Les sites non HTTPS ciblés par Google Chrome 62

Https securiteGoogle a toujours œuvré pour l’optimisation de la sécurité des utilisateurs et de leurs données sur le web. Prévu pour le mois d’octobre 2017, Chrome 62 a été conçu pour mieux informer les utilisateurs sur les risques liés aux interactions sur des plateformes non HTTPS.

Chrome 62 : un nouveau système d’avertissement à la disposition des utilisateurs

Récemment, Google a lancé une vaste campagne e-mailing ayant pour objectif d’informer les webmasters sur les changements apportés à Chrome. A partir du mois d’octobre 2017, le navigateur va fournir un nouvel avertissement “non sécurisé” aux internautes accédant à des sites non HTTPS.

L’avertissement est disponible en navigation classique, en navigation privée et serait dynamique, selon la firme de Mountain View.

En navigation non privée, la version 62 de Chrome avertit l’utilisateur dès que celui-ci renseigne un champ sur une plateforme non sécurisée. Le message devrait s’afficher même si il n’était pas présent durant le chargement de la page.

En mode privée, elle informe l’internaute sur la faible protection de leurs données dès le chargement des pages de sites non HTTS, mais également lors du remplissage de champs.

Un encouragement à la migration vers HTTPS

Les messages d’avertissement sont déjà présents sur les anciennes versions de Google Chrome, mais cette mise à jour devrait permettre au navigateur de cibler un nombre plus important de sites présentant des interfaces non-sécurisées. Elle vise aussi à mieux informer les utilisateurs sur les risques qu’ils encourent.

En renforçant l’efficacité de son système d’avertissement, Google souhaite encourager les plateformes à migrer vers HTTPS et donc de fournir un meilleur niveau de sécurité aux internautes. En refusant de se plier à cette exigence, un site web s’expose à divers problèmes, tels que l’augmentation du taux de rebond. 

A titre d’information, près de 50% des Français privilégient Google Chrome lors de leur navigation sur la toile.

Vous souhaitez bénéficier d’un accompagnement de professionnel dans la création et le renforcement de la sécurité de votre site web ? Contactez Futur Digital.

Les précautions à prendre pour éviter les piratages informatiques

HackingAucun site n’est à l’abri d’une attaque informatique pouvant entrainer de graves répercussions sur ses activités. Hormis les anti-virus classiques, il est nécessaire de prendre quelques précautions afin d’empêcher les piratages.

Les solutions pour sécuriser un site web

Un simple anti-virus peut difficilement bloquer les attaques informatiques sur un site web. Pour se protéger contre le piratage, il est tout d’abord conseillé d’installer un plug-in de sécurité sur son CMS.

Ensuite, il est important de changer les droits des divers fichiers de sa plateforme. Cette opération est réalisable, à condition que le serveur accepte les modifications.

Après les changements de droits, il est indispensable de mettre en place un système de sauvegarde régulier des données. Cette mesure permet d’effacer les éventuels fichiers corrompus, en cas de piratage, sans pour autant perdre les données de sa plateforme.

A titre d’information, il est également recommandé d’effectuer une mise à jour constante de son système de protection.

Que faire en cas de hacking ?

Dans de nombreux cas, un site ayant subi une attaque informatique présente des modifications qui n’ont pas été effectuées par son administrateur. Ces modifications peuvent toucher sa mise en page et entrainer des dysfonctionnements au niveau du panneau d’administration : touche ne répondant pas, etc.

Dès la détection d’un changement inhabituel sur sa plateforme, il faut en premier lieu analyser ses données puis, faire appel aux autorités compétentes. Afin de paraître crédible aux yeux de la police et de porter plainte plus facilement, il est fortement conseillé de réunir et de présenter toutes les preuves de l’attaque.

Il est à noter que, certains CMS sont nettement plus aisés à pirater que d’autres. Bien qu’il soit le système de gestion de contenu le plus utilisé, Wordpress est sans nul doute le plus fragile face aux attaques informatiques.

Vous souhaitez renforcer la sécurité de votre site et de vos données ? Faites appel à un professionnel. Contactez Futur Digital.

WordPress 4.7.1 : mis en place pour résoudre des problèmes de sécurité

Security wordpressWordPress 4.7.1 a connu récemment une mise à jour pour permettre aux utilisateurs du système de gestion de contenu open-source de résoudre un certain nombre de problèmes de sécurité. Les développeurs de WordPress incitent donc les utilisateurs du CMS à appliquer la mise à jour qui corrige les failles de sécurité enregistrées dans les versions antérieures. Découvrez les avantages de cette nouvelle version.

Les problèmes de sécurité résolus grâce à la nouvelle version WordPress 4.7.1 

La version WordPress 4.7.1 corrigent les failles de sécurité telles que :

  • Remote code execution (RCE) dans PHPMailer. La mise à jour a concerné PHPMailer. 
  • TREST API qui expose les données utilisateurs à tous ceux qui disposent des droits de publication d’un article public. La nouvelle version a posé des limites spécifiques sur l’API REST.
  • Cross-site scripting (XSS) via le nom d’un plugin dans update-core.php.
  • Cross-site request forgery (CSRF) bypass via l’upload de fichier Flash.
  • Cross-site scripting (XSS) via le fallback du nom du thème.
  • La publication via le mail par défaut mail.example.com si les paramètres par défaut n’ont pas été modifiés.
  • Cross-site request forgery (CSRF) au sein de l’édition live des widgets. Le CSRF aussi appelé XSRF est un type de vulnérabilité des services d’authentification web.
  • La faiblesse cryptographique dans l’implémentation de la clé d’activation en mode multisite.

Comment procéder à la mise à jour ?

Le processus de mise à jour se fait automatiquement. Si toutefois, les mises à jour automatiques des versions sont désactivées, il faut aller sur le tableau de bord dans «  Mises à jour » et cliquer sur « Mettre à jour maintenant » et le tour est joué.

Pour tous vos soucis de sécurité sur Internet, n’hésitez pas à recourir le service d’un professionnel. Faites appel à Futur Digital.

L’Europe encore vulnérable à une cyber-attaque majeure

Cyber attaqueEn 2016, l’Union Européenne a réalisé son quatrième exercice de cyber défense et malgré les mesures prises, il semblerait que le Vieux Continent ne soit pas encore prêt à faire face à une cyber-attaque majeure.

Une simulation pour évaluer le niveau de sécurité en Europe

Le quatrième volet de l’exercice de cyber défense “Cyber Europe 2016” a vu la participation de 28 pays de l’UE, ils ont évalué et optimisé leur capacité à faire face à d’importantes attaques informatiques.

Mobilisant plus de 1 000 personnes, l’exercice a duré plus de six mois et s’est terminé par un entrainement intensif de deux jours, le 13 et 14 octobre. Elle a été réalisée sous la supervision de l’ENISA (Agence européenne chargée de la sécurité des réseaux et de l’information) et a porté aussi bien sur des données informatiques que sur des comptes de réseaux, des spots d’information télévisuels et des articles diffusées en ligne.

Pour mettre les participants dans une situation plus ou moins réelle d’attaque cybernétique de grande ampleur, les organisateurs ont imaginé un scénario catastrophe dans lequel un groupe de pirates procèdent à la diffusion de faux messages sur les médias sociaux, de révélations compromettantes ainsi qu’à la suppression de données d’entreprises et d’organisations européennes. 

Des efforts à fournir

Après le quatrième volet de l’exercice, l’Agence européenne chargée de la sécurité des réseaux de l’information a effectué un bilan et a remarqué, dans un premier temps, une certaine amélioration de la coopération de crise au niveau de l’Union Européenne.

Elle a également constaté que la gestion et la communication de crise ont atteint un niveau plus élevé sur le Vieux Continent.

Toutefois, l’agence a décelé un manque d’efficacité dans les processus mis en place pour la gestion d’une cyber-attaque de grande ampleur. Pourtant, selon elle, l’efficacité opérationnelle générale dépend en grande partie de celle de ces processus.

Dans l’optimisation de la sécurité de votre site web, n’hésitez pas à faire appel à l’expertise de Futur Digital.

Comment se prémunir d’une fraude sur internet ?

Fraude internetL’achat en ligne s’est démocratisé partout dans le monde. Personne n’est à l’abri d’une fraude lors d’un paiement sur internet. Il est donc essentiel de mieux s’organiser et de se protéger face à cette menace à dimension internationale, puisque les arnaqueurs ont la capacité de créer un site « vitrine ».

Vérifier la véracité du site avant d’acheter

Quelques outils peuvent être téléchargés gratuitement pour fournir l’évaluation donnée par les cybernautes. Ces add-on peuvent répondre sur la crédibilité ou non d’un site marchand visité par les consommateurs.

Les Conditions Générales de Vente (souvent abrégées par le sigle CGV) livrent des renseignements, tels que le prix, la provenance du produit, la livraison, le numéro de téléphone, l’adresse postale de l’e-commerçant, etc.

Les mentions légales sont obligatoires sur un site de vente en ligne. Elles apparaissent souvent en bas d’une page internet.

Le « https:// » atteste de l’authentification de l’e-boutique du codage des données de son site web. Il doit strictement apparaître lors du paiement en ligne, tout en indiquant que la transaction est bel et bien sécurisée. La vérification de ce protocole permet à un e-consommateur d’éviter les actes frauduleux.

Contacter le service client et se renseigner sur la solution de transaction

La solution le plus simple consiste à appeler personnellement le service commercial pour s’assurer qu’une personne physique peut accompagner l’acquéreur avant, durant et surtout après la vente. Il est conseillé de s’abstenir s’il n’y a aucun numéro ou au moins une adresse mail affichée sur le site.

La confirmation du mode de paiement par un appel téléphonique est importante pour vérifier la solution de transaction employée par l’e-commerçant. Si la solution utilisée n’est pas claire, il est primordial de se rendre sur la page internet de la société pour vérifier son authenticité.

Pour sécuriser votre site et vos activités sur le web, offrez-vous l’accompagnement d’un spécialiste. Contactez Futur Digital.

Les prestataires d’audit de sécurité informatique ayant une qualification PASSI selon l’ANSSI

Securite 1La sécurité informatique est essentielle pour ne pas s’exposer à des risques de piratage. C’est dans ce contexte que beaucoup de sociétés ou d’organisations confient la gestion de la sécurité de leur système informatique à des prestataires externes. Actuellement, l’ANSSI ou Agence Nationale de la sécurité des SI compte 11 prestataires d’audit de sécurité informatique qualifiés PASSI.

ADVENS

Cette entreprise a déjà plus de 15 années d’expérience dans le domaine de la sécurité informatique. Elle a une longue liste de clients dont Accor, McDonald's, SFR, Société Générale, etc.

AMOSSYS  

Cette société basée à Rennes a été créée par des consultants maitrisant le monde de l’industrie de la défense et du service en 2007. Elle possède deux locaux à Paris et compte parmi ses clients le ministère de la Défense, Thales ou encore France Telecom.

Bull

Elle fait désormais partie d’Atos. Installée en Ile-de-France, elle est connue pour son ancienneté et ses activités dans la sécurité informatique.

CGI Business Consulting

Il s’agit d’une filiale du groupe canadien CGI qui compte près de 10 000 collaborateurs en France. La plupart des entreprises du CAC 40 sont ses clients.   

Hervé Schauer Consultants

Elle a été fondée en 1989 et compte près de 500 clients.

I-Tracing

Implantée en Ile-de-France, elle a été fondée il y a dix ans. Elle possède deux locaux à Londres et travaille pour les grands comptes, notamment Crédit Agricole, Bolloré, la préfecture de Police de Paris ou la RATP.

Intrinsec Sécurité

Elle a rejoint la SSII Neurones en 1999 et a développé ses activités dans le monde en 2014. Elle possède un centre certifié d'alerte et de réaction aux attaques informatiques ou CERT.

Lexsi

Lexsi possède plus de 200 spécialistes et compte un CERT ou Computer Emergency Response Team.

Sogeti ESEC

Sogeti ESEC est une filiale du groupe Capgemini.

Solucom

Fondée en 1990, Solucom emploie plusieurs experts en sécurité informatique. Elle dispose d’un CERT depuis 2013.

Thales Communications & Security

Elle a été fondée en 2011 par le groupe Thales. Elle vise particulièrement les marchés mondiaux de la défense, de la sécurité et du transport terrestre.

Pour vous conseiller sur votre sécurité sur Internet, faites appel à Futur Digital, un vrai professionnel dans le domaine.

Règlement sur la protection des données personnelles : Les points à retenir

Protection des donneesLa mise en vigueur du règlement portant sur la protection des données personnelles est prévue pour le 25 mai 2018. Il comporte 99 articles mais certains points doivent d’ores et déjà être pris en compte par les entreprises pour faciliter leur mise en conformité.

Le traitement des données personnelles

L’article 5 du règlement sur la protection des données personnelles porte sur le traitement de ces dernières.

Les entreprises doivent uniquement collecter les données des internautes pour des finalités bien déterminées, explicites et légitimes.

Par ailleurs, elles doivent créer un registre de données, prévoir un système de traitement des donneés sensibles, limiter les renseignements demandés aux utilisateurs, vérifier l’exactitude de ces informations et les mettre à jour régulièrement.

Le responsable du traitement et les sous-traitants pouvant accéder aux informations sont responsables de leur traitement. En cas de non-respect du texte, l’entreprise encoure une sanction allant de 10 millions d’euros à 20 millions d’euros.

La sécurisation des données

Dans les articles 32 à 34, le nouveau règlement exige la mise en œuvre d’un système de protection des données des internautes, dès la conception des produits et des services.

Avant de mettre un article en ligne, un e-commerçant doit penser à la sécurité des informations personnelles que les internautes peuvent délivrer lors de l’acquisition. Il doit mettre en œuvre différentes mesures, telles que la pseudonymisation ou le chiffrement.

La mise en place d’un DPO (Data Protection Officer)

A partir du 28 mai 2018, tout site traitant des renseignements personnels ou réalisant du profiling doit posséder un DPO, ou Data Protection Officer.

Elément indispensable à la mise en conformité d’une entreprise vis-à-vis du règlement, ce professionnel a pour rôle de contrôler, de sensibiliser, de former et d’être en contact permanent avec l’autorité de décision. Dans certains cas, il peut se charger de la création des registres de traitement.

Pour plus d’efficacité en matière de sécurité des données, entourez-vous d’un expert comme Futur Digital.

Pensez à la sécurité de votre data-center

Securite data centerChiffres d’affaires, dossiers personnels, états financiers, documents de veilles concurrentielles…, toutes les informations peuvent maintenant être stockées et gérées virtuellement grâce à l’informatique. Seules les personnes autorisées y ont accès afin d’éviter toute fuite indésirable.

Cependant, il arrive que le système de stockage ou data-center comprenne un défaut et les données deviennent moins sécurisées. Heureusement que la technologie permet de surmonter ce problème. C’est le cas de l’hyperviseur Xen qui est un centre multi-locataire.

Une faille corrigée dans l’hyperviseur Xen

Un hyperviseur, ou gestionnaire de machine virtuelle, est un programme qui permet à plusieurs systèmes d’exploitation de fonctionner sur une même machine.

L’hyperviseur open source Xen est utilisé par des fournisseurs de Cloud, des hébergeurs de serveurs privés et par des systèmes d'exploitation sécurisés comme Qubes OS.

Une faille de sécurité, présente dans le code de base de Xen depuis près de 5 ans dans l’hyperviseur de la même marque, affecte ses versions 4.8.x, 4.7.x, 4.6.x, 4.5.x et 4.4.x, permet à des hackers d'accéder au système d'exploitation et de lire la mémoire de l'utilisateur, ce qui expose les data-centers multi-locataires à leurs méfaits éventuels.

Le data-center est un lieu physique ou virtuel pour stocker et gérer toutes les informations sur un sujet ou une entreprise et ses activités. Leur accès par des personnes indésirables peut entraîner de graves préjudices comme la diffusion d’informations confidentielles.

La vulnérabilité ne peut néanmoins être exploitée que par des systèmes d’exploitation invités. Le logiciel prend seulement en charge les machines virtuelles matérielles (Hardware Virtual Machines) et les machines virtuelles para-virtualisées (PV) basées sur un logiciel.

Qubes (système d'exploitation qui utilise Xen pour isoler les applications à l'intérieur de machines virtuelles) prévient également qu’un hacker peut exploiter cette faille pour compromettre l'ensemble de son système. Ses développeurs ont ainsi corrigé cette faiblesse avec un pack Xen des versions 3.1 et 3.2 de Qubes.

L’agence Futur Digital vous conseille dans le renforcement de sécurité de vos données, faites appel à des professionnels !

×