Veille Sécurité Numérique
DCP – Index AFCDP 2019 du Droit d’accès 60,3 % des entités sollicitées ont répondu
« Index AFCDP 2019 du Droit d’accès 60,3 % des entités sollicitées ont répondu dans les deux mois impartis par l’ancien cadre légal, ce qui représente une nette amélioration. »
9-11 minutes
« Quelques jours avant sa grande conférence annuelle (l’Université AFCDP des DPO, qui se tiendra le 16 janvier 2019 à la Maison de la Chimie, à Paris), l’AFCDP, association qui regroupe les DPO, publie son Index annuel du Droit d’accès. Au titre de la loi Informatique & Libertés, chacun peut demander à accéder à ses données personnelles. L’édition 2019 montre une meilleure prise en compte du droit des personnes. Mais qu’en sera-t-il l’an prochain, avec l’application des règles plus strictes imposées par le RGPD ? »
https://afcdp.net/spip.php?article837
Communiqué :
cp_afcdp_index_droit_acces_-_8_janvier_2019.pdf
« Le « noyau dur » des entreprises qui fait le mort descend à 33 %, contre 40 % les années précédentes
Bien que le pourcentage soit encore trop élevé, c’est une excellente nouvelle, mais il est regrettable de constater que le tiers d’entre eux avaient pourtant désigné un Correspondant Informatique et Libertés (le précurseur du Délégué à la Protection des Données). Faut-il aller jusqu’à, pour ces professionnels de la conformité, mettre en place des tests basés sur le principe du « client mystère » afin de leur permettre de vérifier que leur procédure de gestion des demandes de droits d’accès est connue et appliquée ?
Les personnes concernées étant de mieux en mieux informées et conscientes de leurs droits, elles n’hésitent plus à déposer une plainte auprès de la CNIL, ce qui se traduit par des saisines de plus en plus nombreuses des responsables de traitement par la Commission Nationale Informatique et Libertés. »
State of Software Security Volume 9: Top 5 Takeaways for CISOs
https://www.veracode.com/blog/research/state-software-security-volume-9-top-5-takeaways-cisos
veracode.com
State of Software Security Volume 9: Top 5 Takeaways for CISOs
By Suzanne Ciccone
7-8 minutes
We’ve just released the 9th volume of our State of Software Security report and, as always, it’s a treasure trove of valuable security insights. This year’s report analyzes our scans of more than 2 trillion lines of code, all performed over a 12-month period between April 1, 2017 and April 30, 2018. The data reveals a clear picture of both the security of code organizations are producing today, plus how organizations are working to lower their risk from software vulnerabilities. There are many significant and actionable takeaways, but we’ve pulled out what we consider the top 5 for security professionals.
1. Most code is still rife with vulnerabilities
More than 85 percent of all applications have at least one vulnerability in them; more than 13 percent of applications have at least one very high severity flaw. Clearly, we’ve got work to do. Most organizations are leaving themselves open to attack, and we need to focus on and keep at the application security problem.
2. The usual suspects continue to plague code security
We continue to see the same vulnerabilities pop up in code year after year. The majority of applications this year suffered from information leakage, cryptographic problems, poor code quality, and CRLF Injection. Other heavy-hitters also showed up in statistically significant populations of software. For example, we discovered highly exploitable Cross-Site Scripting flaws in nearly 49 percent of applications, and SQL injection appeared nearly as much as ever, showing up in almost 28 percent of tested software.
Why do these same vulnerabilities continue to emerge year in and year out? Most likely several factors are coming into play, but developer education clearly plays a big role. Veracode recently sponsored the 2017 DevSecOps Global Skills Survey from DevOps.com, and found that less than one in four developers or other IT pros were required to take a single college course on security. Meantime, once developers get on the job, employers aren’t advancing their security training options, either. Approximately 68 percent of developers and IT pros say their organizations don’t provide them adequate training in application security.
3. It’s taking organizations a long time to address most of their flaws
Finding flaws is one thing; fixing them is another. The true measure of AppSec success is the percentage of found flaws you are remediating or mitigating. This year, we took a detailed look at our data surrounding fix rates, and unearthed some troubling, and some promising, findings.
One week after first discovery, organizations close out only about 15 percent of vulnerabilities. In the first month, that closure reaches just under 30 percent. By the three-month mark, organizations haven’t even made it halfway, closing only a little more than 45 percent of all flaws. Overall, one in four vulnerabilities remain open well over a year after first discovery.
Why does that slow fix rate matter? Because cyberattackers move fast. If you’ve discovered a flaw, chances are, the bad guys have too. And the time it takes for attackers to come up with exploits for newly discovered vulnerabilities is measured in hours or days. A big window between find and fix leaves a big security risk.
4. The volume of vulnerabilities means prioritization is king
Clearly, most code contains a significant number of security-related defects. And also clearly, fixing those defects is not a simple or quick task. Therefore, prioritization rules in application security today. And this year’s data shows that, although organizations are prioritizing their flaws, they aren’t always considering all the important variables. Most are prioritizing by severity of flaw, but not considering criticality or exploitability.
This is a big deal when you consider that a low severity information leakage flaw could provide just the right amount of system knowledge an attacker needs to leverage a vulnerability that might otherwise be difficult to exploit. Or a low severity credentials management flaw, which might not be considered very dangerous, could hand the attackers the keys to an account that could be used to attack more serious flaws elsewhere in the software.
The bottom line is that organizations need to start thinking more critically about the factors that impact what they fix first.
5. DevSecOps practices are moving the needle on AppSec
In the good news department, this year’s data shows that customers taking advantage of DevSecOps’ continuous software delivery are closing their vulnerabilities more quickly than the typical organization.
What’s the connection? It stems from the focus on incrementalism in DevOps, which focuses heavily on deploying small, frequent software builds. Doing it this way makes it easier to deliver gradual improvements to all aspects of the application. When organizations embrace DevSecOps, they embed security checks into those ongoing builds, folding in continuous improvement of the application’s security posture alongside feature improvement.
Over the past three years, we’ve examined scanning frequency as a bellwether for the prevalence of DevSecOps adoption in our customer base. Our hypothesis is that the more frequently organizations are scanning their software, the more likely it is that they’re engaging in DevSecOps practices. And this year’s data shows that there is a very strong correlation between how many times in a year an organization scans and how quickly they address their vulnerabilities.
When apps are tested fewer than three times a year, flaws persist more than 3.5x longer than when organization can bump that up to seven to 12 scans annually. Organizations really start to take a bite out of risk when they increase frequency beyond that. Each step up in scan rate results in shorter and shorter flaw persistence intervals. Once organizations are scanning more than 300 times per year, they’re able to shorten flaw persistence 11.5x across the intervals compared to applications that are only scanned one to three times per year.
Get the full report
Read the full SoSS report to get all the software security insights and best practices from our scan data. This year’s report contains details on the above points, plus data and insights on specific vulnerability types, the security implications of programming language choice, which industries are more secure than others, and more.
Stay up to date on Application Security
sciccone’s picture
Suzanne is part of the content team at Veracode, working to create resources that shed light on AppSec problems and solutions.
AD Security – PingCastle
« People and process
PingCastle was born based on a finding: security based only on technology does not work. That’s why the company focuses on process and people rather than just technology. »
A complete Active Directory Penetration Testing Checklist
« Active directory penetration testing this article can be helpful for penetration testers and security experts who want to secure their network. »
DGSE ~ DGSI – La Chine cible 4000 personnes sur LinkedIn
« La Chine aurait conduit durant plusieurs années une énorme opération d’espionnage en ciblant 4000 personnes sur LinkedIn, et à un degré moindre sur Viadeo, révèle une note des services secrets français, obtenue par Le Figaro. »
« L’objectif: espionner la France, son administration française et des grandes entreprises. »
www.businessinsider.fr/comment-la-chine-a-utilise-linkedin-pour-espionner-france
« Concrètement, les employés des services de renseignement chinois créaient de faux comptes sur LinkedIn pour approcher ces profils très recherchés. Quelques 500 profils factices ont ainsi été répertoriés.
Voici comment ils procédaient:
Tout d’abord, des faux comptes de chasseurs de têtes, consultants ou encore responsables de think tank sont créées.
Ils envoient des « messages standardisés » en proposant des « opportunités de collaboration généreusement rémunérées ». Il s’agit souvent de la rédaction de rapports avec une rémunération de 300 à 500 dollars à la clé, indique Le Figaro. »
« Les agents de la DGSI et de la DGSE disent dans leur note avoir déjà identifié une quinzaine de sociétés écrans suspectes, dont la liste figure ici dans l’article du Figaro. »
The Dark Overlord déclare la guerre aux entreprises
« Les hackers noirs ont mis en ligne plusieurs centaines de documents sensibles, volés à des cabinets d’avocats, concernant les attentats du 11 septembre. The Dark Overlord semble avoir mis la main sur une mine d’informations et annonce, maintenant, le piratage d’un spécialiste de la fiscalité offshore, Advantage Life, de la marque de boisson énergisante FRS Health et d’une importante clinique de chirurgie plastique londonienne. »
www.zataz.com/the-dark-overlord-declare-la-guerre-aux-entreprises/amp/
“Ce hack est extrêmement volumineux et se rapproche de la sévérité des Panama Papers. explique The Dark overlord. Nous avons violé toute une série de banques d’investissement, de sociétés d’assurance vie et de sociétés de gestion de patrimoine financier offshore liées à Advantage Life (www.advantagelife.com). Nous avons volé des centaines de milliers de fichiers, y compris des courriels, des numérisations, des photos, des transactions bancaires, des comptes bancaires et des conseils financiers offshore, comprenant tous des juges fédéraux américains, des personnes politiquement exposées“.
NSA to release its GHIDRA reverse engineering tool for free
« The United States’ National Security Agency (NSA) is planning to release its internally developed reverse engineering tool for free at the upcoming RSA security conference 2019 that will be held in March in San Francisco.
The existence of the framework, dubbed GHIDRA, was first publicly revealed by WikiLeaks in CIA Vault 7 leaks, but the tool once again came to light after Senior NSA Adviser Robert Joyce announced to publicly release the tool for free in his RSA Conference session description. »
thehackernews.com/2019/01/ghidra-reverse-engineering-tool.html?m=1
Malware : Wannacry toujours en vie partout dans le monde
« Wannacry, ce nom de ransomware avait fait la « Une » de l’actualité pendant plusieurs semaines en mai 2017, avant de sombrer dans l’oubli laissant penser que tout était rentré dans l’ordre. Pourtant, prés d’un an et demi après, Wannacry est toujours actifs et touche des centaines de milliers de PC dans plus de 194 pays. »
www.presse-citron.net/malware-wannacry-sevit-toujours-partout-dans-le-monde/
Comment la France s’est vendue aux Gafam
« Pourquoi la France est-elle passée du statut de pays leader dans la technologie à celui beaucoup moins enviable de nation consommatrice de smartphones obligée de mendier un peu d’oxygène aux grandes plateformes pour développer ses projets ? »
lepoint.fr
TRIBUNE. Comment la France s’est vendue aux Gafam
Tariq Krim
12-15 minutes
« Pourquoi la France est-elle passée du statut de pays leader dans la technologie à celui beaucoup moins enviable de nation consommatrice de smartphones obligée de mendier un peu d’oxygène aux grandes plateformes pour développer ses projets ?
L’histoire du déclin du numérique français est une tragédie en trois actes. Il y eut d’abord les « 30 honteuses du numérique », où une petite élite arrogante et dénuée de vision stratégique a démantelé notre industrie informatique et électronique grand public. Elle a débranché les travaux de recherches les plus intéressants et laissé nos meilleurs développeurs partir à l’étranger faute de pouvoir les associer à des projets ambitieux.
Vient ensuite la capitulation vis-à-vis des grands acteurs américains. Ainsi, de nombreux politiques et hauts fonctionnaires français leur ont permis d’intégrer leurs technologies au cœur des prérogatives régaliennes de l’État : défense, renseignement, éducation, sécurité, mais aussi culture. Plusieurs d’entre eux quitteront leurs fonctions pour aller rejoindre ces sociétés.
Le troisième acte se joue en ce moment. Alors que nos dirigeants se préparent à une vente à la découpe, il reste cependant un mince espoir d’inventer une autre manière d’utiliser le réseau plus en phase avec nos principes et nos valeurs. Mais pouvons-nous encore changer la doctrine des politiques numériques de la France ? Quand on écoute nos hommes politiques, le déclassement de l’Europe vis-à-vis de l’Internet est présenté comme une fatalité. Un accident de l’Histoire à l’issue duquel les clés du monde de demain auraient été données aux États-Unis et à la Chine.
La réalité est beaucoup plus douloureuse. En 1993, les États-Unis lancent le projet des « Autoroutes de l’information » qui fera notamment de l’Internet et du numérique le fer de lance de leur nouvelle stratégie de croissance. Au même moment, l’Europe décide de miser sur les industries traditionnelles… et le diesel propre ! Vingt-cinq ans plus tard, les Gafam dominent aujourd’hui le monde et le patron d’Audi a été arrêté pour avoir faussé les mesures de pollution de ses moteurs. En France, les Gilets jaunes ne comprennent pas pourquoi ils sont taxés sur le diesel alors que pendant des années on les a massivement incités à acheter les voitures utilisant ce type de carburants.
Nous aurions pu avoir un autre destin, car si les États-Unis avaient la vision et l’argent, c’est en Europe qu’ont été inventées deux des briques fondamentales de l’Internet : Linux et le Web. Mais à la différence du standard GSM, ces dernières ont eu le malheur d’être conçues par des individus talentueux hors des grandes institutions. Snobés chez nous, ces deux projets deviendront le moteur des plateformes numériques américaines et chinoises et l’instrument de leur domination mondiale. Car c’est bien de la détection précoce des technologies d’avenir et des talents que viennent les succès de sociétés comme Google, Apple, Facebook, Amazon ou Microsoft. La France ne voit pas les choses de la même manière, notre élite méprise ce qui est marginal, différent ou simplement trop petit. Le scénario de « dénumérisation » de la France suivra toujours le même schéma. Nous vendrons à la casse nos sociétés, ou les dilapiderons alors qu’elles possédaient en interne les technologies qui, si elles avaient été mieux valorisées, nous auraient permis d’influencer la direction prise par l’Internet.
Tout commence dans les années 70, avec l’abandon du réseau Cyclades de Louis Pouzin au profit du Minitel. Louis Pouzin en est le concepteur et il est l’inventeur de la segmentation des données en « Datagramme ». Il sera récompensé (avec Tim Berners-Lee et Vinton Cerf) par la reine d’Angleterre pour ses contributions essentielles à la création de l’Internet et il reste à ce jour un inconnu du grand public en France. Il faudra attendre 1994 pour que nos chercheurs acceptent enfin de s’intéresser à autre chose qu’à des technologies incompatibles avec l’Internet. Dans les années 90, c’est au tour du Premier ministre de l’époque Alain Juppé d’expliquer, au journal de 20 heures, sa décision de vendre à la casse Thomson Multimédia au coréen Daewoo : « Thomson, ça ne vaut rien, juste un franc symbolique. » Le gouvernement obsédé exclusivement par le volet social de l’entreprise ignore que Thomson multimédia dispose d’une grande partie des brevets sur la musique (le fameux MP3) et la vidéo en ligne qui seront utilisés quelques années plus tard dans tous les smartphones. Sa branche grand public sera démantelée et vendue au chinois TCL et ses meilleurs ingénieurs partiront chez Google.
Quasiment au même moment, Alcatel décide de transférer ses usines vers la Chine. Son PDG veut appliquer la stratégie du « fabless », à savoir délocaliser la production tout en conservant le design en France. Ce sera une grossière erreur d’analyse. Lorsque les smartphones deviennent un succès international, la France n’a plus de capacités industrielles dans ce secteur, alors qu’elle était l’un des principaux fabricants dans le monde. Nokia, le champion européen du GSM, sera lui aussi vendu à Microsoft puis mis à mort quelques années plus tard. Seuls la Corée et le Japon qui ont su conserver leurs sociétés dans le domaine profiteront pleinement de l’arrivée d’Android. Après avoir sabordé notre électronique grand public, tout sera fait pour empêcher la création d’une industrie indépendante de l’Internet en France.
Alors que la Silicon Valley parie sur les talents et les start-up, la France préfère s’embourber dans des grands projets institutionnels sans avenir. Mais ces projets permettent aux politiques de faire des annonces et aux industriels déjà établis de bénéficier de la manne de l’argent public. Ainsi, le projet Quaero, qui visait à créer un « Google Européen », a été lancé par Jacques Chirac. Il terminera rapidement dans les oubliettes technologiques. Plus récemment, le Cloud souverain, qui se targuait d’être la réponse française à Amazon et Microsoft, sera abandonné en rase campagne puis revendu (et sans ironie aucune)… au chinois Huawei. Au final, beaucoup d’argent aura été dépensé soit pour concurrencer l’Internet lui-même soit pour contourner les start-up qui voulaient développer des solutions alternatives aux Gafam. C’est une génération entière d’entrepreneurs et de chercheurs que l’on a écartés pour redéfinir la politique industrielle du secteur. Tout récemment, le rapport sur l’intelligence artificielle de Cédric Villani n’a pas fait mention des deux meilleures solutions open sources dans le domaine : SciKit Learn et Keras qui se trouvent être… françaises.
L’acte deux commence avec le quinquennat Hollande. Un changement d’attitude va s’opérer vis-à-vis des grandes plateformes. La défaite est désormais entérinée en coulisses. Il ne s’agit plus d’exister au niveau mondial, mais de négocier avec les Gafam tout en faisant mine de s’indigner publiquement de leurs abus de position dominante. Place à la stratégie « Ferrero Rocher » : tapis rouge, petits fours, quasi-visites d’État et quasi-sommets diplomatiques avec les Gafam. L’exigence de souveraineté numérique n’est plus un rempart. Un partenariat entre Cisco et l’Éducation nationale est mis en place par Manuel Valls. Ceci alors que cette société est au cœur du complexe militaro-industriel américain. Son patron sera d’ailleurs nommé par Emmanuel Macron ambassadeur mondial de la French Tech. Et il « accompagnera » les start-up françaises notamment pendant le voyage présidentiel en Inde. Si John Chambers est bien l’un des meilleurs patrons de la Tech mondiale, le signal donné par sa nomination est déroutant pour l’entrepreneuriat français. Ce n’est tristement pas le seul. Microsoft est devenue le partenaire de l’Éducation nationale, et Google le parrain de la Grande École du Numérique. La société de Big Data Palantir, proche des services secrets américains, a conclu un contrat avec la DGSI (et peut-être la DGSE ?), et elle est également présente chez Airbus. Enfin, à l’échelon des collectivités territoriales, les régions vont s’appuyer sur Facebook pour « la formation au numérique ».Comment, dans ces conditions, se plaindre des conséquences des réseaux sociaux et de l’impact des Gafam sur notre démocratie quand nous leur avons ouvert si largement les portes de l’État ?
Ce qui nous amène à l’acte 3. La plupart de ces partenariats ont été signés à une époque où le succès des Gafam ne pouvait pas être remis en question. Mais depuis l’affaire Snowden, de nombreux scandales ont montré les failles morales de ces sociétés dans la gestion de nos données personnelles ainsi que dans l’utilisation « non-éthique » des technologies de l’intelligence artificielle. La France peut d’ailleurs se targuer d’être la seule démocratie occidentale à ne pas avoir ouvert de commission d’enquête à la suite de l’affaire Cambridge Analytica. Le gouvernement a préféré annoncer une collaboration rapprochée avec Facebook. Il s’agit de maintenir l’illusion que l’on peut gérer l’État comme une start-up, tout en feignant d’oublier que la majorité d’entre elles échoue dans les deux ans qui suivent leur création. En effet, ce gouvernement prend un risque inconsidéré en pariant notre avenir sur une hypothétique transformation numérique autour de « l’intelligence artificielle ». Si nous ne nous donnons pas les moyens de réguler la manière dont ses entreprises et ce type de technologies fonctionnent, nous pourrions détruire notre modèle social en tentant de copier ceux de la Chine ou des États-Unis. L’ironie du sort veut que, désormais, certains industriels et chercheurs américains s’appuient sur l’Europe et sa réglementation sur les données personnelles pour sortir d’un modèle numérique qui n’est pas « durable ». Aux États-Unis, le ministère de la Santé a ainsi lancé une grande étude sur l’impact des écrans et le Sénat a analysé, dans un rapport très détaillé, les manipulations des réseaux sociaux qui ont eu lieu lors de la dernière campagne présidentielle.
Il existe pourtant un scénario de sortie de crise. En effet, la meilleure réponse à la crise de confiance systémique vis-à-vis des Gafam est de soutenir les mouvements autour des technologies « éthiques ». Il s’agit d’un nouveau terrain de croissance industrielle pour l’Europe, comme le Bio l’a été pour l’agriculture. De nombreux entrepreneurs réfléchissent à d’autres façons de concevoir la technologie, s’appuyant beaucoup moins sur la donnée et créant moins d’intrusions vis-à-vis de leurs utilisateurs. C’est le mouvement autour des logiciels éthiques et du Slow Web. Ce mouvement, qui s’est réuni en septembre dernier à Copenhague, souhaite définir un meilleur équilibre entre usage numérique et monde réel pour ne pas rendre ces technologies aliénantes. Il prône notamment l’arrêt de certaines pratiques toxiques comme le profilage (micro targeting) ou la manipulation de nos émotions via des messages ciblés sur nos mobiles dont nous avons vu les conséquences désastreuses lors du référendum sur le Brexit ou l’élection américaine. Parce que nous avons laissé le numérique devenir un sujet politique de second plan, et que nous avons nommé des communicants à la tête des institutions qui devaient s’en occuper, il n’y a pas eu de véritable débat sur la digitalisation de l’État, et sur les conséquences que ces technologies peuvent avoir sur chacun d’entre nous. Nous devons désormais exiger que les choix technologiques faits par l’État (comme les décisions politiques dans ces domaines) soient lisibles et compréhensibles par l’ensemble des citoyens… Car s’il s’agit de faire de la France une colonie numérique des plateformes et qui ne profiterait qu’à une petite bourgeoisie d’Internet, alors il faudra le dire clairement !
Il est temps également de voir émerger une nouvelle forme de résistance citoyenne. Car l’usage de ces technologies n’est pas neutre, la substitution de l’action de l’État par des algorithmes rend caduque l’égalité de traitement entre chaque Français. Le remplacement de nos services publics par un « État plateforme » totalitaire (à l’instar du « Crédit social » qui voit chaque Chinois recevoir une note qui détermine leur capacité à se déplacer ou à obtenir un crédit) n’est pas la vision que nous souhaitons promouvoir. C’est pourtant ce qui se prépare dans certains cabinets ministériels lorsqu’il est question d’État plateforme… En espérant que la France reprenne le dessus sur ces questions, il faut saluer l’action de la commissaire européenne danoise Margrethe Vestager qui a su faire preuve d’un véritable leadership sur la régulation des plateformes. Il sera important lors des prochaines élections européennes de lui permettre de s’appuyer sur un parlement qui sera capable de l’aider à poursuivre sa tâche.
* Tariq Krim, pionnier du Web français, fondateur de Netvibes, Jolicloud et de la plateforme de Slow Web dissident.ai.