client ou partenaire commercial il convient de prendre les dispositions nécessaires pour que votre envoi soit sécurisé au mieux.

Il existe plusieurs méthodes pour cela pour les plis ou les petits colis.

La première comme dans la vidéo ci-dessous est réalisable mais assez longue, demandes des accessoires, surtout si vous avez plusieurs documents à envoyer, c’est une méthode américaine dont la vidéo a été réalisé par le Defense Security Service (DSS).

L’objectif de sécurité est décrit en France au sein de l’Instruction Générale Interministérielle 1300 article 56. On y trouve dans cet article les règles de bon sens nécessaire pour envoyer du courrier qui n’attire pas les regards. Aujourd’hui c’est ce qu’on appelle la méthode dite du scotch bleu. Celui-ci est un scotch autocollant que l’on doit mettre sur toutes les ouvertures possibles du pli interne. Pour le pli externe il n’est pas nécessaire d’en mettre.

Actuellement l’utilisation d’enveloppe indéchirable est préféré pour l’enveloppe intérieure car cela permet de gagner du temps et de la qualité dans la détection d’une ouverture frauduleuse. n’oubliez pas de communiquer au destinataire le numéro de l’enveloppe pour qu’il puisse identifier s’il y a eu subtilisation de l’enveloppe, pour cela utilisez un autre moyen de communication.

Mon amour d’Heathrow ma clé USB

clé usb
Cle USB

Il y a quelques jours un chômeur a trouvé une clé USB au milieu d’autres papiers, sur un trottoir d’Ilbert Street à Queen’s Park dans l’ouest de Londres. Quelle ne fut pas sa surprise d’y découvrir des données très sensibles marquée confidentielles pour certaines, lesquelles concernaient l’aéroport de Londres Heathrow. Il a bien évidemment contacté un journal plutôt que les forces de police, et donc grâce à lui cette histoire nous est connue.
La clé contenait près de 2.5 Go de données, réparties dans 76 répertoires. Parmi ces données on y a trouvé, le chemin emprunté par la Reine et les mesures de sécurité la concernant au sein de l’aéroport, les ID d’accès aux zones y compris ceux employé par les policiers sous couverture, les calendriers des rondes assurant la protection contre les attaques terroristes, des cartes d’implantation des caméras de surveillance, le cheminement des personnalités, le système de scanner de piste…Toutes ces données étaient librement accessibles sur une clé USB, non chiffrées.

Cet exemple médiatique est très intéressant à plusieurs titres.

Il rappelle que les données stockées sur un support numérique sont naturellement volumineuses, ici on parle de 2.5 Go soit environ 800 000 pages A4 ou encore 1600 ramettes de papier ! Autant se promener avec une clé USB est naturel, avec 1600 ramettes sous le bras beaucoup moins.
Ensuite comment expliquer qu’un tel volume d’information sensible soit trouvé dans la rue a une douzaine de kilomètres de l’aéroport? Cette question se scinde en 2, une première sur l’aspect humain, une seconde sur l’aspect technique.

Sur la question humaine on peut imaginer plusieurs scénarios.

  • Le premier, peut-être le plus vraisemblable, la clé USB a été perdue par un employé tout simplement, l’histoire finissant finalement bien.
  • Autre scénario un employé s’est fait voler une sacoche contenant entre autres documents cette clé USB, le voleur se débarrassant de ce qu’il ne trouvait pas utile, les documents papiers et la clé.
  • La clé a été perdue par une personne qui n’était pas légitime à la détenir.
  • Le chômeur a peut-être trouvé la clé USB dans un endroit que l’on appelle une boîte aux lettres et l’a récupéré avant le passage de la personne qui aurait dû « légitimement » la récupérer.

Dans tous ces scénarios les services de police britanniques détiennent un témoin vital, la clé USB. En effet une analyse technique poussée permettra de retracer la vie de la clé. On pourra définir par exemple quand des fichiers ont été copiés, supprimés, modifié, en analysant les métas datas des fichiers ont pourra définir qui a créé les fichiers, qui les a modifié, où et quand la clé a été branché…bref connaître l’histoire de la clé.

En comparant l’histoire de la clé on pourra très probablement en définir un propriétaire ou du moins des gens ayant le besoin de détenir ces fichiers. On pourra aussi définir si c’est une clé fournie par l’entreprise ou non.

Si l’analyse forensique ne donne rien de probant, c’est que l’on aura affaire à une clé très probablement “fabriqué” compilant des informations recueillies par ailleurs, situation guère rassurante. Dans tous les cas cette analyse sera déterminante pour identifier le responsable de la fuite et/ou la destination de la clé dans le cas d’une fuite volontaire.

Pour l’aspect technique on imagine mal en 2017 qu’aucun dispositif de protection ne soit mis en place par l’aéroport. Des produits de Data Leak Prevention (DLP) existent et font aujourd’hui partie de la panoplie dont dispose un RSSI pour limiter au mieux ces fuites d’information. Autre moyen technique, le chiffrement qui aurait pu permettre de limiter l’accès à l’information par celui qui trouve le support. Ces 2 moyens techniques auraient permis au RSSI de l’aéroport et aux services de sécurités d’être plus serein sur la sécurité des voyageurs.

Pourtant le Royaume-Uni dispose d’une réglementation, qui donne des objectifs de protection des informations sensibles et marquées.

La fuite d’information sensible marquée n’est pas une nouveauté, en août 2016 une fuite d’information concernant une société française portant sur plus de 22000 documents avait eu lieu ici et avait posé bien des questions non résolus.

Au vu de la quantité de données numériques et de la quantité de clé USB produite dans le monde, il est de la responsabilité de chaque entreprise de faire le nécessaire pour s’assurer que son patrimoine ne s’envole pas. C’est dans ce sens que l’II901 portée par l’ANSSI recommande de chiffrer les supports amovibles et d’en contrôler la connexion aux réseaux d’entreprises.

Il y a un an…

avait lieu le 1er festival du film de sécurité. Belle initiative qui ne fut pas reconduite, c’est bien dommage.

Je profite de cet anniversaire pour mettre en ligne le lauréat de cette unique édition, Airbus Group. Ce film fait la part belle aux rêves de prototypes dont les aboutissements se trouve compromis par des comportements malheureux.

Appréciez les images, les messages, mais aussi les lieux ou vous n’irez probablement jamais 😉

Bravo à Airbus Group pour cette belle réalisation.

Les lauréats du film de sécurité

a14-generique-festi

Il y a quelque temps je vous avais parlé du festival du film de sécurité. celui-ci s’est déroulé le 11 octobre 2016 à Enghein Les Bains près de Paris. Voici donc les résultats avec en prime les vidéos dans la mesure où elle était publique et le teaser du festival .

Le grand prix du jury a été décerné à la série “Sécurité” produite par Master Films, réalisé par Frédéric Duvin pour le compte d’Airbus Group. Voici quelques épisodes traitant de plusieurs sujets récurrents de la sécurité des informations dans l’entreprise.

Episode 1, Episode 2, Episode 3, Episode 4, Episode 5, Episode 6,

Le trophée de la meilleure réalisation a été décerné à “Cybersecurity changes with Orange” produite par Woow your Life, réalisé par Woow your Life pour Orange.

Le film ici.

Le trophée du meilleur scénario a été décerné à “Seconde fatale” produite par Image in Production, réalisé par Image Production pour Soltanche Freyssinet.

Le film n’est pas disponible.

Le trophée du meilleur film d’animation a été décerné à “La sécurité des SI, tous concerné” produite par la RATP, réalisé par Caribara pour la RATP.

Le teaser des films est ici, des extraits des épisodes par la Episode 1, Episode 2, Episode 3, Episode 4, Episode 5, Episode 6.

Le trophée du meilleur film dans la catégorie “Produit” a été décerné à “Liva” produite par Fulgura Films, réalisé par Fulgura Films pour Liva.

Le film est ici.

Le trophée du meilleur film dans la catégorie “Communication Externe” a été décerné à “Will you invite a trojan horse in your home” produite par Humblestorm/Armstong Film, réalisé par Johan Ring et Johon Alrion pour F-Secure.

Le film est ici.

Le trophée du meilleur film dans la catégorie “Communication Intene” a été décerné à “Série Rapid Learning Surf Clean Phishing” produite par Getzem Secure, réalisé par Getzem Secure pour le Crédit Agricole.

Le film n’est pas disponible.

Les sujets traités sont variés, agréable à regarder, ce qui est la première qualité lorsqu’ont les regarde.

L’initiative de ce festival est formidable car elle permet de mettre sur le devant de la scène un aspect important de l’entreprise numérique et du salarié connecté. En attendant le prochain l’année prochaine.

Les leviers de la fuite de données

manipulation
manipulation

Ces derniers temps le nombre de fuites de données ne se tarissent pas, pourtant ce n’est plus par méconnaissance, ni par manque de moyen technique, n’y aurait-il pas autre chose derrière tout ça.
En assistant un peu par hasard à une séance de sensibilisation j’ai découvert un concept intéressant, celui du MICE, rien à voir avec le mulot de l’ancien président français Jacques Chirac. Le MICE est l’acronyme de “Money – Ideology – Compromise – Ego“. L’argent, l’idéologie, la compromission et l’égo.
D’après les spécialistes que j’ai religieusement écouté ces 4 motivations sont les leviers qui permettent à des personnes d’entreprendre des actions de “trahison” envers leur environnement proche, amis, famille, employeur, pays, etc… En français on utiliserait plutôt l’acronyme VICE “Venal, Idéologie, Compromission, Ego”.
Ce concept, peut-être utilisé comme grille de lecture, et peut servir à manipuler quelqu’un, dans le bon, comme le mauvais sens.
Dans le bon sens le manager peut utiliser quelques éléments de cette grille, l’argent et l’égo, voir l’idéologie. En effet pour bien manager une force commerciale, l’argente et l’égo font souvent mouche, par contre dans une équipe d’ouvriers, l’idéologie, sous forme de loyauté à son entreprise et une fibre bien meilleur pour les résultats du manager qu’augmenter les salaires.
Dans le mauvais sens, les services secrets utiliseront tous les moyens pour manipuler une personne, est lui faire faire réaliser des actions qu’elle ne souhaite pas, comme par exemple faire fuiter des informations, un petit peu comme dans l’affaire Edward Snowden, ou plus connu l’affaire Farewell.
Passons tout d’abord ces leviers en revue.

L’argent :
L’argent moteur du monde, et une motivation qui fait se dépasser les traders, dans l’optique de bonus énormes. Un certain Jérôme Kerviel a pris des risques en ce sens. Ce n’est pas l’argent qui est une fin en soi comme l’oncle picsou, mais plutôt ce qu’on en retire.

M de MICE
M de MICE

L’argent permet d’acheter des objets et des biens de grande valeur, de rembourser des dettes, accéder à un statut social, cela permet d’assouvir un certain sentiment de puissance et de réussite.

L’idéologie :
L’idéologie repose sur une croyance en une, religion, politique, type de société, et dans l’extrémisme de la pensée de celle-ci.

I de MICE
I de MICE

En effet ces personnes font de leur idéologie une fin en soi, mais qui peut un jour s’effondrer, comme s’est effondré le communiste dans les années 90.

La compromission:
Le levier de la compromission permet de mettre une personne en opposition des lois, de la morale, ou de la société et finalement de la faire “collaborer” à un dessin qui n’est pas le sien en promettant de passer “l’éponge”.

C de MICE
C de MICE

La compromission concerne souvent des histoires, de mœurs, criminels, qui permettent de faire du chantage à la personne concernée.

L’égo:
Qui n’a jamais été flatté par un manager qui lui dit qu’il est les meilleurs de l’équipe? C’est tellement bon à entendre…
L’égo est une arme redoutable qui permet d’obtenir des choses incroyables de la personne “ciblé”. Les managers sont très friands de ce levier, tout comme les employés qui les écoutent.

E de MICE
E de MICE

Être le meilleur, une star, ou encore un héros, la finalité de notre société en mal être.

Ces 4 leviers permettent d’obtenir toutes sortes de choses de la personne qui en est la cible. Et souvent bien au-delà des espoirs du commanditaire.
Lors de cette conférence il a été expliqué que cette grille était utilisée comme lecture des vulnérabilités d’un individu. A bien y réfléchir on est tous sujet à ces 4 éléments.
Dans le cas qui nous occupe les fuites d’informations des systèmes d’information, on peut légitimement se demander si celle-ci se produisent grâce ou a cause de ces vulnérabilités ou force de motivation si on regarde l’attaquant.
Dans les cas de phising exemple l’égo est très utilisé pour donner de la confiance à la cible, puisqu’elle a la confiance du PDG.
Et partir de la commence l’histoire de la fuite, mais c’est une autre histoire.

1er Festival du Film de Sécurité

a12-fs

Dévoilé le 16 Octobre 2015 par Monsieur le Premier ministre Manuel Valls la Stratégie nationale pour la sécurité du numérique a mis en avant 5 points. Le point numéro 3 est celui de la sensibilisation et de la formation.

Il n’y a pas de sensibilisation sans support. Le Cigref avait développé une série de petits films sous le label Hack Academy dont j’avais de parlé ici. Le département du Val d’Oise et l’association Pays de Roissy-CDG sont à l’initiative du 1er festival du Film de Sécurité qui se tiendra le 11 octobre 2016 à Enghein Les Bains. Cette initiative très intéressante rentre directement dans le cadre de la Stratégie nationale pour la sécurité du numérique et permettra à différents acteurs de se rencontrer, d’échanger sur ce vaste sujet.

Lors de cette journée des films projetés seront en compétition, des conférences auront lieu et un espace dédié aux entreprises permettra à chacun de connaitre le savoir-faire des uns et des autres dans les métiers de la réalisation, du tournage ou des serious games.

Vous trouverez toutes les informations ici.

Hack Academy

Hack Academy
Hack Academy

Le Cigref a lancé le 1er septembre dernier une campagne de sensibilisation aux risques du numérique intitulé Hack Academy. Cette campagne repose sur un parallèle avec l’émission Star Academy, le célèbre télé crochet.

Ici 4 candidats Dimitri, Jenny, Martin et Willy proposent leurs attaques fétiches et pour les départager un jury composé d’Amy, Wuang et Dragan. Les 4 candidats ont chacun un côté attachant, Dimitri le beau gosse avec un accent de l’est, Jenny la teenager québécoise, Willy le belge et enfin Martin le gosse surdoué. Le teaser est ici.

Dimitri nous présente son attaque “man in the middle” sur les sites marchands et réserve une surprise à Dragan ici.

Jenny avec son petit chewing-gum rose nous présente sa technique spéciale pour récupérer les mots de passe, elle est “so cute”, c’est encore Dragan qui ramasse, ça se passe ici.

Martin avec son aire angélique vous présentera les logiciels gratuits et les clés USB ici.

Willy nous propose toutes les subtilités du phising ce sera ici.

Les choses ont même été sous-titré en anglais pour rendre le message plus internationale avec respectivement, Dimitri, Jenny, Martin et Willy.

Usez et abusez de ces vidéos qui sont très bien faites pour sensibiliser vos salariés, vos enfants et vos amis.

L’ANSSI se pli en 9

L'ANSSI en 9 #
L’ANSSI en 9 #

L’ANSSI en 9 # c’est le film institutionnel que l’ANSSI vient de mettre en ligne. La vidéo est ici.

L’objet de ce petit film est de montrer les missions de l’agence, le tout en 5 minutes. On y retrouve beaucoup d’images prises au FIC à Lille et dans le quartier de l’agence toute proche de la tour Eiffel et l’on y retrouve Guillaume Poupard l’emblématique Directeur Général de l’ANSSI

9 thèmes y sont développés :

  • la coordination, consistant à coordonner les actions de cyberdéfense et les projets de cybersécurité au sein de l’État français et de ses administrations,
  • la défense et la protection des systèmes d’information des différentes composantes de l’État français ainsi que celle des OIV,
  • la connaissance et l’anticipation, des menaces touchant l’environnement cyber, mais aussi les aspects touchant aux évolutions des technologies du numérique ,
  • le développement, de la filière cybersécurité à la Française afin de se doter des personnes répondant au besoin du pays dans la protection de l’espace numérique,
  • la promotion, des valeurs Française à l’international dans le domaine de la cyber et en particulier dans le monde francophone,
  • la formation et la sensibilisation, 2 axes complémentaires pour former à la sécurité du numérique et pour sensibiliser les Français et les francophones aux bonnes pratiques de la sécurité dans le monde numérique.

Ce petit film agréable à regarder permet de mieux percevoir les missions et les objectifs de cette agence française.

J’aurai l’occasion de revenir bientôt sur certains aspects de l’agence.

De la protection physique

De la protection physique
De la protection physique

On a beau parler de cyber, cela reste toujours quelque chose de difficile à appréhender et lorsque l’on parle de Sécurité des Systèmes d’Information (SSI) on se focalise principalement sur les aspects logiques mais cette approche même si elle est nécessaire n’est pas suffisante.

Historiquement, on fortifiait ce qui avait besoin d’être protégé des malveillants et des ennemis qu’ils soient extérieurs ou intérieurs. D’ailleurs à ce propos les châteaux les mieux défendus sont souvent tombé grâce à des complicités internes.

Pour aider à la protection il y a des aspects physiques du “cyber” il y a quelques éléments. Le premier dont j’ai déjà parlé est l’instruction interministérielle 901 disponible ici. Celle-ci détaille la protection physique au travers 3 objectifs. Les objectifs 9 à 11 allants des pages 16 à 18. Ces objectifs couvrent toutes les surfaces de l’entreprise, des zones publiques aux zones techniques et évoquent aussi les points d’importance vitale (PIV) décrit dans l’instruction générale Interministérielle 6600 disponible ici. Le second élément qui permet de mettre en place des mesures de protection physique est celle de l’instruction générale Interministérielle 1300 disponible ici. Celle-ci bien que prévu pour des locaux abritant du classifié de défense, permet de disposer d’un référentiel sur des règles de protection physique en particulier les articles 70 et 71 et l’annexe 6 donnant des principes généraux de protection.

Le cyber est un milieu aux extrémités duquel des points terminaux permettent des échanges via des interfaces (poste de travail, objets connectés, scada, …). Ces interfaces ont la mauvaise habitude d’être bien réelles et ce qui est bien réel doit être protégé.

Dans le cas présent il y a plusieurs points à protéger. Le premier et le plus évident c’est le cœur, le data center hébergeant les données, les serveurs. Pour cela II901 nous permet de prendre en compte les aspects protection physique avec les restrictions d’accès et la traçabilité de ceux-ci, mais aussi les problématiques d’énergie, de climatisation, de lutte contre l’incendie et de lutte contre les voies d’eau. En effet plus de serveurs, plus de cyber c’est aussi simple que cela, donc mettre le maximum de moyens pour éviter toute interruption de service est une obligation nécessaire.

Le second point à protéger est le réseau et ses points de connexion. Là encore l’II 901 permet d’avoir une approche cohérente et permet d’assurer la continuité de service entre les data centers et les interfaces. Ici on se rapproche de la protection des data centers.

Enfin dernier endroit où il faut assurer une protection, les interfaces. c’est surement le plus difficile, car il y a une diversité de lieux, cela peut être une zone de bureau cloisonné, un open space, un scada au milieu du désert en passant par un aérogare, ou une plate-forme pétrolière en mer du nord. Pour cela l’approche de LGI 1300 avec les notions d’emprise, bâtiment et local sont très intéressants, car cela peut permettre de moduler la protection en fonction des lieux et des configurations.

En complément de cette protection une analyse de risque permettra aussi de bien dimensionner les mesures et de savoir contre quoi se protéger. Une serrure 3 points au second étage ne protège pas contre une voiture bélier par exemple.

Il suffira de la déficience physique d’un de ces 3 cas pour que la protection de l’édifice entier puisse être mise en défaut et permettre au malveillant d’accéder au cœur de l’entreprise. Ces guides ne permettant pas de tout résoudre mais cela permet de placer des seuils minimum de protection physique pour l’entreprise. Après c’est à vous de jouer pour conduire le changement et faire accepter aux salariés des règles parfois contraignante mais ayant pour objectif d’assurer leur sécurité et celle des biens essentiels de l’entreprise.