Vishing: RSA contre-attaque via le Cloud

Comment se matérialise la sécurité « in the Cloud » ? Pour le découvrir, suivez-moi au centre anti-fraudes Internet de RSA, la filiale sécurité d’EMC à Tel Aviv. Ce site est l’un des plus grands centres au monde pour la surveillance des transactions en ligne. Il fonctionne 24 heures sur 24 et détecte une centaine d’attaques en temps réel, via une centaine d’ingénieurs qui contribuent à détecter et stopper les serveurs malveillants. L’objectif ? Améliorer la confiance sur Internet en protégeant ses clients – de grandes banques et des sites de commerce électronique – face à la propagation de chevaux de Troie, d’attaques de type « man in the browser », de faux-sites Web (phishing) et de faux-centres d’appels (vishing). Rappelons que le vishing exploite les communications unifiées et les réseaux de téléphonie mobile pour duper l’internaute et l’inciter à révéler ses identifiants bancaires à un répondeur automatique. Ayant obtenu l’autorisation de filmer une partie du centre anti-fraudes, je vous invite à une démonstration de cette attaque fondée sur la VoIP (la voix sur IP) : cliquez sur l’image ci-dessous pour découvrir le mécanisme du vishing.

Vol d’argent dématérialisé
Une attaque ordinaire cible à présent des centaines de milliers d’e-mails ou de boîtes vocales, explique Yaron Shohat, directeur du groupe de gestion des menaces en ligne (issu de la société isréalienne Cyota, rachetée par RSA fin 2005) : « depuis 2007, l’industrie bancaire affronte une véritable industrie de la cyberfraude. Et, depuis six mois, la menace a changé. Elle est passée du simple vol d’informations au vol d’argent dématérialisé, avec des transferts indirects effectués via des « mulets » consciencieux. Ces travailleurs à domicile sont recrutés par Internet et commissionnés de 5% à 10% des montants dérobés ; ils pensent travailler pour une entreprise légitime en tant que conseillers financiers. Mes équipes analysent ces menaces, épluchent les échanges menés sur les forums spécialisés et expliquent aux FAI qu’ils hébergent des serveurs malveillants ; en moyenne, ces serveurs sont arrêtés en moins de cinq heures quelque soit le pays ».

Amazon fait un pas de plus vers la sécurité

Le modèle du cloud fait rêver… sur le papier. Car pour nombre d’utilisateurs une question récurrente se pose : quid de la sécurité ? Comment être certain que les données externalisées ne seront pas exploités par des utilisateurs malveillants ou que, tout simplement, elles ne seront pas malencontreusement rendues disponibles à des utilisateurs non certifiés ? Amazon, dont la plate-forme EC2-E3-AWS est sans conteste une des plus ancienne, tente de répondre à cette problématique sur plusieurs niveaux. Tout d’abord en s’assurant que ses infrastructures obtiennent le maximum de certification et que les utilisateurs ayant recours à ses services construisent des applications conformes aux règles de sécurités imposées par Amazon. L’intégrité des données est assurée grâce à un ensemble de datacenters répartis sur la planète et soumis à des accès stricts.  Enfin, la protection des données est assurée grâce au recours à l’encryptage, à la redondance et des procédures de sauvegardes optimisées. Tous les détails dans le livre blanc d’Amazon.

http://awsmedia.s3.amazonaws.com/pdf/AWS_Security_Whitepaper.pdf

Le modèle du cloud fait rêver… sur le papier. Car pour nombre d’utilisateurs une question récurrente se pose : quid de la sécurité ? Comment être certain que les données externalisées ne seront pas exploitées par des utilisateurs malveillants ou que, tout simplement, elles ne seront pas malencontreusement rendues disponibles à des utilisateurs non certifiés ? Amazon, dont la plate-forme EC2-E3-AWS est sans conteste une des plus ancienne, tente de répondre à cette problématique sur plusieurs niveaux. Tout d’abord en s’assurant que ses infrastructures obtiennent le maximum de certifications et que les utilisateurs ayant recours à ses services construisent des applications conformes aux règles de sécurités imposées par une charte Amazon. L’intégrité des données est assurée grâce à un ensemble de datacenters répartis sur la planète et soumis à des accès stricts.  Enfin, la protection des données est assurée grâce au recours à l’encryptage, à la redondance et des procédures de sauvegardes optimisées. Tous les détails dans le livre blanc d’Amazon.

ZScaler promet la tranquilité pour un café par mois et par utilisateur

La start-up Zscaler, créée par Jay Chandhry, reprend l’acronyme SaaS pour ‘Security as a Service’, c’est à dire la securité informatique délivrée comme un service hébergé à l’utilisateur professionnel. Son prix est d’ores et déjà fixé à celui d’un café par mois (1 à 2 Euros) et par utilisateur. Et, comme il se doit, iI est dégressif selon la taille de l’entreprise.

« Les salariés peuvent transmettre des informations confidentielles, par erreur ou consciemment. Zscaler va tenir compte des règles de l’entreprise pour bloquer ces informations à la volée – des numéros de cartes de crédit par exemple. De même, les échanges vers les réseaux sociaux peuvent être stoppés ; on peut autoriser la visualisation d’une vidéo mais en empêcher l’upload, ou encore tolérer le streaming tant qu’il reste inférieur à un certain pourcentage de la bande passante », illustre Jay Chandhry, PDG de Zscaler. L’ingénieur informatique n’en est pas à sa première jeune pousse puisqu’il a déjà fondé, entre autres, CipherTrust et Air2Web.

Evolutivité maximale
Les premiers clients de Zscaler sont des PME et des grandes entreprises, des SSII ainsi que des opérateurs indiens et américains. La solution est évolutive au plus haut niveau, d’où son nom qui provient de  « Zenith Scaler », explique le fondateur. Créée durant l’été 2007, Zscaler devrait être rentable avant la fin 2009, grâce à son expansion commerciale actuelle sur douze marchés hors des USA, dont la France où Frédéric Bénichou vient d’être nommé Account Manager.

La sécurité « in the cloud » retient des noeuds dans les principales métropoles comme autant de check-points. Ces points de contrôle Zscaler se focalisent sur l’utilisateur final où qu’il soit, à l’hôtel, à l’aéroport ou au bureau, là où un parefeu ou un IPS protège les serveurs ou les ressources d’un réseau local. Selon Jay Chandhry, on peut ainsi renforcer les règles de l’entreprise et surtout les faire appliquer sur Internet.

Quid de l’acceptation de ce modèle dans les différentes régions du monde ? Elle est plus rapide dans les pays comme l’Inde où l’on ne souhaite pas déployer puis gérer, sur chaque site, une appliance de sécurité, reconnaît-il. Mais la crise économique inciterait aussi un nombre croissant d’entreprises occidentales à réduire leurs investissements matériels, pour préférer… l’approche SaaS de Zscaler.