<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Wajih JMAIEL, Auteur</title>
	<atom:link href="https://www.riskinsight-wavestone.com/en/author/wajih-jmaiel/feed/" rel="self" type="application/rss+xml" />
	<link>https://www.riskinsight-wavestone.com/author/wajih-jmaiel/</link>
	<description>The cybersecurity &#38; digital trust blog by Wavestone&#039;s consultants</description>
	<lastBuildDate>Mon, 29 Nov 2021 08:39:20 +0000</lastBuildDate>
	<language>en-US</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	

<image>
	<url>https://www.riskinsight-wavestone.com/wp-content/uploads/2024/02/Blogs-2024_RI-39x39.png</url>
	<title>Wajih JMAIEL, Auteur</title>
	<link>https://www.riskinsight-wavestone.com/author/wajih-jmaiel/</link>
	<width>32</width>
	<height>32</height>
</image> 
	<item>
		<title>Cyber-attacks: what are the risks for backups and how to protect yourself?</title>
		<link>https://www.riskinsight-wavestone.com/en/2021/11/cyber-attacks-what-are-the-risks-for-backups-and-how-to-protect-yourself/</link>
					<comments>https://www.riskinsight-wavestone.com/en/2021/11/cyber-attacks-what-are-the-risks-for-backups-and-how-to-protect-yourself/#respond</comments>
		
		<dc:creator><![CDATA[Wajih JMAIEL]]></dc:creator>
		<pubDate>Mon, 29 Nov 2021 08:39:18 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Focus]]></category>
		<category><![CDATA[Backups]]></category>
		<category><![CDATA[Resilience]]></category>
		<category><![CDATA[risk]]></category>
		<category><![CDATA[Strategy]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=17395</guid>

					<description><![CDATA[<p>Backup security is a topic of increasing concern to large accounts, often as part of initiatives to improve their cyber-resilience. When all the protection, detection and response measures have not been sufficient: the information system must be restored quickly from...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/en/2021/11/cyber-attacks-what-are-the-risks-for-backups-and-how-to-protect-yourself/">Cyber-attacks: what are the risks for backups and how to protect yourself?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com/en/">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[
<p><strong>Backup </strong>security is a topic of increasing concern to large accounts, often as part of initiatives to improve their <strong>cyber-resilience</strong>. When all the protection, detection and response measures have not been sufficient: the information system must be restored quickly from the backups. Backups are indeed the <strong>last resort in the event of a cyber-attack.</strong></p>
<p>Attackers have understood this issue and we are seeing more and more cyber-attacks affecting backups. As highlighted in the <a href="https://uk.wavestone.com/en/insight/cyberattacks-in-2021-ransomwares-still-threat-n1">2021 benchmark of cyber-attacks in France</a>, <strong>in 21% of ransomware attacks, backup systems were targeted until they were rendered unusable</strong>.</p>
<h1>What is the attackers’ modus operandi for reaching backups?</h1>
<p>First, backups can be affected as <strong>collateral damage</strong>. This was the case a few years ago during a cyber-attack at one of CERT-Wavestone&#8217;s clients. In this, the backup management infrastructure was itself encrypted by the ransomware and had to be rebuilt before backups could be restored.</p>
<p>In ransomware attacks, attackers can also <strong>directly target backups </strong>to <strong>force their target to pay the ransom</strong>. For example, less than a year ago during a CERT-Wavestone incident response, the attacker took care to destroy all backups before encrypting the customer&#8217;s information system. The attacker was able to do this because the backup management infrastructure was administered through an account in the Active Directory. The attacker was able to elevate its privileges to the highest level and was able to easily connect to the backup infrastructure and delete all the backed up data.</p>
<h1>Some initial protective measures can significantly reduce the risk</h1>
<p>In <a href="https://uk.wavestone.com/en/insight/cyberattacks-in-2021-ransomwares-still-threat-n1">100% of the ransomware crises managed by CERT-Wavestone</a>, the attacker had Active Directory domain administration accounts. To prevent the attacker from reaching the backups by this mean, it is therefore necessary to <strong>separate the backup infrastructure from the Active Directory</strong>. To do this,  make sure that the backup administration accounts as well as the backup servers are outside the Active Directory (NB: this will not prevent this infrastructure from backing up the resources managed in the Active Directory).</p>
<p>To further reduce the risk of an administration account being compromised, backup administration access should also be strengthened, for example with <strong>multi-factor authentication </strong>(MFA).</p>
<p>Furthermore, since ransomware attacks often propagate on the same operating system, it may be worthwhile to <strong>adopt a different operating system for the backup infrastructure</strong>. Alternatively, at the very least, make a <strong>copy of the backup catalogue </strong>(database containing pointers to backups) <strong>on a different operating system</strong>. This enables rapid restoration of the backup infrastructure in the event of a compromise.</p>
<p>In addition, it is sometimes possible to apply <strong>retention measures to the backup storage technology, </strong>such as applying a delay before the actual deletion of the data or keeping a copy (or snapshot) on the storage array. This allows for a delay of one or more days before the data is completely lost in the event of a deletion.</p>
<h1>To go further&#8230;</h1>
<p>Various initiatives are emerging to standardize data protection measures to face the growing threat (e.g. <a href="https://www.hkma.gov.hk/media/eng/doc/key-information/guidelines-and-circular/2021/20210518e1.pdf">Secure Tertiary Data Backup Guideline </a>by the HKAB &#8211; <em>Hong Kong Association of Banks</em>, <a href="https://www.shelteredharbor.org/how-it-works">Sheltered Harbor </a>in the United States&#8230;).</p>
<p>In addition, backup vendors are building their solutions with the cyber threat in mind, with <strong>ransomware detection features</strong>, <strong>immutability features </strong>(to make backed up data completely unalterable, even for an administrator) or even <strong>&#8220;offline&#8221; backup isolation </strong>capabilities<strong>. </strong></p>
<p>These solutions can be adopted to <strong>replace or complement </strong>existing backup solutions. Nevertheless, they <strong>often require significant investments</strong>. As we have seen, a certain number of initial protection measures can already greatly reduce the risk. It is therefore important to identify the feared threat scenarios and your level of exposure. It is also important to identify any compliance requirements (regulations, standards, etc.), in order to define an appropriate roadmap of maturity improvement.</p>
<p><em>This article is intended as an introduction to protecting backups against cyber-attacks. We will have the opportunity to go into more detail on this subject in future publications.</em></p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/en/2021/11/cyber-attacks-what-are-the-risks-for-backups-and-how-to-protect-yourself/">Cyber-attacks: what are the risks for backups and how to protect yourself?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com/en/">RiskInsight</a>.</p>
]]></content:encoded>
					
					<wfw:commentRss>https://www.riskinsight-wavestone.com/en/2021/11/cyber-attacks-what-are-the-risks-for-backups-and-how-to-protect-yourself/feed/</wfw:commentRss>
			<slash:comments>0</slash:comments>
		
		
			</item>
		<item>
		<title>Des applications de messagerie instantanée vraiment sécurisées ?</title>
		<link>https://www.riskinsight-wavestone.com/en/2019/07/messagerie-instantanee/</link>
		
		<dc:creator><![CDATA[Wajih JMAIEL]]></dc:creator>
		<pubDate>Wed, 17 Jul 2019 09:44:13 +0000</pubDate>
				<category><![CDATA[Cyberrisk Management & Strategy]]></category>
		<category><![CDATA[Cybersecurity & Digital Trust]]></category>
		<category><![CDATA[applicatif]]></category>
		<category><![CDATA[chiffrement]]></category>
		<category><![CDATA[données]]></category>
		<category><![CDATA[messagerie]]></category>
		<category><![CDATA[Risk management]]></category>
		<guid isPermaLink="false">https://www.riskinsight-wavestone.com/?p=11993</guid>

					<description><![CDATA[<p>Utilisées par près d’une personne sur trois et dans le monde entier, les applications de messagerie instantanée se sont imposées comme des outils essentiels de la communication moderne. Depuis leur création dans les années 1960, elles permettent des échanges rapides...</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/en/2019/07/messagerie-instantanee/">Des applications de messagerie instantanée vraiment sécurisées ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com/en/">RiskInsight</a>.</p>
]]></description>
										<content:encoded><![CDATA[<p>Utilisées par près d’une personne sur trois et dans le monde entier, les applications de messagerie instantanée se sont imposées comme des outils essentiels de la communication moderne. Depuis leur création dans les années 1960, elles permettent des échanges rapides entre correspondants distants, à deux ou en groupes, entre particuliers comme en entreprise. Utilisant internet et non le réseau téléphonique, elles ont pu être développées par des entreprises sans être basées sur le protocole SMS, et proposent donc souvent des fonctionnalités supplémentaires : échanges vidéo comme <em>Skype</em>, bibliothèque de GIF comme <em>WhatsApp</em>, ou encore réseau social comme <em>WeChat</em>.</p>
<p>Avec la diffusion de plus en plus importante des malwares, et depuis les révélations d’Edward Snowden en 2013, la sécurité et la confidentialité des échanges sont devenues des critères pesant lourd dans le choix d’une solution de messagerie instantanée. La multiplication des applications est rythmée par les incidents de sécurité, allant des <a href="https://www.sciencesetavenir.fr/high-tech/intelligence-artificielle/la-chine-censure-le-service-de-messagerie-wechat-avec-une-intelligence-artificielle_110071">soupçons de censure de <em>WeChat</em></a> par le gouvernement Chinois à l’<a href="https://news.sophos.com/en-us/2019/05/01/how-anubis-uses-telegram-and-chinese-characters-to-phone-home/">installation de malwares à travers <em>Telegram</em></a>, ou plus récemment <a href="https://www.leprogres.fr/france-monde/2019/05/18/apres-le-piratage-de-whatsapp-la-securite-des-portables-en-question">la vulnérabilité critique qui a touché <em>WhatsApp</em></a>. Ainsi, les applications de messagerie protègent-elles suffisamment les échanges des utilisateurs ? Quelles sont les réponses des éditeurs face aux menaces, criminelles comme étatiques, qui pèsent sur les messages qu’ils transportent ?</p>
<h2>Le chiffrement de bout en bout : solution miracle ou simple outil marketing ?</h2>
<p>Le chiffrement de bout en bout est souvent la solution mise en avant par les éditeurs pour montrer qu’ils prennent soin de la confidentialité des échanges, notamment en cas de demande d’un gouvernement ou d’un système judiciaire. Sa sécurité repose en effet sur le transport de messages inintelligibles pour l’éditeur, qui ne peut donc pas en révéler le contenu à quiconque, et déchiffrables uniquement par les destinataires.</p>
<p>A l’heure où nous écrivons ces lignes, plusieurs approches ont été adoptées par les éditeurs :</p>
<ul>
<li>La majorité applique un chiffrement de bout en bout <strong>par défaut</strong>, pour les discussions à deux ou en groupe – c’est le cas par exemple de <em>WhatsApp</em>, <em>Viber,</em> <em>Signal, iMessage, Threema, Wire, etc.</em></li>
<li>D’autres ne l’appliquent pas par défaut, mais permettent aux utilisateurs de l’activer en accédant à une « <strong>conversation secrète</strong>» &#8211; c’est le cas notamment de <em>Telegram</em> et <em>Facebook Messenger</em>. Il faut noter que dans ce cas, seuls les échanges entre deux personnes peuvent être « secrets », et pas les conversations en groupe.</li>
<li>Les applications restantes ne proposent simplement <strong>pas de chiffrement de bout en bout</strong> – comme par exemple <em>WeChat</em> ou <em>Discord</em>. Les messages sont du moins transmis à travers un tunnel chiffré HTTPS, mais leur contenu est traité en clair et est lisible par les serveurs de l’éditeur.</li>
</ul>
<p>Pour assurer le chiffrement de bout en bout, différents mécanismes sont utilisés par les applications. Aujourd’hui, la plupart des applications s’appuient sur des mécanismes robustes, reposant sur des algorithmes de chiffrement à l’état de l’art (Curve25519, AES256…). Parmi ces mécanismes, on peut noter le protocole open-source <em>Signal</em>, développé par <em>Open Whisper Systems</em> pour son application éponyme, et depuis utilisé par d’autres applications comme <em>WhatsApp</em> ou dans les « conversations secrètes » de <em>Facebook Messenger</em>.</p>
<p>On peut donc considérer que les applications proposant un chiffrement de bout en bout ont une plus-value certaine, tout du moins pour les utilisateurs soucieux de la confidentialité ou du caractère privé de leurs conversations. Face à cela, le bon vieux SMS – qui, rappelons-le, reste vulnérable à une <a href="https://lexpansion.lexpress.fr/high-tech/attentat-dejoue-l-imsi-catcher-la-valise-espionne-qui-traque-les-terroristes_1900213.html">attaque de type man-in-the-middle</a> – fait pâle figure !</p>
<p>Néanmoins, comme nous allons le voir, il ne faut pas s’arrêter au chiffrement de bout en bout qui, seul, pourrait donner un faux sentiment de sécurité aux utilisateurs.</p>
<h2>Au-delà du chiffrement de bout en bout : d’autres facteurs pour mieux apprécier la sécurité de ces applications</h2>
<p>Mis à part le contenu des discussions, vraisemblablement protégé lorsqu’il est chiffré de bout en bout, les messageries instantanées manipulent un certain nombre de <strong>métadonnées</strong> : contacts, numéros de téléphone, date et heure d’envoi des messages… Autant de données qui représentent déjà une source importante d’informations sur l’utilisateur, et qui sont souvent collectées par l’éditeur et stockées sur ses serveurs – c’est le cas notamment des applications <em>WhatsApp</em> et <em>iMessage</em>. Certaines applications proposent un niveau de confidentialité supérieur en assurant que seul un<strong> minimum d’informations sera collecté</strong> – ainsi l’application <em>Signal</em> par exemple collecte uniquement les dates et heures d’inscription et la date de dernière connexion.</p>
<p>Par ailleurs, des <strong>fonctionnalités de sécurité supplémentaires</strong> permettent d’atteindre un meilleur niveau de confidentialité. Par exemple, certaines applications comme <em>WhatsApp</em> ou <em>Signal</em> permettent de <strong>confirmer le chiffrement de bout en bout</strong> en scannant un QR-code sur le smartphone du destinataire. D’autres comme <em>Telegram</em> ou <em>Signal</em> offrent la possibilité d’envoyer des <strong>messages éphémères</strong>, qui s’auto-détruisent au bout de quelques secondes ou minutes, ce qui peut être intéressant pour certains usages mais reste limité (possibilité de capture d’écran voire photo de l’écran).</p>
<p>Pour les <strong>communications de</strong> <strong>groupes</strong>, les applications se basent souvent sur un <strong>serveur central</strong> pour authentifier les utilisateurs et déterminer qui reçoit les messages, comme c’est le cas par exemple pour <em>WhatsApp</em> ou <em>Signal</em>. La compromission de ce serveur peut ainsi permettre à un attaquant d’<strong>ajouter un faux membre</strong> à un groupe pour accéder aux échanges. Pour contrer cette attaque, la <strong>notification</strong> lors de l’ajout d’une personne à la discussion est souvent la fonctionnalité choisie, mais des solutions comme celle de la startup française <em>Olvid</em> vont plus loin en faisant le pari d’une authentification sans tiers de confiance <a href="https://olvid.io/fr/#technologie">basée sur la cryptographie</a>.</p>
<p>Dans un contexte professionnel, mis à part le risque de perte de confidentialité des échanges, il faut également considérer le <strong>risque d’indisponibilité</strong> de l’application. On peut estimer au premier abord qu’une application grand public telle que <em>WhatsApp</em>, qui possède plus d’1 milliard d’utilisateurs, a un risque d’indisponibilité assez faible. Mais dans le cas d’un besoin fort en disponibilité, l’absence de garantie de services de la part de ces applications pourrait rendre ce risque inacceptable. Il conviendrait alors de se tourner vers une solution professionnelle, plus à même de proposer des <strong>garanties de services</strong> (SLA) – telle que <em>Threema </em>ou<em> Wire </em>par exemple.</p>
<h2>La sécurité de l’application ne suffit pas : d’autres vecteurs d’attaque sont à neutraliser</h2>
<p>Nous avons jusqu’ici principalement considéré la sécurité de la communication portée par l’application. Il y a cependant d’autres sources de menace à ne pas oublier, en considérant l’ensemble de la chaîne :</p>
<p><img fetchpriority="high" decoding="async" class="aligncenter wp-image-11994 size-full" src="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/07/image-0.png" alt="" width="1441" height="729" srcset="https://www.riskinsight-wavestone.com/wp-content/uploads/2019/07/image-0.png 1441w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/07/image-0-378x191.png 378w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/07/image-0-768x389.png 768w, https://www.riskinsight-wavestone.com/wp-content/uploads/2019/07/image-0-71x36.png 71w" sizes="(max-width: 1441px) 100vw, 1441px" /></p>
<p style="text-align: center;"><em>Illustration du fonctionnement d’une application de messagerie instantanée</em></p>
<p>&nbsp;</p>
<p>Il faut notamment garder à l’esprit que les données des conversations sont <strong>stockées en local</strong> sur les appareils utilisés, qu’il s’agisse de smartphones ou d‘ordinateurs. Un appareil mal protégé permettra donc à un attaquant d’avoir accès à toutes les conversations stockées par l’application sur l’appareil. Pour arriver à ses fins, l’attaquant pourra agir à distance à travers un malware installé sur l’appareil, ou plus directement en le volant.</p>
<p>Par ailleurs, les applications proposent souvent de <strong>sauvegarder les données des conversations dans un Cloud</strong> (par exemple <em>iCloud</em> ou <em>Google Drive</em>). L’activation de cette sauvegarde implique donc qu’une copie des données est stockée auprès du fournisseur Cloud, ce qui représente un vecteur d’attaque supplémentaire.</p>
<p>&nbsp;</p>
<h2 style="text-align: justify;">Choisir son application de messagerie sécurisée, tout en restant vigilant</h2>
<p>Pour choisir parmi les nombreuses applications de messagerie instantanée, il faut donc prendre en compte ses besoins et cas d’usages en même temps que les fonctionnalités proposées. Le chiffrement de bout en bout semble à présent être une garantie incontournable pour une confidentialité correcte. Certaines applications présentent par ailleurs d’autres fonctionnalités permettant d’atteindre un niveau de sécurité supérieur : collecte minimaliste d’informations, confirmation supplémentaire du chiffrement de bout en bout, messages éphémères, etc.</p>
<p>Face au défi d’allier <strong>sécurité</strong> et <strong>simplicité</strong> d’utilisation, de nombreuses startups ont vu le jour, avec de nouvelles offres tournées vers les entreprises et organisations. Ainsi, certaines comme <em>Citadel</em> mettent en avant leur <strong>ancrage français</strong> pour éviter l’ingérence de gouvernements étrangers, tandis que d’autres comme <em>Shadline</em> proposent de répondre à des besoins plus spécifiques tels que la <strong>résilience</strong> face aux attaques.</p>
<p>Néanmoins, malgré toutes les fonctionnalités de sécurité que peuvent proposer les applications, il suffit d’une seule faille dans le code source pour remettre en question la sécurité de l’appareil : nous l’avons récemment constaté avec <a href="https://www.leprogres.fr/france-monde/2019/05/18/apres-le-piratage-de-whatsapp-la-securite-des-portables-en-question">la vulnérabilité qui a touché <em>WhatsApp</em></a>. Il ne faut donc pas baisser sa garde, et veiller à <strong>respecter les mesures de sécurité les plus basiques</strong> – installer les mises à jour des systèmes et applications lorsqu’elles sont disponibles, sécuriser son appareil (chiffrement du disque, authentification), utiliser un mot de passe robuste, changer de mot de passe régulièrement, etc. – afin de protéger a minima l’<strong>appareil utilisé pour communiquer</strong> !</p>
<p>Cet article <a href="https://www.riskinsight-wavestone.com/en/2019/07/messagerie-instantanee/">Des applications de messagerie instantanée vraiment sécurisées ?</a> est apparu en premier sur <a href="https://www.riskinsight-wavestone.com/en/">RiskInsight</a>.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
