© 2017 www.servole.com
Blog Sécurité

Une carte graphique de 45 euros peut calculer 158 millions de mot de passe par seconde

A cette vitesse, confirme UKFast, une société d'hébergements de sites web, la croyange généralisée qu'un mot de passe, comprenant des caractères minuscules et majuscules aléatoires n'est pas cassable, tombe aux oubliettes. La société d'hébergement annonce que les résultats de leurs recherches on été confirmés lors d'un congrés sur la sécurité (Cyber Security Awareness) il y a plus d'un mois afin d'alerter aussi bien les utilisateurs finaux que les sociétés sur ce danger.

Une carte graphique d'un ordinateur standard, que tout le monde possède à la maison, peut calculer 9 millions de mot de passe par seconde, ceci démontre réellement la puissance de ces cartes graphiques. Les mots de passe raisonnablement complexes peuvent donc être cassés en utilisant des équipements standards à la porte de tous confirme Stuart Coulson, expert en sécurité chez UKFast. L'utilisation d'une carte nVidia GeForce GT220, confirme Coulson, peut-être achetée pour 45 euros avec les derniers pilotes logiciels pour Windows 7. Cette configuration peut casser un mot de passe de 6 caractères en 12 secondes, de 7 caractères en moins de 5 minutes et de 8 caractères en moins de 4 heures.

Mais il y a plus grave encore, comme le confirme UKFast, les cartes graphiques les plus performantes (700 euros) allègent le travail de cassage de mot de passe avec 10.3 milliards de combinaisons par seconde. Ceci correspond à une vitesse d'execution 65 fois plus rapide qu'une carte graphique de 45 euros, suggérant qu'un mot de passe de 8 caractères peut-être cassé, en théorie, en moins de 4 minutes. Commentant le résultat de ces recherches, Neil Lathwood, directeur informatique de la société UKFast, confirme que les ingénieurs ayant travaillé sur la puissance de ces processeurs graphiques, de par l'architecture matériel des composants, la puissance de calculs est supérieure à celle d'un processeur standard pour certaines tâches spécifiques.

Entre temps, Coulson confirme que les utilisateurs devraient se protéger de ce type de danger, en changeant assez souvent leurs mots de passe tout en le complexifiant le plus possible avec une longueur supérieure à 8 carcatères. "Personne n'est immunisée contre les conséquences d'un mot de passe faible, y compris les dirigeants ayant une position élevée dans le secteur privé ou publique". Chaque caractère supplémentaire augmente la difficulté pour décoder le mot de passe et donc le travail du hacker. En effet le nombre de combinaisons croit très rapidement en fonction du nombre de caractères utilisé. Il est donc recommandé d'avoir le mot de passe le plus long possible, 16 caractères ou plus.

                              Gmail ne remplit pas les conditions de sécurité de la police de Los Angeles

                                                                               

La Police de Los Angeles a décidé de stopper la migration vers la messagerie Gmail de 13.000 de ses employés après avoir constaté de l’incompatibilité des politiques de sécurité interne avec la messagerie cloud de Google. Si le principe de précaution de la seconde ville des Etats-Unis à utiliser une messagerie dans le Cloud pour gérer ses emails juridique n’est pas une surprise, elle pourrait toutefois faire jurisprudence et retarder l’adoption des messageries hébergées sur des infrastructures de Cloud public.

Après des mois d'hésitation, la conseil de la ville de Los Angeles a voté unanimement le retrait des 13.000 utilisateurs en charge des questions de justice, du vaste projet de refonte du système du système de messagerie de la ville. Quel est le problème ? La suite de productivité Cloud de Google - les Google Apps - ne remplissent pas les critères de sécurité, très exigeants, imposés par la police (LA Police Department). Les autres départements concernés par cette décision sont le bureau du procureur, la brigade des pompiers ainsi que le département des transports. Ces utilisateurs conserveront leur ancien système Novell GroupWise.

Les 17.000 autres employés de ville continueront en revanche leur migration vers Gmail. En fait, le responsable administratif de la ville a affirmé que «la ville a réalisé, grâce à cette migration vers Google, des économies d’échelle et de matériel informatique». De son côté, Google a affirmé ne voir que les avantages du projet, affirmant que les contribuables de LA avaient déjà économisé au moins 2 millions de dollars grâce à cette migration. De plus, le groupe de Mountain View, plutôt serein, a toujours affirmé que la ville n’avait revu ses exigences en matière de sécurité pour ces départements juridiques, qu’après la signature du contrat.

En effet, la lettre envoyée au conseil confirme que «les règles de sécurité en place sont actuellement incompatibles avec le cloud computing». Le cloud est-il incompatible, quel qu’il soit ? Mais où est le vrai problème : s’agit-il d’une ré-écriture du contrat à posteriori ou cela indique-t-il qu’aucune messagerie cloud ne dispose de règles de sécurité suffisamment élévées pour la police et le bureau du procureur ? En fait, la ville doit également être conforme aux standards de sécurité imposés par l’état fédéral, tel que le Criminal Justice Information Services Security Policy du ministère de la Justice américain - qui a constitué un point critique dès le départ du projet.

La ville de Los Angeles a signé ce contrat de 7,2 millions de dollars avec Google et son partenaires Computer Science Corp fin 2009. Un contrat considéré comme stratégique dans la lutte que se livrent Google et Microsoft sur ce marché. Mais l’accord s’est rapidement retrouvé litigieux en matière de sécurité. En dépit des protestions de Google, au moins un analyste, Rob Enderle, analyste principal au Enderle Group s’est permis de qualifier très ironiquement cette histoire de «cop out» (par analogie à l’opt-out qui marque le désengagement). Puis d’ajouter : «Google a démarré avec des prix trop bas. Fournir une solution email sécurisée dans le cloud est  possible aujourd’hui, mais cela à un coût qui ne peut-être bas.»

Les menaces pour 2012 : Tour de table dans l’industrie

Nous avons demandé à 20 sociétés expertes dans la sécurité des SI leurs prédictions pour 2012. Le résultat n’est pas une étude scientifique, mais plutôt une bonne indication à quoi s’attendre pour cette nouvelle année

Nous devrions commencer par un avertissement : beaucoup de ces menaces doivent être combinées. Par exemple le social engineering est souvent une menace ciblée sur les réseaux sociaux, comme la menace “bring your own device (BYOD)” est souvent lié aux menaces liées à l’utilisation des téléphones mobiles. Les menaces de type APT (Advanced Persistent Threat) sont souvent liées aux attaques liées aux infrastructures et ainsi de suite…

Cependant, cette vue d’ensemble est une bonne image de ce qui nous attend dans le paysage des menaces pour 2012.

1. Les Malware des telephones mobiles

Sans surprise, de par la croissance exponentielle des téléphones mobiles ces dernières années, ils sont devenus le principal vecteur des menaces de type malware. « En 2012 nous allons voir l’émergence de la plus grande menace avec l’avènement des « smartphones » et tablettes de tous genres dans les entreprises », confirme la société Blue Coat Systems. « La grande menace vient de tous ces téléphones mobiles intelligents (Android ou Iphone/Ipad), que ce soit dans leur fonctionnement normal ou en étant attaqué » commente Guidance Software. « Surfer sur le net, sur les réseaux sociaux, les jeux ou la messagerie, les codes malicieux (malware) confirment se déployer rapidement au travers de toutes ses activités et ainsi être la meilleure arme des hackers en quête de reconnaissance sur les marchés de masse » indique AppRiver.

« Les téléphones mobiles sont les ventres mous du système que les hackers apprécient particulièrement pour leurs activités illégales » confirme Vigil Software. « Les logiciels anti-malware pour téléphones mobiles et tablettes sont justes à leurs balbutiements » explique M86 Security « et les cyber criminels continueront à cibler ce type de produits ».

“Les attaques sont simples et directes de par les faibles protections de ces systèmes pour les arrêter » ajoute Trusteer. De plus, prévient Information Security Forum, « beaucoup d’applications pour internet, utilisées sur ces équipements, sont souvent développées sans un programme de tests et qualifications conforme aux standards ».

2. Les Advanced Persistent Threat (APT)

Les APT (Menaces Persistantes Avancées) sont seconds sur la liste de prédictions. Les menaces sur les infrastructures (en 4ème position) et autres attaques ciblées impliquent aussi les APT. Une tendance semble se confirmer avec des attaques en nombre croissant sur les infrastructures nationales et grandes sociétés par rapport aux particuliers. L’année précédente a vu ce scénario se développer continuellement et indique que la communautés des hackers continuera de cibler les systèmes, avec des mécanismes tel que Duqu, plutôt que les particuliers » confirme Cyber-ArK.

« Les attaques APT contre les grands groupes et agences gouvernementales, au cours de 2011, le seront encore plus en 2012 » prévient Lancope. « L’une des menaces clé pour 2012, confirme BAE Systems Detica, sera le cyber-espionnage économique. La conséquence sera une plus grande prise de conscience des menaces en provenance des APT, de ces grands groupes. Cette préoccupation sera au centre de leur projets de sécurité ».

3. Social Engineering

Le Social engineering est vu comme le troisième vecteur de menace. Ceci doit être pris en conjonction avec les menaces rencontrées sur les réseaux sociaux et les « cannes à pêches » du pishing. Le social engineering est souvent utilisé pour cibler les utilisateurs des réseaux sociaux. Nous prédisons, indique Tripwire, que « les plus grandes menaces pour 2012 viendront de menaces dont le vecteur sera le social engineering. Nous avons constaté une forte augmentation d’attaques de type phising avec un certain succès, ce qui encouragera la communauté des hackers à redoubler d’efforts pour obtenir encore plus de succès » indique RandomStorm. « Social engineering continuera d’être une grande menace pour les données personnelles de type financières, santé, propriété intellectuelle dans le secteur privé » confirme RandomStorm. « Ceci parce que le l’Homme est de nature confiante et donc sera toujours le chaînon faible dans les problématiques de sécurité physique ou sur le web ».

4. Les Infrastructures

Les menaces sur les infrastructures au niveau national sont également en augmentation. « Les cyber attaques des infrastructures du pays vont croître » confirme LogRhytm. « La crise économique mondiale ajoutée aux instabilités politiques vont précipiter les attaques dans ce secteur ».

Kaspersky voit des attaques ciblées, que ce soient des menaces de type APT ou phising, vers les grands groupes, les infrastructures du pays ou les particuliers pour 2012. « Le but reste le même : faire de l’argent facile, mais également, confirme Kaspersky, perturber et nuire aux infrastructures d’un concurrents ».

“Les vulnerabilities de type SQL et XSS connaîtrons la plus grande croissance pour 2012,” pense Outpost24. “Une tendance qui continue après la vague de données volées ou compromises vu en 2011. Ceci est expliqué par la facilité avec laquelle un hacker peut scanner les défauts du code logiciel d’un site web et les exploiter. Les attaques SQl et XSS sont simples et dévastatrices ».

5. Les attaques DDoS (Distributed Denial of Service)

Les attaques DDoS sont pratiquement toujours effectuées par des réseaux de PC (botnets). Ces attaques sont classées en numéro 1 dans les prédictions de la cellule X-Force d’IBM. « Nous nous attendons à voir de plus en plus ce type d’activités motivée par des raisons politiques (hacktivism) et qui ont fait la une des médias en 2011 » indique-t-il. « Il est particulièrement important pour les organisations de développer en avance une stratégie de parade, afin d’être préparer au pire quand cela arrive ».

“Pour le protocole SSL, indique Imperva, les attaqueurs exploitent les vulnérabilités suivant les différentes configurations de mise en place. De plus, nous voyons une augmentation des attaques contre les infrastructures mondiales qui supportent le protocole SSL. Nous nous attendons à un pic concernant ces attaques pour 2012 ».

La société Ravenswood Consultants perçoit une menace concernant l’accroissement de l’utilisation du  cloud. Les accès non sécurisés à ces systèmes sont une menace. « Ces problèmes sont contrevenants à la directive de l’Union Européenne concernant la sécurité des données à caractère personnel, ainsi que la loi du Royaume Uni de 1998 (Data Protection Act) ».

Données Privées

Et finalement, dans la continuité du thème des données personnelles, David Harley de l’ESET, considère que la protection des données est l’une des premières cibles des hackers. Ceci deviendra une priorité afin de renforcer la sécurité en partageant l'information. « Ceci ne semble pas une menace, confirme-t-il, mais avez-vous confiance dans votre gouvernement pour faire un usage « approprié » de vos données et les stocker dans un endroit sure ? ».

Finalement...

Un dernier commentaire. Malgré toutes les menaces, prédictions et avertissements, vous croiserez au cours des prochains mois la menace que vous n'attendiez plus...

Les bonnes questions à se poser pour votre audit de risques IT

Le système CAAT (Computer-Assisted Audit Techniques) sont souvent employés pour aider les auditeurs à analyser les infrastructures des systèmes d’information afin de localiser rapidement les vulnérabilités en termes de sécurité. Les CAAT génèrent des rapports d’audit ou surveillent en continu les technologies en présence afin de détecter et prévenir tous changements du système de fichiers ou de configurations. Les CAAT peuvent être utilisés sur les stations de travail, serveurs, mainframe, routeurs, switch réseaux et tous types de systèmes et périphériques.

Pendant que les CAAT peuvent fournir des informations sur les systèmes informatiques, les auditeurs gardent un œil sur les activités et pratiques de l’entreprise qui ne peuvent être quantifiées aisément. Certaines des questions clés que l’auditeur doit poser sont :

Qui est responsable de la sécurité et à qu’il reporte-t-il ?

Est-ce que les listes de contrôle (ACL - Access Control List) sont placées sur les équipements réseaux afin de contrôler qui a accès aux données partagées ?

Comment sont générés et gérés les mots de passe ?

Y-a-t-il des fichiers log qui enregistrent l’activité des utilisateurs sur l’accès aux données ?

Qui passe en revue les fichiers log, et à quelle fréquence ?

Est-ce que la configuration de sécurité des systèmes d’exploitation et des applications est en accord avec les pratiques de sécurité couramment utilisés dans l’Industrie ?

Est-ce que les applications et services obsolètes sont-ils retirés du système d’information ? et à quelle fréquence cette tâche est-elle réalisée ?

Est-ce que les systèmes d’exploitation et applications sont à jour ?

Comment sont conservés vos médias de sauvegarde ? Qui à accès à ces médias ? Ces sauvegardes sont-elles à jour ?

Comment est adressée la sécurité des emails ?

Comment est adressée la sécurité des accès web ?

Comment est adressée la sécurité des accès wifi ?

Est-ce que les collaborateurs itinérants sont-ils dans le schéma de sécurité de l’entreprise ?

Est-ce qu’un Plan de Reprise d’Activités (PRA) est en place ? Est-ce que ce plan a déjà été testé, répété ?

Est-ce que les applications personnalisées ont été testés sur le plan de la sécurité ?

Comment sont documentés les changements de configurations ou de code ? A quelle fréquence ces procédures sont passées en revue ?

Beaucoup d’autres questions concernant la nature exacte de l’activité de l’entreprise doivent être également posées.

Alors que l’audit de sécurité d’un système informatique est une action spécifique, la sécurité d’un système informatique est un processus en continu. Il permet de concevoir, déployer et maintenir une politique de sécurité, des technologies et bonnes pratiques, mais doit également garder un état constant de préparation à passer un audit de sécurité à n’importe quel moment.

Contact

Envoi d'un dossier de compétences sur demande.

ISO 27001, ISO 27002, ISO 27003, ISO 27004, ISO 27005, ISO 27006, ISO 27007, ISO 27008, RGS, PCI-DSS, ISO 15408, OWASP, ISSAF, OSSTMM, RGS, RSI, RSSI, SSI, SMSI, Ebios, analyse de risques, audit de sécurité, MCS, AEM, Mehari, VPN, sécurité des systèmes d’information, SPC, technologies de sécurité, cryptologie, défense en profondeur, authentification, MEHARI, CRAMM, dématérialisation, anti-virus, tests d’intrusion, IT Forensic Expert, Chief Security Officer, CSO, CIO, Expertise judiciaire, article 145 code CPC, analyse de risques expert sécurité informatique, Application Security, Internet and Network Security, Malware and Hardware Security, Disaster Recovery, Business Continuity Template, ISO 22301, SOX, audit de sécurité, ISACA, ISMS, AFNOR, accréditation, NISP, BECCA, Business Espionage Controls and Countermeasures Association, Expert en Informatique Légale