Mes vœux pour 2014 !

Bonne et Heureuse années 2014 à vous chers lecteurs !

Il est de coutume, à chaque nouvelle année de se fixer de nouveaux objectifs à remplir (si possible) ou tout simplement comme objectif d’accomplir nos différents « projets » initiés au courant de l’année qui s’est achevée !
2013 s’en est allé avec son lot d’événements heureux, mais aussi malheureux du point de vue de la sécurité des données numériques.

En cette année qui s’entame, j’aurai plein de vœux et souhaits pour vous, chers lecteurs, mais je me résumerai juste par ces quelques uns car j’imagine que votre entourage vous à déjà recouvert de tous les vœux de Santé, richesse, Succès, et j’en passe !

Pour 2014, je vous souhaite une meilleure prise de conscience des enjeux d’un simple clic (anodin ?) lors de l’ouverture d’une pièce jointe à vos mails.

Pour 20014, je prie pour que les Administrateurs Systèmes et autres Responsables de nos Infrastructures Techniques soient davantage plus rigoureux dans l’exécution de leur taches au quotidien. (Guide Hygiène ANSSI)

Pour 2014, j’émet le vœux de tous vous savoir à l’abri des attaques par « password guessing » car vous aurez des passphrase suffisamment robustes et au besoin activé l’authentification à double facteur sur vos différentes plateformes si disponible. (petit recap étendu à la vie privée online entre autres par ici)

En 2014, je prie afin qu’à chaque fois que vous trouverez une clé USB (égaré ? really ?) ne vous appartenant pas, que vous n’ayez pas le (vilain ?) réflexe de la connecter directement à votre ordinateur (ni à celui d’un de vos proches) !

De plus en plus de personnes ont le bon réflexe d’installer un Antivirus à jour sur leur ordinateur, je souhaite qu’en 2014 cette habitude s’étende aussi sur les devices mobiles (Smartphone, Tablettes,…) car bien que l’antivirus ne vous protégera pas de tout, il le fera certainement contre 2 ou 3 agents malicieux, ce qui en soit n’est pas mauvais ! back to basics2

Vous l’aurez certainement compris, s’il faille me résumer en une phrase, je dirai tout simplement que pour 2014, je vous souhaite une meilleure hygiène sécuritaire de base.

Valdes T. Nzalli

Publicités

Free Offensive Security Course

off_sec_banner3

Dans le cadre de notre programme de vulgarisation des supports de formation dans le but de renforcer les compétences techniques du maximum de personnes sur la scène locale, nous vous proposons ce programme de formation issu de l’Université d’Etat de Floride, aux Etats Unis. Ce programme a été mis sur pied par deux éminents enseignants à savoir le Professeur Xiuwen Liu et le Professeur W. Owen Redwood. Cette formation a été dispensée au cours du printemps derniers et ses initiateurs ont promis de la mettre continuellement à jour pour une autre session dans la même Université l’année prochaine.

La formation, intitulée « Offensive Security » est disponible en langue anglaise et s’étend sur une période officielle de 15 semaines en moyenne, mais bien sûr, en fonction de vos aptitudes et affinités, rien ne vous empêche de suivre le programme complet en plus ou moins de temps que celui prévu.

Les motivations ayant poussé à la conception de ce cours, telles que données par ses auteurs sont :
“The vision of this class is to fill the common gaps left by most University level security courses, by giving students a deep technical perspective of how things are attacked and hacked. The motivation of teaching such subject material was twofold: primarily to produce skilled students geared to become penetration testers and/or incident responders; and secondarily to hopefully raise the bar for security courses (as there is a real dearth of skilled security professionals coming out of college)”

Ce qui répond grandement à notre besoin car plusieurs ici au Cameroun (et dans d’autres pays) ont eu à faire des cours à l’Université, généralement très concentrés sur les aspects théoriques de la cyber sécurité, ce qui est bien des fois insuffisant pour une insertion professionnelle réussie. Ce programme a donc en partie, pour objectif de combler ce vide et permettre de produire des Professionnels de la Cybersécurite capables de comprendre et d’appliquer les techniques de haut niveau pour résoudre des problèmes techniques potentiellement complexes.

Les supports de cours sont fournis sous forme de présentation téléchargeable au format de votre choix (PDF, PPTX, ODT,…). En plus pour chaque module de cours est disponible une vidéo d’une dure d’environ 1 heure de temps retraçant en « live » la présentation. A la fin de certains modules des exercices sont fournis afin d’évaluer les apprenants. Pour les étudiants de la dites institution, un projet de fin de cours est même disponible. Le programme détaillé de la formation est accessible par ici : Offensive Security Class Syllabus.

Course Objectives :
Upon successful completion of this course of study, the student will:

  •  Know how to identify software flaws discovered through binary and source code auditing
  • Know how to reverse engineer x86 binaries
  • Know how to exploit software flaws (such as injection flaws, buffer overflows)
  • Know how to perform network and host enumeration, as well as OS and service fingerprinting
  • Know how to perform network vulnerability analysis, penetration and post exploitation
  • Know how to effectively report and communicate all of the above flaws”

Tous les supports de formation ainsi que les exercices et les informations complémentaires sont disponibles sur le site de ses concepteurs à cette adresse : Offensive Security Class Website. Notons par ailleurs qu’il vous est possible de télécharger directement le fichier torrent contenant uniquement l’ensemble de toutes les vidéos de la formation (sans les diaporamas et les exercices)

Note : Les supports de cours étant essentiellement en anglais il est nécessaire d’avoir un certain niveau de compréhension de la langue pour pouvoir les suivre. Par ailleurs, nous vous conseillons de travailler avec ces supports en formant des groupes (amis, collègues, club Info/Sec) afin de vous motiver d’avantage et de vous entraider lors de l’apprentissage.

Valdes T. Nzalli

CTO Cybersecurity Forum, Yaoundé Edition, Write Up Part 2 : CIIP

Suite à la première partie de ce retour sur le 3rd CTO Cybersecurity Forum, (qui est disponible par ici) dans l’après midi du Jeudi 25 Avril, il y’a eu deux tracks au choix et le nôtre fut de participer au workshop sur la Protection des Infrastructures d’Information Critiques (CIIP – Critical Information Infrastructure Protection) mené par David POLLINGTON de Microsoft Security en partenariat avec le FIRST (Forum for Incident Response and Security Teams).

D’entrée de jeu, le maître de séance à tenu à préciser que certes il représente Microsoft, mais au cours de l’atelier il ne s’agira nullement de vendre un quelconque produit de la firme qui l’emploi, mais plutôt de partager sur l’état de l’art et les bonnes pratiques pour la CIIP et de ce qui est fait chez Microsoft pour y parvenir.

Cet Atelier était divisé en deux parties :

  • Critical Infrastructure Protection : Concept and Continuum : portant sur la définition et les contours du concept d’Infrastructures Critiques (CI Critical Infrastructures)
  • A Framework for Critical Information Infrastructure Risk Management qui nous proposait un ensemble de processus dédiés à l’identification et la gestion des risques dans nos CIIs (Critical Information Infrastructures).

A cet effet, deux manuels nous ont été remis, chacun portant sur un partie du workshop.

Lorsqu’on parle de CIIP, il faudrait déjà pouvoir différencier ce qui est Critique de ce qui ne l’est pas. La notion de criticité étant variable d’un État à un autre, il n’existe pas de modèles figés là dessus. Toutefois, certains domaines figurent dans plusieurs modèles/Catalogues d’Infrastructures Critiques à l’exemple de l’Energie, les Finances, l’Eau, les Transports, l’Alimentation, la sécurité publique, … La figure suivante représente un aperçu des secteurs jugés critiques dans quelques pays.CII_Sectors_By_Countries

De nos jours, avec les systèmes presque tous automatisés et interconnectés, nos Infrastructures critiques ou non dépendent de plus en plus de l’IT. Toutefois, lorsqu’on parle de CIIP, il ne s’agit pas seulement d’une protection contre les fléaux dont l’IT serait le vecteur, notamment les cyberattaques, mais de tout type de facteurs pouvant mettre à mal nos infrastructures quelle qu’en soit l’origine à l’exemple des Attaques Terroristes, les Catastrophes Naturelles, les Guerres, et bien d’autres situations chaotiques du genre.

La protection des Infrastructures Critiques est intimement liée à 4 points stratégiques à mettre en œuvre :

  •  Des Politiques et Plans de Confiance :

Ce besoin d’un climat de Confiance devra remplir les trois critères suivants:
– Construire et renforcer des partenariats de coopération forte entre les parties prenantes,
– Etre adaptable et évolutif, répondant aux changements en cours dans les profils des menaces
– Contenir des jalons et paramètres qui permettrons de suivent le déroulement du programme de Protection des Infrastructures Critiques.

  •  Des Opérations Résilientes

la Résilience dans ce cas est la capacité à pouvoir anticiper ou se protéger contre les risques/attaques significatives et de réduire au minimum la durée et l’impact de l’incident subit. La Résilience des Infrastructures Critiques permet donc non seulement de se protéger des risques éventuels, mais aussi, et surtout de pouvoir les gérer de façon optimale pour un retour à la normale dans les plus brefs délais. Cela ne peut se faire sans les habitués des exercices périodiques afin de tester les capacités de réaction aux incidents, impliquant ainsi les gouvernements, les fournisseurs et les entreprises travaillent ensemble pour permettre d’évaluer de manière appropriée, d’atténuer et de retourner à la normale après des attaques.

  • L’apport d’Investissements et de l’Innovation

Le plan de Protection des Infrastructures Critique doit être constamment à jours des dernières menaces et tendances du domaine de la sécurité. Raison pour laquelle les Personnes, Processus et Technologies doivent être mis en exergue lors de la définition des activités, programmes, formations et travaux de recherche et le développement lié à la CIP. Il est important de faire des investissement sur le long terme dans les recherches en Sécurité afin de pourvoir répondre au besoin sans cesse croissants des Infrastructures Critiques dans un monde interconnecté.

  • Le Partage d’Informations et une Collaboration franche :

Les 3 premiers Critères cité plus haut, sont mis ensemble grâce à une bonne collaboration et un partage d’informations entre les différentes parties prenantes (partenaires). Ces Echanges et Partages font appels à plusieurs acteurs parmi lesquels les organisation gouvernementales et non-gouvernementales, les acteurs privés et aussi les entités étrangères(InterPol, ITU, CTO, FIRST,… )

la figure ci dessous représente la structure éclatée des 4 étapes clés citées plus haut ainsi que leurs sous-ensembles

CIP_Continium

Suite à ces axes stratégiques pour la Protection des Infrastructures Critiques (Critical Infrastructures Protection – CIP) Microsoft a mis sur pied un framework permettant une gestion intégrale des Risque liés à ces actifs. Ce framework se divise en 5 étapes consécutives définies tel que suit :

1- Déterminer l’étendue de la Gestion des Risques

Cette phase permettra de définir la portée appropriée ainsi que la les objectifs et les activités pour la gestion des risques. Elle se subdivisera en 3 sous-étapes :
– Trouver un consensus avec les parties prenantes sur la vision et la mission de l’étude, ceci en déterminant ce qui doit être protégé et pourquoi.
– Enoncer les buts spécifiques de sécurité et de résilience, ainsi que les objectifs et assurances
– Identifier les services essentiels

Relation_Between_CII_And_Cybersecurity

2- Identifier les fonctions des Infrastructures d’Information Critiques

La détermination des fonctions des Infrastructures d’Information Critiques est la seconde étape du plan de gestion des risques des CIIs. Il est question ici pour les parties prenantes d’avoir un dialogue ouvert sur la criticité des actifs et ainsi, conjointement, définir quels éléments d’Infrastructures d’Information, quelles fonctions critiques et quelles ressources clés sont nécessaires pour le maintien des services vitaux du Gouvernement, de l’économie et ainsi que pour assurer la sécurité publique.

3- Analyser la chaîne des valeurs des fonctions critiques ainsi que les interdépendances

Les services, processus et fonctions essentielles n’étant pas des entités cloisonnées, mais plutôt composées de plusieurs sous-ensembles étroitement liés, comprendre cette complexité et ces chaînes de liaisons interdépendantes ne sert pas juste à analyser les menaces, les vulnérabilités et leurs conséquences, mais aussi et surtout, permet d’identifier les parties prenantes et les fournisseurs stratégiques des chaînes de valeurs concernées. A titre indicatif, la figure suivante représente un aperçu de ce à quoi cette étape peut ramener :
CII_Value_Chain

4- Évaluer les risques des fonctions critiques

Cette étape se concentre spécifiquement sur les menaces et vulnérabilités des fonctions critiques. En matière de CII, le Risque est fonction de la menace, de la vulnérabilité et de leur conséquence. Ceci se traduit par l’équation : Risk = ƒ(Menace, Vulnerabilité, Consequence)
Dans cette équation :
– Menace fait allusion à tout facteur naturel ou Humain
– Vulnérabilité signifie ici une faille ou manquement qui peut être exploitée par une menace
– Conséquence encore appelé « Impact » fait référence aux coûts, pertes ou résultats provenant de l’exploitation réussie d’une vulnérabilité par une menace.

5- Hiérarchiser et traiter les risques des fonctions

Prioriser et traiter de façon continuelle et permanente les risques liés aux fonctions critiques de nos infrastructures débouche sur 4 éventualités :
– L’atténuation de l’impact/effet du risque
– La Prévention du risque
– Le Transfert du risque (en cas d’assurance par exemple)
– L’acceptation ou Rétention du risque consistant à valider l’éventualité et l’impact d’un risque sans rien faire pour le contrer.

En note de fin, le formateur rappelle que la Gestion des Risques des CIIs n’est pas un état statique, mais un Processus Continu appuyé par la culture de l’activité de gestion des risques en cours tout au long de chacune des étapes du CIP Continuum. C’est sur cette note que prit fin cet atelier très instructif sur la Protection des Infrastructures d’Information Critiques.

Après cela, il nous vient à l’esprit quelques questions notamment savoir Combien de pays Africains ont déjà mis en œuvre ce type processus de Gestion des Risques sur leurs Infrastructures d’Information Critiques? bien plus, combien d’entre eux ont seulement terminé avec la première étape de ce type de framework? Qu’en est-il du Cameroun, sommes-nous conscients à ce sujet? Beaucoup de travail doit être fait, mais il n’est pas trop tard!

P.S. : Cet Article est Disponble en langue Anlaise par ICI

Sources :

1- Microsoft Trustworthy Computing : Critical Infrastructure Protection : Concepts and ContinuumGlobal Security Strategy and Diplomacy
2- Microsoft Trustworthy Computing : A Framework for Critical Information Infrastructure Risk ManagementGlobal Security Strategy and Diplomacy

Infosec Community : Quand Marketing et Prédictions se rencontrent !

Comme la plus part d’entre ceux qui suivent les fils d’actualités liées à la sécurité (informatique ?!) l’a surement remarqué, depuis la fin d’année 2012 et ce jusqu’à ce début 2013 c’est la saison des prédictions sur les tendances générales qui se démarqueront au cours de l’année 2013 dans le domaine de la sécurité de l’Information.

Je ne vais pas rentrer dans les détails des « prédictions » individuelles car quelqu’un d’autre les a déjà toutes rassemblé (du moins, pour les principaux éditeurs de solution de sécurité et c’est plus ou moins la même chose chez le reste) et en a fait un tableau croisé tel que représenté par la figure ci-dessous.

 

Le constat général qui en découle est que pour presque tous, 2013 c’est l’année où plein de choses « horribles » vont arriver tant aux entreprises qu’aux particuliers ! La prolifération des malwares sur plateformes mobiles, la sophistication des attaques ciblées, la multiplication des vols d’identité, une multitude d’attaques par Injection SQL, les DDOS de plus en plus persistants et percutants,… bref, tout ce qu’il faut pour vous faire comprendre que ça va faire mal, très mal même ! On se croirait presque à une foire de prophéties malveillantes !

Tout est mis en œuvre, non pas vraiment conscientiser les entreprises et particliers, mais beaucoup plus pour les aider à franchir le pas de l’achat de telle dernière Appliance anti-DDOS, telle application anti-SQL injection (bah oui, ça se vend aussi), de souscrire aux services de tel Consultant/Entreprise pour lutter contre les APT, …   en gros, une orientation qui permet de délier plus facilement les bourses des potentiels clients, même des plus sceptiques et ceci par le biais de la psychose créée grâce à ces « prédictions » ! Ce qui en ressort est que les « Prédictions » en matière de Sécurité pour l’année à venir sont tout simplement devenues les grandes orientations marketing sur lesquelles les éditeurs et Prestataires de Service en Sécurité comptent de façon directe ou indirecte faire leur chiffre d’affaires. l’utilisateur final, lui il n’est pas vraiment au programme, sauf pour la partie où il faudra signer le chèque.

Le système de Prédictions ayant perdu ses valeurs intrinsèques  se retrouve ainsi biaisé. Les malwares, les cybercriminels et autres nuisances auront toujours de quoi se répandre, donc venir chaque année nous verser les mêmes verbiages sous forme de pseudo-prédictions, à la longue ça use ! D’autant plus que le principal objectif derrière tout ça semble être purement commercial !

Ceci laisse penser à une autre approche ; Et si au lieu de chercher à anticiper sur les pires choses qui pourraient nous arriver (ce qui est d’ailleurs techniquement impossible), on s’orientait plutôt vers les Prédictions pour les avancées majeures de l’année à venir en matière de sécurité , celles qui apporterons une réelle plus-value tant pour les fournisseurs de services/produits que pour les clients finaux?

 

Valdes T. Nzalli

Entreprise Security : La Dépérimétrisation Partie II

Dans mon précédent billet, il fut question d’introduire et de présenter le concept de dépérimétrisation en matière de sécurité du Système d’Information de l’entreprise. A titre de rappel, la dépérimétrisation est la tendance technologique qui veut que les principaux Intervenant sur le Système d’Information de l’entreprise ne soit plus tous lotis dans le périmètre de sécurité (généralement physique) prédéfini ; il devient alors nécessaire de pourvoir assurer la disponibilité, la confidentialité et l’intégrité de ses informations en cours transit dans différents terminaux et infrastructures dont l’entreprise ne possède pas généralement la maîtrise complète.

Ce Second billet sera principalement basé sur les 11 Commandements définis par le groupe de travail JERICHO FORUM qui ouvre essentiellement pour la mise en place d’un Framework de principes pour accompagner les entreprises dans leur projet de dépérimétrisation. Ces 11 directives, ainsi qu’une brève explication de chacune d’elle, sont définies plus bas.

1- L’étendu et le niveau de protection doit être proportionnel au risque que représente l’actif.

Pour l’Entreprise, la Sécurité doit prendre en compte l’agilité de ses différents Métiers et être aussi rentable. Par ailleurs les pare feu et autres IDS/IPS doivent continuer à assurer la protection du réseau de l’entreprise car bien que parfois limités, ils permettent tout même de contenir certains types d’attaques. De plus, les Systèmes isolés ainsi que les données  doivent intégrer des mécanismes de protection inhérents de façon à pouvoir s’autogérer bien qu’étant coupé du reste du réseau.

2- Les mécanismes de sécurité doivent être omniprésents, simples, évolutifs et faciles à gérer.

Les complexités superflues pouvant finir par être des obstacles à l’adoption et la mise en œuvre des procédures de sécurité, il convient de s’en abstenir tant que possible. De plus, la stratégie de sécurité mise en place doit pouvoir épouser et se fondre dans les différents tiers de l’architecture du Système d’Information de l’Entreprise. Il en est de même que ces mesures doivent être suffisamment granulaires et évolutives afin de prendre en compte les besoins actuels et futurs de chaque couche de protection tout en restant uniforme.

3- Prendre en compte le contexte à vos risques et périls.

Les Polices et Solutions de sécurité conçues pour un environnement donné ne sont pas nécessairement applicables dans un autre environnement et ceci pour une variété de raisons qui peuvent  être d’ordre géographique, juridique, technique, acceptabilité du risque, etc. Ainsi, il est important de comprendre les limites et conditions d’usage de toute mesure de sécurité avant de l’adopter dans chaque environnement.

4- Les équipements et les applications doivent communiquer en utilisant des protocoles ouverts et sécurisés.

La sécurité par l’obscurité a suffisamment montré ses limites – des protocoles sécurisés et  ouverts permettrons un examen par les pairs afin de fournir une évaluation robuste et une plus large acceptation et utilisation. Les exigences de sécurité de la confidentialité, de l’intégrité et de la disponibilité doivent être évalué et intégré à des protocoles au besoin et non simplement ajoutés sous forme de surcouche logicielle.

5- Tous les appareils doivent être capables de maintenir leur politique de sécurité sur un réseau de  « non-confiance ».

Les règles de sécurité doivent être respectée et applicables quel que soit le contexte où se trouve l’équipement à un moment donné.

6- Toute personne, processus et technologie doit  avoir un niveau d’approbation déclaré et transparent avant que toute transaction puisse avoir lieu.

L’Approbation dans ce contexte est établie par la compréhension entre les parties prenantes à la transaction et la satisfaction de chacune aux obligations qui lui incombent.  Les modèles d’approbations doivent comprendre les personnes et organisations ainsi que les périphérique et l’Infrastructure.  Bien entendu, le Niveau d’approbation peut varier selon l’emplacement, le type de transaction, le rôle de l’utilisateur, et le risque transactionnel.

7- L’assurance d’un niveau d’Approbation mutuel doit être identifiable.

Les utilisateurs et les périphériques doivent être capables de satisfaire de façon mutuelle au niveau d’exigence d’authentification pour avoir accès aux Systèmes ainsi qu’aux données de l’Entreprise.

8- Authentification, l’Autorisation et la Responsabilité doivent inter opérer / échanger en dehors de votre zone de contrôle.

Les personnes et systèmes doivent être en mesure de gérer les permissions sur les ressources et les droits des utilisateurs qu’ils ne contrôlent pas.  L’ensemble doit  permettre l’établissement d’une relation d’approbation avec une organisation, pouvant ainsi authentifier les utilisateurs ou groupes sans pour autant nécessiter la création d’identités distinctes. Les systèmes doivent être en mesure de transmettre les informations d’identification de sécurité.

9- L’accès aux données doit être contrôlé par des attributs de sécurité intégrés dans les données elles-mêmes.

Les attributs peuvent être intégrés dans les données (DRM / métadonnées) ou pourraient être un système séparé à part entière. La sécurité peut être implémentée à ce niveau via un chiffrage. Les accès ainsi que les privilèges d’accès doivent intégrer une composante temporelle, ceci afin de palier à certains cas de vols de session et d’identité.

10- Les DOnnées Confidentielles (et la protection d’un actif de valeur suffisamment élevée) nécessitent une la séparation des tâches et privilèges.

Les Autorisations, les clés de chiffrement, les privilèges d’accès, etc doivent être sous un contrôle indépendant, sinon on court le risque d’avoir un maillon faible dans la partie supérieure de la chaîne de confiance (ce qui est, malheureusement, très souvent le cas). Les accès administrateurs ne sont pas exempts de ces contrôles

11- Par défaut, les données doivent être bien protégées lorsqu’elles sont stockées, en transit, et en cours d’utilisation.

La modification de ce standard par défaut est réservée pour ceux qui savent ce qu’ils font. Un niveau de sécurité accru ne doit pas être appliqué à tout, il est important de jauger le niveau de risque avant d’y adapter un niveau de sécurité, et partant de ce principe on peut aussi bien se retrouver avec des données pas du tout sécurisées !

Notons que tout ce qui est défini plus haut ne se réalisera pas du jour au lendemain. Ces Commandements sont une feuilles de route à suivre pas à pas afin d’arriver à un Système d’Information Sécurisé et capable de survivre aux différents changements et évolutions que nous réserve le temps, et dont certains sont même déjà en cours au sein de nos Entreprises.

Vous trouverez la version originale des commandement du Jericho Forum sur la dépérimétrisation ici (en Anglais).

Valdes T. Nzalli

Site Web Jericho Forum 

CyberCrime, Hacking and Malware in AFRICA

Le groupe IDG Connect a récemment publié le 19 Octobre dernier un rapport concernant les tendances de la cybercriminalité et ses contours en Afrique. Le rapport est téléchargeable sur le site de IDG Connect à cette adresse (nécessite au préalable une inscription qui est gratuite) Africa 2013: Cyber-Crime, Hacking and Malware

Tout d’abord c’est toujours une bonne chose que de voir de données statistiques fiables sur les évènements de Cyber Sécurité en Afrique, vu que les remontées d’informations ne sont pas souvent évidentes, ceci pour plusieurs raisons, mais tel n’est pas l’objet du présent article. J’ai parcouru avec un certain intérêt ledit rapport. Mon analyse se porte principalement sur la présentation globale de ces fléaux en Afrique tel que mentionné dans le document. Pour ce qui est des spécificités liés à des pays individuels,  je n’entrerai pas dans les détails car je trouve que le présent rapport est déjà assez détaillé là-dessus, du moins concernant les pays mentionnés.

Avec un taux actuel de pénétration d’Internet d’environ 13%, l’Afrique a connu entre 2000 et 2011 une croissance spectaculaire de 2998,4%. Face à la grande croissance de l’adoption des  Technologies de l’Information et de la Communication (Internet, télécoms, dématérialisation, Mobile, …) l’Afrique se retrouve avec un plus grand nombre de terminaux connectés au reste du monde. Et ceci n’a pas qu’un côté positif car malheureusement tous ces équipements et personnes connectés, généralement naïves et pas assez éduquées sur les mesures de sécurité dans cet environnement,  constituent un vivrier potentiel pour les cybercriminels et les logiciels malveillants.

D’entrée de jeux, il est mentionné que pour certaines raisons (voir les remarques en fin d’article) le rapport ne s’appesantira que sur 4 principaux pays d’Afrique à savoir le Nigéria, l’Egypte, le Kenya et l’Afrique du Sud. La figure suivante présente le taux de pénétration Internet dans ces différents pays ainsi que les valeurs de leurs marchés respectifs
IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis

IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis.

Le rapport mentionne quelques indicateurs globaux en Afrique parmi lesquels nous avons :

  • Les Malwares et les logiciels piratés

L’association Internationale « Business Software Alliance » fait état pour l’année 2011 d’un taux d’utilisation de logiciels contrefaits, c’est-à-dire sans licence originale, d’environ 73% pour l’Afrique de façon globale. La situation ne s’est pas beaucoup améliorée, loin de là, de 2010 à 2011 elle s’est même aggravée en Afrique du Nord. Ceci est attribué au printemps Arabe et l’utilisation massive par les populations de logiciels d’origines douteuses pour manifester contre leurs gouvernements (LOIC et autres logiciels client pour lancer des DDoS et rester anonyme). De plus suite à l’inflation globale qui a suivi cette période de trouble les utilisateurs étaient plus enclins à l’utilisation des logiciels piratés qui revenaient nettement moins chers, sinon gratuits (en apparence !).

Dans le même ordre d’idées, le rapport de renseignement de sécurité de  Microsoft (Microsoft Security Intelligence Report) vient confirmer ces estimations dans son édition du 2e semestre de 2011 avec le nombre d’infections et des logiciels malveillants en Egypte qui après une croissance considérable les deux dernières années, passe au premier rang en Afrique et figure dans le top 5 mondial.
Rapport Microsoft Security Intelligence

  • Les régulations sur la Cybercriminalité

Ici le constat est flagrant car très peu de pays Africains disposent de textes de loi spécifiques au cyber espace en général et à la cybercriminalité en particulier. Ceci est à l’avantage des cybercriminels qui s’y jette comme sur du pain béni !

Toutefois, ces dernières années ont vu la mise en œuvre de plusieurs CERT (Computer Emergence Response Team) et CIRT (Computer Incidence Response Team) ainsi que de quelques alliances régionales et sous régionales afin de contrer la progression de la cybercriminalité dans la zone. La figure ci-dessous représente quelques mesures déjà mises en place par certains pays Africains pour endiguer le phénomène.

IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis

IDGConnect Africa 2013 : Cyber Crime, Hacking and malware Analysis.

Il est à rappeler que certains pays mentionnés dans cette figurent présentent bien un CERT/CIRT mais ces Agences ne sont pas pour ainsi dire vraiment opérationnelles. C’est le cas par exemple pour le Cameroun qui en ce début d’année 2012 a mis sur pieds son CIRT (Centre d’Alerte et de Réponses aux Incidents Cybernétiques (CIRT/ANTIC) ). Mais pour ce qui est de la communication, on peut dire sans se tromper que très peu sont les usagers (individus, entreprises privées, Administrations publiques) qui sont au courant de son existence, de ses activités et qui remontent les informations de Cyber Sécurité auprès d’eux (et vice versa). Mettre sur pieds une CERT/CIRT c’est déjà bien, mais le tout ne s’arrête pas là, il faut des mesures d’accompagnement (Ressources Humaines compétentes, Moyens financiers, infrastructurels, législations) sans lesquels le dit CERT/CIRT ne pourra pas s’exprimer totalement ni exercer sa mission principale ; ce qui serait bien entendu assez dommageable.

Selon l’expert Contador Harrison, Software Director à Somodo Oy, en Finlande, il revient à l’Union Africaine de prendre les mesures nécessaires pour vite palier à ces problèmes, comme le font les autres organisations continentales outre atlantique. D’autant plus que la course actuelle au cyber-armement (et par ricochet à la Cyber Défense) ne nous laisse pas vraiment le choix de rester passif à observer. Selon cet expert, les gouvernements Africains ne devraient pas lancer leurs différents projets d’eGovernment tant que ces besoins essentiels en matière de Cyber Sécurité ne sont pas encore garantis. A défaut, leur réseau d’eGovernment ne devra couvrir que les infrastructures et systèmes critiques via un réseau sécurisé interne qui ne  devrait en aucun cas être relié au réseau Internet afin de réduire tant que cela ce peut la surface d’exposition aux attaques extérieures.

Sur ce point je suis entièrement d’accord mais cela soulève un autre problème qui est celui des ressources Humaine ; tant pour la mise en œuvre de ce genre d’Infrastructure que pour sa maintenance et son utilisation quotidienne (recyclage et formation des potentiels utilisateurs). Car les ménaces peuvent aussi venr de l’intérieur du réseau, principalement à cause de certains utilisateur véreux ou des mauvaises manipulations. La semaine passée encore j’ai reçu un mail d’un haut responsable à la Communication du Département de la Défense des Forces Armées du Cameroun depuis son adresse privée Yahoo! , pourtant il s’agissait d’une réponse à un courrier officiel et non privé. Ce genre de petits détails qui nous échappent encore et qui au final nous portent préjudice doivent déjà être éradiqués. Et ceci passe par la formation des agents de maîtrise ainsi que par la mise sur pieds de référentiels de procédures dans ce genre de contexte.

Depuis quelques années on nous parle d’Infrastructure à clé publique ci et là, mais concrètement les avancées dans leur déploiement ne sont pas encore vraiment parlante.

Mr Harrison revient aussi sur le problème des équipements (routeurs, ordinateurs, …) d’occasion qui sont plutôt prospèrent ici en Afrique (coût accessible pour les populations) présentant pourtant un risque inhérent de sécurité car rien ne garantit l’authenticité de ces matériels ou des logiciels embarqués dedans. Il en est de même pour l’usage des systèmes d’exploitation et des logiciels crackés dont on ne sait pas toujours ce que le crackeur a bien pu ajouter sur le code initial de l’OS (ou de l’application).

A cet effet je pense que les éditeurs de logiciels ainsi que nos gouvernements doivent mettre sur pieds des partenariats pour d’une part subventionner certains produits logiciels de base  et d’autre part encourager davantage la production locale via des formations adéquates dans nos universités, via l’amélioration du soutien des Etats aux startup locales qui proposent généralement des produits à coût accessible pour nos populations et qui méritent grandement d’être encouragées dans ce sens. De plus l’Afrique doit sur cet item booster ses capacités en recherche de développement (R&D) tant pour dans l’industrie Logicielle que Matérielle, non pas seulement en matière de Cyber Sécurité, mais de technologies en général.

Quelques remarques :

Tout d’abord je pense que le fait qu’on ait eu une analyse détaillée que pour les 4 pays est assez maigre pour un document sensé couvrir la cybercriminalité dans tout le continent. Certes l’Afrique compte 57 pays et environ 3000 langues (excuses avancées par les auteurs du rapport) mais je tiens à préciser que ces langues ne sont pas toutes officielles car en terme de langues officielles, on en décompte au trop une trentaine, le reste ne sont que des dialectes locaux. Les éditeurs auraient bien pu s’arranger pour nous fournir de plus amples détails sur au moins deux pays de chacune des 5 divisions sous régionales que comporte l’Afrique.

Ceci étant je suis assez triste de ne point trouver d’informations par exemple sur les scams Ivoiriens, Béninois ou Ghanéens qui depuis plusieurs années ne cessent de proliférer sur internet. Par la même occasion on n’a aucune information des différents problèmes de cybercriminalité (défaçage  de site institutionnels, vols de données bancaire, infection virale généralisée, …) qu’il y’a eu ces derniers années dans des pays comme la Tunisie, le Ghana, le Maroc, l’Uganda, la cote d’Ivoire, le Cameroun et bien d’autres ; d’autant plus que ce n’est pas ça qui a manqué.

Par ailleurs le lecteur aurait aussi aimé pourvoir trouver au sein d’un rapport de ce type des informations sur les différentes stratégies qui sont mises en place tant par les gouvernements Africains que par les institutions privées et les organismes communautaires pour stopper ce problème de prolifération de la cybercriminalité en Afrique. J’entends par là de façon non exhaustive, les évènements annuels, les partenariats avec d’autres gouvernements ayant déjà une bonne maîtrise de la chose, les rencontres thématiques, les Forums dédiés à la Cyber Sécurité, les  programmes de formation des experts dans ce domaine, les estimations pour les années à venir  non pas seulement en matière de chiffre d’affaire comme c’est le cas dans le rapport, mais aussi en matière de ressources humaines qualifiées afin de répondre efficacement aux besoins…

Toutefois étant donné qu’une fois n’est pas coutume, j’ose croire que les prochains rapport du genre seront bien plus fournis. Toujours est-il que l’initiative est à encourager chez eux comme chez tout autre organisme œuvrant dans ce sens ici en Afrique.

Valdes T. Nzalli

Quelques liens Utiles :

Arnaque Mail

L’Afrique de l’Ouest se mobilise contre la cybercriminalité

Africa: Risk of Cyber War Poses Serious Security Threat, Says Computer Expert Kaspersky

Experts deliberate cyber security with growth of Africa’s information economy

Better Cyber Security Urged in West Africa

Africa’s Cybersecurity: an Internet W.M.D. by Ukeme Esiet

Africa’s Cyber WMD

The Balancing Act: How Universities Can Prevent Malware and Enable Information Access

Cameroun, nos Vitrines Web brisées!

Et si on parlait de nos boites mails?

Cet article est issu d’une interview réalisée par Beaugas Orain Djoyum (@beaugasOrain), Journaliste Indépendant au quotidien Le Jour, publié récemment dans le magazine online d’actualité sur les Technologies de l’Information et de la communication TICmag.com (article 1) et sur le réseau de l’agence EcoFin (article 2 )

Il est ici question de savoir quelles sont les mesures de sécurité à prendre concernant l’usage des boites mails pour éviter de se faire pirater son compte et que faire si jamais il s’averait qu’il soit compromis.


« Valdes T. Nzalli, IT & Security Engineer au cabinet ZyLy S.L, il donne des conseils pour sécuriser sa messagerie sur le web.

Comment éviter que sa boite mail ne soit piratée ?

La boite mail comme les autres ressources des TIC nécessitent un apprentissage à l’utilisation et au cours de cet apprentissage la notion de sécurité incluant la confidentialité et l’intégrité des mails échangés est primordiale. De ce fait, il est vivement conseillé de respecter les principes de base de sécurité pour garantir la confidentialité de vos courriers électroniques. Parmi ceux-ci nous comptons :

  • Choisir un mot de passe suffisamment complexe, mais pas trop compliqué à retenir pour vous. J’entends par là une passphrase assez longue (minimum 7 caractères) composé de caractères alphanumériques, de majuscules et de caractères spéciaux. (Exemple : « @rr3t3M0i5iTup3u& »)
  • Veuillez à conserver jalousement vos identifiants d’accès à votre boite mail. Ceci en évitant de les écrire sur des bouts de papier, des fichiers numériques non chiffrés, ou tout autre support. De plus, le mot de passe étant à caractère individuel, il n’est pas recommandé de le divulguer à une tierce personne, car même involontairement (ou volontairement) elle peut être la source de la fuite de vos informations privées.
  • Changer régulièrement son mot de passe, selon la fréquence qui vous convient.
  • De préférence, évitez de vous connecter depuis des terminaux (poste de travail, mobile,…) dont vous ne pouvez garantir le niveau de sécurité, car ils peuvent être infectés par un programme malveillant en charge de récupérer les informations à caractère privées de ses utilisateurs.
  • Pour les amateurs des connexions gratuites, il faut éviter d’utiliser des proxys (ordinateurs faisant office de passerelle entre le réseau d’un particulier ou d’une entreprise et Internet, ndlr) dont vous ne connaissez pas les propriétaires, car la plupart de ces proxys gratuits sur Internet permettant de contourner certaines mesures de sécurité ou de surfer gratuitement sur certains opérateurs de télécoms sont aussi des moyens pour récupérer les identifiants de connexion de leurs utilisateurs.

Que faire pour retrouver sa boite mail lorsque celle-ci est piratée ?

Généralement, l’hébergeur de votre webmail, lors de la création de votre compte mail, vous propose l’utilisation d’une ou deux questions secrètes qui serviront à vous authentifier au cas où vous perdrez l’accès à votre boite. Ces questions sont généralement du genre : « Quel est le nom de votre mère ? », « Quel est le nom du quartier où vous avez grandi ? »,… Il faudra donc faire attention aux éléments de réponse que vous fournirez à ces questions, car ils pourront vous sauver la mise.

De plus, lors de la création du compte mail toujours, il vous est aussi proposé d’y adjoindre un mail de récupération à partir duquel vous pourrez réinitialiser le mot de passe de votre boite mail en cas de problème. Hormis ces informations, il est généralement « impossible » (du moins de façon simple) de pouvoir avoir accès à votre compte mail piraté.

Quels sont les indices qui montrent que votre boite mail est sous la menace d’un pirate ?

Par définition, toutes nos boites mails sont plus ou moins sous la menace d’un ou des pirate(s). Maintenant, savoir qu’on est déjà piraté dépend généralement des intentions et de l’attitude du pirate qui s’est approprié nos crédentials. En fonction de son profil, le pirate peut :

  • Modifier votre mot de passe à votre insu et là c’est assez facile à reconnaitre car vous perdrez l’accès à votre boite.
  • Utiliser votre boite pour faire passer des messages publicitaires (spam) et/ou infecter vos contacts via votre carnet d’adresses. Là vous serez généralement alertés par vos contacts vous disant avoir reçu des mails de votre part dont vous ne vous souvenez pas.
  • vous espionner tout simplement afin d’avoir accès à tous vos courriels. Dans ce cas il est assez difficile de détecter la menace. Ici, la seule option est l’utilisation d’un Webmail qui vous rappelle, à chaque fois que vous vous connectez, la date, l’heure et le lieu (Adresse IP) de votre dernière connexion à ce dernier. Ainsi vous pouvez identifier toute activité malicieuse.

De façon générale, la sécurité des boites mails, au niveau utilisateurs doit être aussi rigoureuse que celle des cartes bancaires et autres services dit sensibles.

Peut-on retrouver le pirate de sa boite mail ?

Cela dépend du profil du pirate en question. Dans certains cas, vous pouvez l’identifier en vous rendant compte que quelqu’un dans votre entourage semble tout savoir sur le contenu de vos mails envoyés et reçus, pourtant vous ne lui en avez pas fait part. Mais ce genre de cas n’est pas très fréquent. Dans certains cas, vous pouvez faire appels à des experts en investigation numérique qui se chargeront de mener l’enquête pour vous de façon privée ou bien en vous rapprochant des services publics régissant ce genre de procédures. Au Cameroun, il faudra se rapprocher de l’Antic (Agence nationale des technologies de l’information et de la communication) qui selon votre cas pourrait engager les procédures légales afin d’entrer en possession des informations précises auprès des ISP (Fournisseurs d’Accès Internet) à partir desquels le pirate s’est connecté à votre boite mail afin d’obtenir l’identité du propriétaire de l’adresse IP suspectée. Par ailleurs, ce n’est pas toujours garanti que le propriétaire de cette adresse IP soit effectivement celui (ou celle) qui à piraté votre compte, même après perquisition de son matériel informatique, car il peut être juste un simple relai que le véritable pirate aurait utilisé afin de brouiller les pistes.

Y-a-t-il une solution pour ceux qui utilisent les messageries d’entreprises ?

Pour ceux utilisant des messageries d’entreprises, la solution la plus simple et vivement recommandée est que si jamais vous vous faites déposséder de vos identifiants de connexion ou même que si jamais vous suspectez que quelqu’un d’autre a accès à votre boite mail à votre insu, veuillez-vous rapprocher du service Informatique de votre entreprise afin que les mesures nécessaires soit prises et qu’il vous soit attribué un nouveau mot de passe.

De façon générale, la sécurité des boites mail, au niveau utilisateurs doit être aussi rigoureuse que celle des informations bancaires et autres services dit sensibles.

Par ailleurs, concernant la confidentialité et l’intégrité des boites mail, il est vivement conseillé l’utilisation des certificats ou signatures numériques en combinaison des méthodes de sécurité basiques afin de garantir le chiffrage et l’authentification des courriers électroniques. Pour ce faire, plusieurs solutions Open Source basées sur le standard OpenPGP comme « PGP » (Pretty Good Privacy ou « Intimité Plutôt bonne » existent de même que leurs équivalents payants.

Propos recueillis par B-O.D. »

 

Quelques Liens utiles :

A World Of Passworw
5 réflexes à avoir lors de la réception d’un courriel

 

Valdes T. Nzalli