Vulnérabilités Spectre et Meltdown

L’information a été communiquée au grand public début Janvier 2018 : deux nouvelles « failles » (vulnérabilités), aux noms de film de James Bond, ont été divulguées  : « Spectre » et « Meltdown ». Elles concerneraient la grande majorité des processeurs utilisés : Intel (Leader du marché) mais peut être d’autres.

De quoi s’agit-il ?

Le processeur est le cœur de tout ordinateur, celui par qui transite toute l’information, qui réalise l’essentiel des traitements – le reste étant réalisé par des périphériques (carte graphique, contrôleur disque, carte réseau) non négligeables toutefois du point de vue sécurité.

Ces vulnérabilités sont en fait des défauts de conception (a priori involontaires) et découvertes récemment (du moins officiellement) qui permettraient théoriquement à un acteur mal intentionné (et très pointu) d’accéder à des données normalement protégées  : clés, mots de passe, etc.

Cela concerne donc tous les ordinateurs, PC, portables, serveurs, et particulièrement les serveurs hébergés sur lesquels cohabitent des données de plusieurs clients différents.

Que faire pour se protéger ?

En attendant l’arrivée de nouveaux processeurs sur vos futurs ordinateurs, les fabricants et éditeurs travaillent à colmater la brèche. Il faut donc appliquer dès qu’ils seront disponibles les correctifs des systèmes d’exploitation (par exemple Windows Update), mettre à jour vos logiciels tels que les navigateurs Internet (Mozilla, Chrome et autres) et bien sûr vérifier que vos antivirus sont à jour.

Pour les serveurs hébergés, les prestataires concernés sont bien entendu mobilisés, mais n’hésitez pas à vous tenir au courant des actions engagés par le vôtre, et de vous faire une opinion sur son sérieux et sa réactivité à cette occasion, en particulier pour les sites de commerce électronique.

Dernier point à prendre en compte et non des moindres : selon des estimations qui circulent déjà, les correctifs pourraient faire perdre jusqu’à 30 % de performances à vos systèmes : à surveiller de près pour éviter que vos applications ne s’écroulent si les serveurs sont déjà lourdement chargés.

sources :

https://www.ssi.gouv.fr/actualite/alerte-multiples-vulnerabilites-dans-des-processeurs-comprendre-meltdown-et-spectre-et-leur-impact/

http://www.journaldunet.com/solutions/expert/68294/meltdown—comment-eviter-que-la-faille-des-processeurs-intel-n-impacte-les-sites-e-commerce.shtml

http://www.lefigaro.fr/secteur/high-tech/2018/01/08/32001-20180108ARTFIG00156-failles-meltdown-et-spectre-plusieurs-actions-en-justice-engagees-contre-intel.php

Faille de sécurité KRAK (piratage de WIFI)

Ce mois-ci les média ont annoncé la découverte par des chercheurs d’une faille de sécurité dans le protocole WPA2 qui protège la majorité des points d’accès WIFI.

Cette faille permet une attaque de type « man in the middle » (un système se place de façon transparente dans la communication entre deux systèmes, envoie les questions et les réponses de l’un à l’autre qui croient se parler directement, et intercepte les données pour les détourner)

On n’a pas signalé à ce jour de piratage basé sur cette faille, mais le risque est imminent.

Les constructeurs d’équipements Wifi devraient proposer rapidement des correctifs (mise à jour de firmware) pour leurs matériels récents. Dans l’intervalle, il est conseillé de limiter l’exposition des Wifi et d’utiliser des communications sécurisées (VPN, https)

à titre d’information :

Wikipédia

Dlink

Norton

 

 

QNAP Cloud : un cloud privé à 1000 Euros

Les produits NAS de la marque QNAP offrent une large gamme de solutions, du partage multimédia domestique au serveur de stockage d’entreprise.

interopérables avec Windows en entreprise (Active Directory) ils permettent de répondre à de nombreux besoins, parmi lesquels :

  • la sauvegarde en réseau local : le NAS a sa propre authentification, et n’est pas visible des postes de travail ni de l’extérieur
  • L’archivage : accès à des données souvent statiques pour un coût du Téra Octet bien inférieur à celui des serveurs d’entreprise
  • Le partage des données à distance : au contraire des cas précédents, le NAS est accessible en ligne depuis l’extérieur de l’entreprise via un portail Web ou par synchronisation de dossiers à la façon de Dropbox ou OneDrive, mais internalisé (sans hébergement ni abonnement) : plus de 10 Tera Octets avec 4 disques de 4 To en RAID 5

QNAP TS453A

Validation ERP réussie !

Cette entreprise fabriquant et distribuant des dispositifs médicaux (prothèses orthopédique) avait mis en place un ERP en 2013 et, suite à un audit BSI, se trouvait dans l’obligation de le valider.

Le projet de validation a réuni à nouveau l’équipe du projet ERP, pilotée par le DSI du site principal (siège) et un chargé de validation.

Après une étape de formation de toute l’équipe à la validation logicielle, des groupes de travail par modules ont remis à jour le cahier des charges (URS/FDS) et systématisé une analyse de risques AMDEC pour déterminer les fonctionnalités devant faire l’objet d’une fiche de test de QO, pendant que l’équipe informatique mettait à jour un dossier de QI et de QP rétrospective.

En l’espace de 3 mois, l’ensemble du dossier de validation a été bouclé et le nouvel audit BSI début Décembre n’a noté que quelques remarques mineures.

Un consultant AMTechnologie a accompagné ce projet en tant qu’assistance à maîtrise d’ouvrage afin d’aider à la prise de décisions et la revue des livrables.

Le plan directeur de validation mis en place va permettre d’identifier les autres logiciels périphériques nécessitant une validation à l’avenir.

Questionnaire sécurité informatique

Le questionnaire ci-dessous n’est pas une check-list technique, encore moins un audit sécurité. Il sert seulement à déterminer le « degré de maturité » de votre entreprise (et de ses dirigeants) face aux menaces informatiques.

Déroulement du test :

Lisez posément les dix questions ci-dessous, et pour chacune, dans la marge, notez honnêtement votre situation actuelle :

  • « OK » => tout est sous contrôle, vous avez déjà pris les mesures nécessaires
  • « ? » => vous n’êtes pas sûr, cela mérite vérification
  • « ! » => ça ne va pas, il y a des choses à changer

 

  1. Savez-vous où sont stockées les données importantes de l’entreprise ? sur le serveur, les postes de travail, ou autres ?
  2. Le Dirigeant connaît-il le mot de passe Administrateur (donnant accès aux données importantes, à la gestion des droits) ? Qui d’autre le connaît, le Responsable Informatique, le prestataire informatique, ou d’autres personnes ?
  3. Les utilisateurs ont-ils tous un mot de passe fort (difficile à deviner) ? les mots de passe sont-ils personnels (et tenus confidentiels) ou partagés, collés sous le clavier ou sur l’écran ?
  4. Le Wifi est-il sécurisé ? (WEP, WPA, WPA2, filtrage MAC), qui connaît les code d’accès ? ont-ils été donnés à des visiteurs ? sont-ils modifiés régulièrement ?
  5. A l’arrivée d’une nouvelle personne dans l’entreprise, doit-elle signer une charte d’utilisation de l’informatique ? en cas de départ, son compte est-il immédiatement désactivé (accès serveur, messagerie, services en ligne) ?
  6. Le serveur, les sauvegardes, les équipements de réseau (switch, routeur, Wifi) sont-ils protégés dans un local fermé, climatisé ? qui accède à ce local ?
  7. Les données importantes enregistrées sur les ordinateurs portables et appareils mobiles sont-elles sauvegardées, protégées (cryptées) y compris les clés et disques USB ?
  8. Tous les ordinateurs disposent-ils d’un antivirus à jour ? les systèmes d’exploitation sont-ils également mis à jour (correctifs de sécurité en particulier) ?
  9. Les utilisateurs peuvent-ils installer des logiciels sur leurs ordinateurs sans demander d’autorisation ? sont-ils formés à la prudence lors de la navigation internet, lors de la réception de messages électroniques ?
  10. En cas de problème de sécurité informatique (infection de virus, attaque internet, vol de matériel, intrusion virtuelle ou physique, disparition suspecte de données ou autres) le problème est-il enregistré, signalé et analysé immédiatement par un professionnel, une investigation sur les autres ordinateurs est-elle menée rapidement ? des améliorations techniques ou des consignes sont-elles données pour éviter le même problème à l’avenir ?

Résultat du test :

  • Uniquement des « OK » : votre entreprise est vraiment mature en termes de sécurité informatique, ou bien vous êtes dans un secteur d’activité « sensible ». Dans ce dernier cas, il est préférable d’aller encore plus loin avec des experts en sécurité.
  • Au moins un « ? » ou un « ! » : allez-y, il faut s’en occuper. Rien n’est anodin en termes de sécurité informatique. Il suffit d’un « trou dans la cuirasse » ou d’un « maillon faible » pour que votre entreprise soit menacée. Aujourd’hui, des hackers de 12 ans peuvent télécharger des logiciels de piratage sans avoir de compétence spécifique, et le monde entier est à la porte de votre entreprise. N’oubliez pas non plus que la majorité des cas de malveillance provient d’une personne en interne (cadre, employé, sous-traitant, prestataire)

(c) AMTECHNOLOGIE SARL – toute copie totale ou partielle de ce document doit comporter l’indication de sa source, et un lien vers le site www.amtechnologie.com

Logiciels ERP

Un logiciel entrant dans la catégorie ERP (Enterprise Resource Planning) en anglais ou PGI (Progiciel de Gestion Intégré) en français est un logiciel qui doit couvrir plusieurs domaines fonctionnels de la gestion d’une entreprise, généralement :

  • La comptabilité, avec ses fonctions d’éditions légales et fiscales, et des outils de « reporting » et de pilotage financier
  • La gestion commerciale (commande, livraison, facturation, suivi client)
  • la gestion de stock et des achats (produits finis pour une entreprise de négoce, matières premières et sous traitance pour une entreprise industrielle)
  • La gestion industrielle parfois appelée GPAO (Gestion de Production Assistée par ordinateur) pour les entreprises industrielles

Le « moteur » de l’ERP est sa capacité à lier tous les flux financiers, produits, matières, temps, et à calculer (calcul MRP) les besoins de production et d’approvisionnement.

les données issues des différents modules fonctionnels doivent être intégrés en temps réel dans une base de données unique sur laquelle peut se baser le pilotage, la planification et le contrôle de l’entreprise.

Malgré leur vocation affichée, les ERP ne couvrent pas la totalité du système d’information de l’entreprise, ils sont souvent associés à des modules optionnels (internes) ou bien des logiciels spécialisés (externes, issues d’éditeurs différents) qui viennent les compléter :

  • CRM (Customer Relationship Management) en anglais ou GRC (Gestion de la Relation Client) en français pour la prospection commerciale, la gestion des équipes de vente, l’assistance et le suivi de la satisfaction du client
  • Prévision commerciale et planification (à capacité finie, sous-contraintes)
  • MES (Manufacturing Execution System) : traçabilité, suivi des matières, des temps, contrôle qualité en atelier, ordonnancement des OF (ordres de fabrication) issus de l’ERP
  • GMAO : Gestion des équipements et de la Maintenance (préventive, curative, prédictive), étalonnage des équipements de mesure
  • LIMS : gestion de laboratoire : gestion des échantillons, des analyses, des rapports, traçabilité
  • GED : gestion électronique des documents, gestion des documents du système qualité, gestion des données techniques
  • EDI : échanges de données informatisés
  • Gestion d’entrepôt, gestion logistique
  • Gestion de projets et d’affaires, gestion de chantiers.
  • Deviseurs techniques, configurateurs (chiffrage de solutions complexes)
  • Commerce électronique (site web de vente en ligne par exemple)
  • Ressources humaines (portails RH, Paie, gestion des absences, gestion des compétences)
  • « Verticaux métier » : logiciels développés pour un secteur d’activité (ex : industrie pétrolière, agences d’intérim, hôtellerie)

Les logiciels ERP existent depuis des dizaines d’années pour les grandes entreprises, et plus récemment pour les PME/PMI. Parmi ceux-ci, on peut citer les solutions :

Liste évidemment non exhaustive. Les liens vers les sites d’information des éditeurs sont donnés à titre informatif. Les noms et marques de ces logiciels sont la propriété de leurs éditeurs respectifs.

Interconnexion de bâtiments avec un pont Wifi CAMBIUM

Dans les zones industrielles, de nombreuses entreprises sont confrontées au besoin d’interconnexion de réseaux locaux entre bâtiments distants. Les solutions de VPN ne sont pas toujours satisfaisantes économiquement ou techniquement, et la pose de fibre optique nécessite des travaux importants soumis à autorisations lorsqu’ils franchissent la voie publique.

l’interconnexion par Wifi permet d’établir une connexion privée (LAN to LAN) qui peut offrir toutes les garanties de performance, stabilité et confidentialité, à condition de choisir une solution professionnelle dédiée à l’interconnexion.

ptp250Nous avons mis en œuvre une connexion basée sur les antennes/transmetteurs PTP-250 de CAMBIUM NETWORKS, qui offrent un débit de 300 Mb/s dans un canal crypté et invisible (n’apparaissant pas comme un Wifi usuel). De plus, ces matériels ont prouvé une fiabilité très au delà des équipements Wifi traditionnels, pour peu que leur pose et leur paramétrage soient faits selon les indications du constructeur.

Visitez le site de CAMBIUM NETWORKS

établissements offrant un accès public à Internet (Wifi)

Extraits de textes législatifs obtenus sur le site http://www.legifrance.gouv.fr/
Il nous a semblé intéressant de rappeler le cadre législatif qui peut s’applique à une entreprise, un hôtel, un établissement d’enseignement mettant à disposition de ses usagers un accès public à Internet, généralement en Wifi :

« Article R10-13 JORF n°73 du 26 mars 2006 page 4609
Décret n° 2006-358 du 24 mars 2006 relatif à la conservation des données des communications électroniques

I. – En application du II de l’article L. 34-1 les opérateurs de communications électroniques conservent pour les besoins de la recherche, de la constatation et de la poursuite des infractions pénales :
a) Les informations permettant d’identifier l’utilisateur ;
b) Les données relatives aux équipements terminaux de communication utilisés ;
c) Les caractéristiques techniques ainsi que la date, l’horaire et la durée de chaque communication ;
d) Les données relatives aux services complémentaires demandés ou utilisés et leurs fournisseurs ;
e) Les données permettant d’identifier le ou les destinataires de la communication.

II. – Pour les activités de téléphonie l’opérateur conserve les données mentionnées au I et, en outre, celles permettant d’identifier l’origine et la localisation de la communication.

III. – La durée de conservation des données mentionnées au présent article est d’un an à compter du jour de l’enregistrement.

IV. – Les surcoûts identifiables et spécifiques supportés par les opérateurs requis par les autorités judiciaires pour la fourniture des données relevant des catégories mentionnées au présent article sont compensés selon les modalités prévues à l’article R. 213-1 du code de procédure pénale.

Le I de l’article L. 34-1 du code des postes et des communications électroniques est complété par un alinéa ainsi rédigé :
« Les personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit, sont soumises au respect des dispositions applicables aux opérateurs de communications électroniques en vertu du présent article. »

Hotspot Wifi professionel avec ZYXEL

après une première expérience réussie de remise en fonctionnement dans un hôtel de tourisme d’une installation WIFI Hotspot, constituée de points d’accès ZYXEL interconnectés, nous avons qualifié cette gamme de matériels pour répondre à un projet de déploiement WIFI sur le campus d’un établissement d’enseignement.

nwa1100

L’installation est composée d’une passerelle Zyxel N4100, d’un enregistreur de logs Zyxel NSALog et de points d’accès Wifi (bornes) Zyxel NWA1100. l’ensemble offre une couverture pour l’ensemble des usagers étudiants et enseignants, mais aussi les salles de cours et l’internat (chambres d’étudiants). L’autre avantage de cette solution est d’assurer la sécurité d’accès (isolation) et la conformité aux textes réglementaires régissant les établissement qui fournissent un accès Wifi au public.