Newsletter BSSI N°117 du 04 mai 2015 - Veille sécurité, publications et offres de service.
BSSI Conseil et Audit - Newsletter
Newsletter Sécurité N°117
                                Lundi 04 Mai 2015                                  


EDITO

Failles SSL/TLS

Depuis un an maintenant, différentes vulnérabilités affectant les différentes versions des protocoles SSL/TLS ont été découvertes. Elles ont fait tomber en éclat le sentiment de sécurité que ces protocoles apportaient à la protection des échanges sur Internet.
 
Ci-après une synthèse des principales failles :

  • En mars 2014 la faille Heartbleed affecte directement OpenSSL. La vulnérabilité permettait à un attaquant de lire les informations en mémoire du client ou du serveur et ainsi de récupérer les clés privées nécessaires à déchiffrer le trafic.
  • En octobre 2014, la faille Poodle permettait à un attaquant de forcer l’utilisation de protocole de chiffrement obsolète et ainsi donnait la possibilité à un attaquant en man in the middle de déchiffrer le trafic.
  • En mars 2015, la faille Freak permettait à un attaquant de forcer l’utilisation d’une clé de chiffrement non robuste, donnant à un attaquant qui écouterait le trafic, la possibilité de déchiffrer le flux.

 
Aujourd’hui de nombreux clients et serveurs restent vulnérables à ces différentes attaques, il convient donc d'être particulièrement vigilant.
 
Dans la configuration de vos serveurs et équipements nous recommandons de forcer les paramétrages suivants :

  • Pour des services Web publiques, utiliser des certificats émis par une autorité de certification reconnue.
  • Forcer le protocole TLS 1.2
  • Forcer, quand cela est possible avec les serveurs et les clients, les cipher suivants :
    • AES128-SHA256
    • AES256-SHA256

 
Attention, ces paramétrages peuvent entraîner des problèmes de compatibilité, il est important de les valider avant de les imposer en production.


Pour mieux se protéger :



Erwan Brouder, gérant et consultant en sécurité des systèmes d'information 

 
Veille sécurité

  • [Cybersécurité] TV5 Monde : récit d'une cyberattaque (nouvelobs.com)
  • [Cyberattaque] Airbus porte plainte contre X pour espionnage (liberation.fr)
  • [Cyberdéfense] Pour les Etats-Unis, la menace de cyberguerre supérieure au terrorisme (nouvelobs.com)
  • [Guide] Guide pratique Gestion De Crise - CCI Carcassonne (calameo.com)
  • [DFIR] Quelques outils de réponse à incidents (sroberts.github.io)
  • [Cybersécurité] L’incident de sécurité est-il un passage obligé pour obtenir des budgets sécurité ? (globalsecuritymag.fr)
  • [Outil] Local Administrator Password Solution (LAPS) de Microsoft est disponible (microsoft.com)
  • [Juridique] L’AFCDP publie un livre blanc sur le métier de Correspondant Informatique & Libertés (afcdp.net)
N’hésitez pas à nous faire parvenir des sujets sécurité que vous souhaiteriez voir abordés dans une newsletter ! Contactez-nous à contact@bssi.fr ou @BSSI_Conseil
 
Publications & Offres BSSI

 
SECURITE VS CONFORMITE
Lors de la première conférence plénière « La cybersécurité est-elle un échec ? » du FIC 2014, de nombreuses critiques ont été émises concernant les normes et standards de sécurité informatique ainsi que sur la conformité en général.
Lire l'article
 

VEILLE & CYBERCRIMINALITÉ 

BSSI publie hebdomadairement une newsletter de veille en sécurité des systèmes d’information et offre une veille active via les réseaux sociaux. En complément, nous vous proposons d’effectuer des analyses techniques adaptées à vos projets et enjeux : Étude de risques pour l’utilisation d’une nouvelle technologie ; Évaluation d’une solution technique / Benchmark de solution / veille concurrentielle ; Analyse des nouvelles tendances d’attaques
En savoir plus sur cette offre
SENSIBILISATION ET FORMATION
La sensibilisation est indispensable à toute démarche de sécurité des systèmes d’information. Au-delà des mesures techniques ou organisationnelles mises en place pour réduire les risques de sécurité informatique, le facteur humain est à prendre en compte et à ne pas négliger.
En savoir plus sur cette offre
Email Marketing Powered by Mailchimp