Le facteur humain demeure un élément central dans la sécurité informatique, avec 68% des violations impliquant une erreur humaine non malveillante. Les statistiques concernant l’hameçonnage sont particulièrement alarmantes : il ne faut en moyenne que 21 secondes pour qu’un utilisateur clique sur un lien malveillant, et seulement 28 secondes pour qu’il soumette des données sensibles, démontrant la rapidité avec laquelle les attaques peuvent réussir.

L’exploitation des vulnérabilités connaît une augmentation spectaculaire, avec une hausse de 180% par rapport à l’année précédente. Ces failles représentent désormais 14% des points d’entrée initiaux utilisés par les attaquants, ce qui souligne l’importance croissante de la gestion des correctifs et de la surveillance des vulnérabilités.

Les attaques d’extorsion constituent également une menace majeure, touchant 32% des violations de données. Plus précisément, les rançongiciels sont responsables de 23% des violations, tandis que les attaques d’extorsion pure représentent 9% des cas. Cette répartition montre l’évolution des tactiques des cybercriminels vers des méthodes de plus en plus sophistiquées d’extorsion financière.

Que faire?

La gestion des identités et des accès constitue la première ligne de défense critique. Cette approche nécessite la mise en place d’une politique de mots de passe robuste, couplée à une authentification multifacteur systématique. La gestion rigoureuse des privilèges selon le principe du moindre privilège permet de limiter l’exposition aux risques. La revue régulière des accès et la désactivation immédiate des comptes inactifs complètent ce dispositif essentiel, tandis que l’utilisation de gestionnaires de mots de passe d’entreprise renforce la sécurité globale.

La maintenance des systèmes représente un pilier fondamental trop souvent négligé. Un programme de maintenance efficace doit inclure un calendrier strict de mises à jour de sécurité, accompagné de tests de régression systématiques avant tout déploiement. La surveillance continue des vulnérabilités, à travers une veille CVE active, permet d’anticiper les menaces potentielles. L’automatisation de la gestion des correctifs, couplée à des procédures de retour arrière éprouvées, assure une réactivité optimale en cas de problème.

La protection des données exige une approche multidimensionnelle rigoureuse. La mise en œuvre de la règle 3-2-1 garantit une redondance efficace des sauvegardes, tandis que le chiffrement systématique protège les données sensibles au repos et en transit. Les tests réguliers de restauration valident l’efficacité des sauvegardes et identifient les potentielles failles. La classification des données selon leur sensibilité, associée à un plan de continuité d’activité documenté, permet une protection adaptée et une reprise rapide en cas d’incident.

La formation et la sensibilisation des utilisateurs transforment le maillon faible en atout majeur. Les programmes de formation doivent être adaptés aux différents profils d’utilisateurs et inclure des exercices pratiques réguliers. Les simulations d’attaques, notamment d’hameçonnage, permettent de mesurer l’efficacité des formations et d’identifier les points à améliorer. L’établissement d’une culture de la sécurité, soutenue par des indicateurs de performance précis, encourage une vigilance collective continue.

La documentation et les procédures forment la colonne vertébrale d’une sécurité durable. Les politiques, directives et procédures opérationnelles de sécurité doivent être clairement documentées et régulièrement mises à jour. Les plans de réponse aux incidents et les configurations standards constituent des références essentielles pour l’équipe. Les schémas d’architecture et les procédures de changement permettent une vision claire et partagée de l’infrastructure sécurisée.

La surveillance et la détection nécessitent une vigilance constante et des outils adaptés. La mise en place d’un SOC assure une supervision continue des systèmes, tandis que le déploiement d’outils de détection permet d’identifier rapidement les menaces. La corrélation des événements de sécurité facilite la détection des comportements anormaux et des attaques complexes. Les alertes en temps réel, associées à des procédures de réponse définies, garantissent une réaction rapide aux incidents.

La résilience repose sur une adaptation continue aux nouvelles menaces. Une revue annuelle complète des mesures de sécurité permet d’identifier les zones d’amélioration potentielles. L’ajustement régulier des stratégies en fonction des retours d’expérience renforce l’efficacité des défenses. La collaboration avec des experts externes et le partage d’informations sur les menaces enrichissent la compréhension du paysage des risques. Cette approche proactive et évolutive transforme la cybersécurité en un processus d’amélioration continue plutôt qu’en une simple série de mesures statiques.

*** Ce texte a été écrit majoritairement par une intelligence artificielle

Et, le regard cinglant sur l’IA est essentiel pour prendre une saine distance par rapport l’enthousiasme malsain dans lequel nous sommes présentement.

Il est vrai que les téléphones intelligents et tablettes d’aujourd’hui intègrent de nombreuses fonctionnalités de sécurité avancées. Chiffrement des données, sandboxing des applications, mises à jour de sécurité régulières… Sur le papier, nos appareils semblent bien armés. Cependant, la réalité est plus complexe et préoccupante.

Le maillon faible : les applications tierces

Le véritable problème ne se situe pas tant au niveau du matériel ou des systèmes d’exploitation, mais plutôt du côté des applications que nous utilisons quotidiennement. L’histoire récente regorge d’exemples d’applications populaires ayant fait l’objet de failles de sécurité majeures, exposant les données personnelles de millions d’utilisateurs.

Qu’il s’agisse de réseaux sociaux, de messageries instantanées ou d’applications bancaires, de nombreux services tiers n’appliquent pas les meilleures pratiques en matière de sécurité et de protection des données. Les raisons sont multiples : manque de ressources, priorité donnée aux fonctionnalités plutôt qu’à la sécurité, ou simplement négligence.

Cette situation est d’autant plus problématique que nous sommes devenus extrêmement dépendants de ces services. Nos vies numériques - et parfois même “réelles” - reposent sur un écosystème d’applications dont la sécurité laisse souvent à désirer.

Les limites des configurations par défaut

Un autre aspect à prendre en compte est que les configurations par défaut des systèmes d’exploitation mobiles ne sont généralement pas optimisées pour faire face à des environnements réseau hostiles comme celui du DEFCON. Les stratégies d’attaque évoluent constamment, et les paramètres de sécurité “vanille” peinent à suivre le rythme.

Le mode “Lockdown” d’iOS : une solution partielle

Apple a fait un pas dans la bonne direction avec l’introduction du mode “Lockdown” sur iOS 16 à l’automne 2022. Ce mode de sécurité renforcé désactive certaines fonctionnalités et services potentiellement vulnérables, offrant ainsi une meilleure protection contre les attaques connues et inconnues.

Parmi les mesures mises en place, on trouve le blocage des connexions Wi-Fi non sécurisées et diverses restrictions sur le fonctionnement de certaines applications. C’est un progrès indéniable, mais qui soulève également des questions. Pourquoi ces protections ne sont-elles pas activées par défaut ? Et surtout, comment s’assurer que le système reste à jour face à l’évolution rapide des menaces ?

Vers une approche plus granulaire de la sécurité ?

Une piste intéressante serait de proposer aux utilisateurs des options de configuration plus fines, leur permettant d’ajuster le niveau de sécurité en fonction de leurs besoins spécifiques et du contexte d’utilisation. Cela pourrait prendre la forme de panneaux de configuration avancés, offrant un contrôle précis sur différents aspects de la sécurité du système et des applications.

Le défi de l’équilibre sécurité-convivialité

Cependant, cette approche soulève un dilemme bien connu dans le domaine de la sécurité informatique : plus on offre de contrôle à l’utilisateur, plus on risque de voir ce dernier faire des choix qui compromettent sa sécurité. La plupart des utilisateurs ne sont pas des experts en cybersécurité et pourraient involontairement augmenter leur surface d’attaque en modifiant des paramètres qu’ils ne comprennent pas pleinement.

Conclusion : pas de solution parfaite, mais des pistes d’amélioration

En fin de compte, il n’existe pas de solution miracle pour garantir une sécurité absolue de nos appareils mobiles, surtout dans des environnements aussi hostiles que le réseau du DEFCON. Cependant, plusieurs pistes d’amélioration se dessinent :

1. Renforcer les exigences de sécurité pour les applications tierces sur les stores officiels.
2. Améliorer l’éducation des utilisateurs aux bonnes pratiques de sécurité numérique.
3. Développer des modes de sécurité renforcée plus flexibles et personnalisables.
4. Encourager les fabricants à adopter une approche “security by design” plus poussée.

En attendant, la prudence reste de mise, même avec les appareils les plus récents et les systèmes les plus à jour. Car comme le montre l’histoire récente, notre dépendance aux services en ligne reste notre plus grande vulnérabilité.

J’ai constaté une atrophie significative de ma capacité à écrire et à me concentrer suffisamment longtemps pour organiser ma pensée par écrit. Contrairement à certains chanceux capables de structurer leur pensée écrite aussi rapidement que leur pensée verbale, je trouve cet exercice plus ardu. Mon cerveau neurodivergent, où rien n’est linéaire, complique davantage la tâche de donner du sens au maelström de mes idées.

Durant cette période, j’ai eu l’opportunité de contribuer à l’écriture d’un livre sur la gestion d’incidents pour les PME. Cet exercice s’est révélé plus difficile que prévu, me faisant prendre conscience de l’ampleur de l’atrophie de mes compétences rédactionnelles.

C’est pourquoi j’ai décidé d’utiliser cette tribune pour me remettre à l’écriture, partager mes réflexions et réentraîner mes capacités rédactionnelles, tout comme j’ai entrepris de me remettre en forme physiquement pendant le confinement.

La réflexion écrite offre une perspective différente de la réflexion verbale. Sa nature plus posée permet d’apporter un éclairage nouveau sur un sujet. Dans un monde où l’on prend de moins en moins le temps de réfléchir en profondeur, privilégiant les tweets et les courtes vidéos (TikTok je te regarde), une pensée qui dépasse le niveau de profondeur d’un enfant de maternelle devient une rareté précieuse.

Ainsi, je m’engage à cultiver cette forme de réflexion approfondie à travers l’écriture, contribuant à enrichir le dialogue et la pensée dans notre société moderne.

P.S. comme vous l’aurez compris, ce texte a été vers la fin du confinement et ma capacité rédactionnelle s’est améliorée depuis que je m’en suis plaint, même si ce n’est pas à travers ce blogue que j’ai réentrainé mon cerveau

En transférant mon blogue d’Intrasécure vers PolySécure, je suis tombé sur une publication des conseils pour aller au DEFCON. Celui-ci m’a beaucoup amusé, puisque les choses ont tellement changé depuis cette période. Autant nous étions dans un monde d’incertitude quant à la sécurité des technologies que nous utilisions, autant l’état général de la sécurité de nos appareils. L’an dernier, Adam Shostack avait publié un billet remettant en question nos habitudes associées au DEFCON.

Ainsi, je reprends le billet que j’avais publié, en le remettant au goût du jour. Avec un peu d’humour. Il est possible que je mette à jour d’ici le DEFCON.

Le DEFCON est à notre porte. Pour ceux, qui, comme moi, vont aller en plein milieu du désert pour écouter les l33t h4x0r, voici quelques trucs que j’ai recueillis avec les années:

• Ordinateur et téléphone intelligent
  • Il est recommandé de ne pas utiliser aucun appareil électronique sur les lieux du DEFCON (qui peut se permettra ça de nos jours);
  • Si vous devez utiliser Internet, assurez d’avoir une connexion VPN vers un site de confiance avant de faire quoi que ce soit;
  • Mettez vos équipements Apple en “lockdown”, ce qui limitera la surface d’attaque;
  • Ce n’est pas une bonne idée de mettre à jour son profil Facebook au vu et au su de tous (il y a beaucoup d’yeux curieux);
  • Fermez le sans-fil et Bluetooth de TOUS vos appareils électroniques (ouin… les piles peuvent être vulnérables);
  • Laissez à la maison, au pire dans votre chambre d’hôtel ou bien les mettre dans une enveloppe de protection, tout équipement disposant d’une RFID (les nouvelles cartes de crédit ont une puce RFID… pensez-y!);
  • Évitez d’utiliser votre téléphone 2G (qui a encore un téléphone 2G LOL!) dans un rayon d’au moins un kilomètre du DEFCON;
  • Autant que possible, limiter vos communications cellulaires 3G/LTE sur le site, car malgré que le protocole ne soit pas encore prouvé comme étant faible, rien n’indique qu’il n’est pas possible de détourner votre communication;
• Nourriture
  • Selon l’hôtel que vous choisirez, les restaurants à l’intérieur peuvent être très dispendieux;
  • Faire attention au restaurant que vous choisissez pour manger, certains ont eu la désagréable surprise d’être cloués dans leur chambre d’hôtel suite à l’ingestion de certains plats plus ou moins frais;
  • Les buffets sont un excellent endroit pour manger de la nourriture de bonne qualité à un prix abordable (acheter une passe pour 24 heures);
  • La nourriture est généralement plus grasse que ce que nous sommes habitués, ce qui peut avoir des effets inattendus;
• La communication
  • Prenez-vous un forfait voyage avec votre fournisseur, achetez-vous un cellulaire jetable sur place ou si vous êtes plus chanceux et avez un cellulaire récent, achetez-vous une eSIM avec une couverture américaine;
• Transport et logement
  • Pour ceux qui vont aux É.-U. pour la première fois en avion, je suggère de passer les douanes américaines à Montréal ou Toronto… Par expérience, les douaniers sont plus sympathiques;
  • N’oubliez pas votre passeport, sinon pas de voyage!
  • Le moyen de transport privilégié est le monorail, peu dispendieux et dessert les hôtels sur la Strip;
  • Les taxis et Uber peuvent s’avérer difficiles d’utilisation, considérant le très fort achalandage;
  • Alors, il est bon de choisir un hôtel qui est à une distance à pied!
• Général
  • Il est important de se rappeler que malgré qu’être aux É.-U. est très similaire au mode de vie que nous avons, les lois sont différentes et les policiers sont un peu plus brusques que ce que nous sommes habitués… Alors, ne prenez pas trop de chance dans ce que vous faites pour ne pas passer une nuit en prison… Et devoir passer devant un juge pour en sortir!
  • Assurez-vous de toujours bien vous hydrater… C’est surprenant comme une petite marche au soleil déshydrate rapidement!
  • Assurez-vous d’avoir une bonne couverture d’assurance, au cas où vous auriez un problème de santé et ne pas devoir passer les 20 prochaines années de votre vie à en payer le prix!

Je ne sais pas si je vais écrire sur les réseaux durant cette période. Si c’est le cas, ça sera sur Mastodon (@keroz@social.polysecure.ca). J’ai quelques enregistrements de podcast de prévus.

En prenant ce recul, j’ai décidé de consolider tout ce qui touche à des publications à travers la marque de PolySécure, mettant tout au même endroit. Ce faisant, j’ai commencé à transférer les billets que j’avais publié sur le site d’Intrasécure et notamment les reprises des billets que j’avais publiés sur les blogues de MacQuébec et du Hackfest… et je me suis rendu compte qu’en 2017, j’avais fait le vœu pieux de recommencer à écrire. Comme tous vœux pieux, celui-ci est resté non réalisé.

Je fais une nouvelle fois le vœu de recommencer à écrire sur mon blogue. Cette fois, j’ai espoir que ça aura plus de succès que la dernière fois. Le momemtum que j’ai pris avec le podcast, qui est bientôt rendu à son 500e épisode, a changé fondamentalement comment je déploie mes énergies. J’ai d’ailleurs repris goût à l’écriture comme je le faisais du temps du Hackfest.

Maintenant, voyons voir ce que ça donnera ;-)

IA et libre-arbitre : sommes-nous des moutons numériques ?

Je ne rentrerai pas dans les détails de la présentation, puisqu’elle est disponible en rediffusion. Cependant, je conseille fortement son écoute en entier. La diversité des points de vue et des informations permet de se faire une meilleure idée sur l’état de l’IA et de l’aborder avec sérénité.

Le seul point faible de cet événement, c’est la trop grande densité du contenu et l’impossibilité pour les panélistes d’aller plus en profondeur. Ça garde l’appétit ouvert ;-).

Historiquement, nous avions le droit de parler librement de ce que nous avions dans des endroits que l’on pourrait qualifié de privé (dans une résidence privée) ou semi-privé (restaurant, bar). Il y a une expectative raisonnable que nous puissions dire n’importe quoi sans trop de conséquences. Le problème avec les médias sociaux, c’est que les gens ont le même comportement. C’est partiellement un problème, puisqu’on expose à la terre entière ce qui devrait ne pas sortir de son salon.

Les jeunes étant de plus en plus sensibilisés aux conséquences ferment progressivement leur profil et tendent à limiter les « amis » pour ne pas que ce qui est dit puisse être vu par la terre entière et utilisé contre eux. En contrepartie, il y a une montée des « autorités » de vouloir voir ce qui se passe dans nos profils. Dans les articles en référence, il y a des pressions assez fortes en ce sens. Dans certains cas, l’accès aux équipes de sport est littéralement bloqué si l’accès n’est pas donné ou si on n’est pas « ami » avec le coach.

Ça devient franchement dérangeant, puisque dans le monde analogue ce type de comportement n’est pas toléré, voire encadré par des lois. C’est comme de placer un enregistreur lors d’une rencontre entre amis dans une résidence privée et que cet enregistrement soit envoyé aux employeurs des personnes présentes et qu’il puisse y avoir des réprimandes par rapport à ce qui est dit. Ce n’est pas tellement loin des scénarios de surveillance à la 1984 ou «V for Vendetta».

La technologie met entre les mains de personnes sans trop de scrupule des moyens qui sont démesurés pour contrôler le comportement des autres. Voulons-nous vraiment vivre dans une société qui surveille tous nos gestes et y porte des jugements moraux sur ceux-ci?

Références:

• ACLU sues Minnewaska schools, Pope Co. Sheriff’s Office over student Facebook incidents
• Making Facebook private won’t protect you
• Govt. agencies, colleges demand applicants’ Facebook passwords

Il est vrai que cette transparence peut être associée avec une preuve d’amour chez les jeunes. Il y a des préoccupations et passions qui sont propres à chaque tranche d’âge et non à chaque génération. Depuis qu’humain est humain, l’adolescence est une période où tout est extrême. L’amour passionnel de Roméo et Juliette est une belle démonstration de cette folie que vit la jeunesse dans leur passion amoureuse… Qui s’adoucit avec l’âge 😉

Je crois que le goût de s’exhiber de la sorte est ancré profondément dans la psyché humaine et que la technologie permet enfin d’assouvir cette quête facilement. Vedettariat instantané, sans avoir besoin de passer à travers la sélection qu’impose l’univers télévisuel.

D’un point de vue de la sécurité, donner son mot de passe va à l’encontre du bon sens, peut-être faute de meilleurs moyens mis à la disposition des jeunes. Car donner son mot de passe à tout vent, c’est bien plus que donner un droit de regard sur nos choses, mais bien un contrôle total de nos actions en ligne. On devient ainsi la marionnette virtuelle des personnes avec qui nous partageons notre mot de passe, puisqu’elles peuvent faire ce qu’elles veulent avec, modifier nos informations, émettre des commentaires en notre nom, agir à notre place, prendre des engagements à notre place. Avec une reconnaissance de notre responsabilité légale de nos actions en ligne, ça revient à donner un entier contrôle de notre vie et responsabilité civile à une autre personne… qui ne nous veut pas nécessairement toujours du bien. C’est une forme de tyrannie du groupe pour en contrôler ses membres.

Dans le respect de cette volonté d’ouverture, il faudrait que les systèmes développent des mécanismes qui permettent de partager nos informations sans permettre de les modifier. En entreprise, c’est un concept qui est très utilisé dans les boites de courriel ou l’accès à de l’information, où il est possible de déléguer des accès, sans pour autant devoir partager son mot de passe avec tout le monde.

Les gens perdent vite leur inhibition, même en public, dès qu’ils sont placés dans un contexte où ils ont l’habitude d’être en confiance. Le cellulaire et l’ordinateur portable sont porteurs d’un contexte qui suppose d’être dans le confort du bureau ou de la maison. Une fois que les gens changent de contexte, soit en ouvrant leur ordinateur portable ou en prenant un appel sur leur cellulaire, leur environnement immédiat cesse d’exister. Cela explique pourquoi nous voyons autant de gens étaler leur vie privée ou professionnelle dans des endroits publics au cellulaire ou sur leur ordinateur portable.

Mais l’information n’est-elle pas le nerf de la guerre?

Rien comme deux exemples pour illustrer l’étendue. Le premier dans un édifice à bureaux et le second dans le train.

Édifice à bureaux

Les gens assument que du moment qu’ils ne sont plus au niveau du sol (et encore!), personne ne peut voir ce qu’ils font. Sans être équipé comme James Bond, il est facile de capturer des informations intéressantes.

Les gens vont laisser à la vue sur leur bureau ou sur leur écran une panoplie d’informations qui sont généralement confidentielles ou à tout le moins vont être instrumentales dans le montage d’une attaque à plus grand déploiement. Connaitre l’agenda d’une personne permet d’en connaitre les déplacements et de créer une coïncidence qui va favoriser la mise en œuvre d’un scénario d’ingénierie sociale.

Train

Le train est un endroit intéressant quant à l’étude de ces comportements humains, puisque les gens sont contraints d’attendre… Ils sont prisonniers tout au long du voyage. Plusieurs profitent de cette occasion pour travailler. Du moment que les gens ouvrent leur ordinateur portable, ils changent de contexte et ils agissent comme s’ils étaient au bureau… et la vigilance qu’exige d’être dans un lieu public disparait. J’ai vu plusieurs personnes lire leur courriel, souvent à propos d’information privilégiée, ou encore lire des documents qui, en tant normal, ne devraient pas être vu par une personne de l’extérieur.

L’image de gauche est un exemple intéressant, puisqu’il expose un problème tout autre. Cet ordinateur dispose d’un protecteur d’écran qui empêche les yeux curieux de voir… Sauf que cette protection est efficace que lorsque nous sommes en angle par rapport à l’écran… Comme vous pouvez voir, je n’étais pas dans l’angle de protection. Cette information est intéressante, puisque ça indique que la compagnie est soucieuse de préserver la confidentialité des informations et que l’utilisateur n’a pas été correctement conscientisé à la valeur de l’information qu’il transporte et l’usage adéquat du protecteur d’écran. De plus, cela signale que le contenu est précieux et devient de facto une cible pour le vol. Cette personne m’a exposé son Facebook pendant une bonne partie du voyage! Ça, c’est sans compter qu’il a divulgué une foule d’information sur son employeur et le mandat sur lequel il est, pendant une conversation téléphonique… Pour un concurrent de sa firme ou de son client, l’information ainsi divulguée vaut de l’or!

Ce n’est pas juste les écrans d’ordinateur qui divulguent de l’information. J’ai eu devant mes yeux des rapports papier, tout aussi confidentiels que ce que j’ai vu sur des écrans d’ordinateur.

Cela n’est que la pointe de l’iceberg, puisqu’il est tellement courant d’entendre une conversation remplie d’information confidentielle, cela dans un lieu public.

Exposer des problèmes c’est facile. Exposer des solutions, ça l’est moins.

Ce qui ressort de cette petite expérimentation, c’est que les gens ne sont pas conscients qu’ils exposent autant d’information parce qu’ils changent de contexte. Une petite introduction à la notion de « situation awareness » permettrait de les sensibiliser qu’ils changent de contexte lorsqu’ils prennent un appel ou ouvrent leur ordinateur portable, et de garder la vigilance qu’exige d’être dans un lieu public. Il est aussi important d’expliquer aux gens pourquoi ils doivent faire attention et quelles sont les mesures à leur disposition pour protéger l’information. Une fois que les gens comprennent la valeur de l’information qu’ils manipulent et les conséquences de leurs pertes, ils vont protéger l’information sans aucun effort particulier. Ça va devenir aussi évident que de protéger leur NIP ou de barrer la porte de leur maison.