Misc 94

Malware Corner

p. 04 Instrumentation de machines virtuelles avec PyREBox

Pentest Corner

p. 08 PfSense : obtention d'un reverse-shell root à partir d'une XSS

Forensic Corner

p. 18 ELK, une SIEM à prendre au sérieux

Dossier

p. 29 Martine monte un CERT s02e01
p. 36 TheHive, Cortex et MISP : la cyberdéfense à portée de main
p. 46 Threat hunting 101
p. 52 Voyage au centre de la Loi de Programmation Militaire

Système

p. 60 Psychologie comportementale, que faire du mot de passe ?

Cryptographie

p. 66 Le bon, la brute et le WPA2

Organisation et Juridique

p. 74 Maturité d'entreprise et plan d'action pour la mise en conformité avec le GDPR

     Quand ça commence à se voir, ça s’appelle une fuite de données massive [1]

     À moins d’être commercial dans une boite de conseil en sécurité des systèmes d’information, il est probable que la date d’application de la RGPD [2] ne soit pas attendue avec la plus grande impatience.

     Lorsque l’on est consultant avec une appétence pour la technique, devoir faire de l’audit de conformité ne fait pas forcément sauter au plafond. Et si vous êtes du côté de la production informatique, la longue liste d’actions à engager pour aligner son système d’information sur les exigences règlementaires a de quoi donner quelques migraines. Entre les actions organisationnelles, telles que la nomination d’un DPO, la sensibilisation des maîtrises d’ouvrage à la gestion de risques, et les actions techniques comme la portabilité des données ou encore la « pseudonymisation », la mise en oeuvre de la RGPD ne risque pas d’être une partie de plaisir et va coûter du temps et de l’argent à toutes les organisations disposant d’un système d’information important.

     Pourtant, si nous en sommes arrivés à devoir avancer à marche forcée, contraints par un arsenal règlementaire de plus en plus contraignant, c’est aussi parce que force est de constater que l’autorégulation commence à sérieusement montrer ses limites.

     En effet, un des enseignements des dernières fuites de données massives est qu’il ne faut pas attendre des miracles de la main invisible du marché pour sécuriser les données personnelles. Verizon n’a finalement obtenu qu’un rabais de 350 millions de dollars [3], soit moins de 7% sur le rachat de Yahoo! alors que ce dernier a laissé fuiter la totalité de son trésor de guerre, les données de ses 3 milliards de comptes utilisateurs. Quant à Equifax, qui a laissé s’échapper dans la nature les données de 145 millions de clients américains, soit la moitié de la population, son action a certes fait un plongeon de 35% le jour de l’annonce, mais celle-ci a depuis repris des couleurs. Et nous pouvons parier que lorsque la prochaine fuite de données massive surviendra ces deux dernières seront oubliées.

     En définitive, comme l’écrit Schneier dans un billet sur le site de CNN [4], cela coûte moins cher aux entreprises de faire le dos rond et de payer une boite de communication pour de la gestion de crise lorsqu’une fuite de données survient que de dépenser de l’argent pour protéger les données personnelles de leurs « clients ». Comme l’explique Schneier, l’amélioration de la sécurité dans l’industrie agroalimentaire, pharmaceutique ou celle du transport n’a jamais été le fait des sociétés elles-mêmes, mais de la règlementation imposée par la puissance publique.

     Un non-respect de la RGPD pouvant entraîner des sanctions financières allant jusqu’à 4 % du chiffre d’affaires ou 20 millions d’euros (le montant le plus élevé étant retenu), espérons que l’arbitrage entre protection ou gestion de crise se fasse maintenant en faveur de la sécurité des données.

Cedric Foll / cedric@miscmag.com / @follc

[1] https://www.nolimitsecu.fr/fuites-de-donnees-massives/

[2] https://en.wikipedia.org/wiki/General_Data_Protection_Regulation

[3] http://siliconvalley.blog.lemonde.fr/2017/02/22/verizon-obtient-un-rabais-pour-racheter-yahoo/

[4] http://edition.cnn.com/2017/09/11/opinions/dont-complain-to-equifax-demand-government-act-opinion-schneier/index.html