Reprise du message précédent :

J’utilisais le capteur d’empreinte mais maintenant la reconnaissance du visage avec Windows Hello, je suis vraiment bluffé par la rapidité du truc    
 
Par contre je ne comprends pas l’usage du PIN à 4 chiffres...

Le pin a 4 chiffres c’est valable pour une machine non gérée. Si tu actives en entreprise, tu peux exiger un code plus long et imposer le mix de caractères. Un password en fait. Mais différent de ton password. Mais valable que sur une seule machine    
 

Celles des prestas qualifiées par l'ANSSI, sans aucun problème
Même l'état en fait la pub, tu te rends compte ?
Quand à faire la pub de ma boîte... J'ai posé ma démission y'a quelques semainds, du coup non, c'est pas trop l'esprit

Ben
.. comme pour les empreintes  

La biométrie vas a l'opposé des bonnes pratiques pour un password  
Ça c'est pas secret, ça c'est pas possible d'en changer si c'est compromis
  nan ... Je vais pas me faire opérer tous les 6 mois pour renouveler ma session " vôtre password ne peut pas être identique au précédent "  

Ajouter un code PIN permet de revenir dans les clous  

De façon plus générale, utiliser la biométrie pour du contrôle d'accès OK... Tes a la vue de tous, commencer à bidouiller sur le lecteur ça vas se voir  
Pour de la sécurité informatique, si le mec est déjà arrivé à avoir un accès physique au poste c'est d'un coup moins pertinent  

Pour des trucs vraiment important, une politique de password intelligente est plus approprié que la biométrie
Enfin ... Ça n'est que mon avis  

Là c’est le PC du travail qui a un PIN 4 chiffres, l’empreinte, la caméra et le bon vieux mot de passe SSO

Ouais mais bon, pour être secure, faut avoir confiance et payer un presta pour le faire a ta place ...

Le genre de presta qui doit être qualifié ANSSI, ça serait pas sopra-steria ? Celle qui s'est fait powned ya pas longtemps ?

Il manque un redface là.

Non, tu peux être secure en le faisant toi même. Ça demande un investissement différents (qui est peut être rentable sur le long terme, je pense que ça dépend de la taille et du métier de la boîte).
Tu peux payer un random presta. Tu peux aussi payer un presta qualifié par l'agence de sécurité nationale, avec des audits réguliers et des contraintes drastiques.
Et oui, je bosse pour SopraSteria. Je vais quoter l'ANSSI : "Pour moi Sopra Steria ce n'est pas une attaque réussie, c'est au contraire une attaque qui a été déjouée par un acteur suffisamment mature qui a su très bien réagir".
Ça fait très longtemps que la question n'est plus de savoir si quelqu'un s'est fait attaquer ou pas, mais de savoir quand/comment/quels ont étés ou seront les impacts.

Ouais.

Et y'a des esn qui se sont fait poutrées bien plus violemment. Genre @ltr@n qui a pas pu taffer pendant deux mois et demi.

Sauf erreur, sopr@ n'a pas connu d'arrêt d'activité.

 
Ça dépend de ta définition de « arrêt d’activité », mais pas mal de salariés n’ont pas eu le droit d’allumer leur poste pendant 10j, ça y ressemble un peu qd même  

 
Pour les drosophiles 10j c'est toujours moins que 2 mois et demi, surtout à l'échelle d'une ESN qui emploie plusieurs milliers de personnes

Par contre, niveau image, cela va être dur pour sopra.
 
Les clients vont avoir des doutes à l'avenir et commercialement ca sera pas simple.

Sur ordre de leur management ou de leur client ?
Je demande pour un pote

J'allais justement demander d'où sortait ces 2mois 1/2 ?

D'après https://www.lemondeinformatique.fr/ [...] 74492.html au bout de 3-4 semaines tout était presque revenu à la normal.

C'est balo

 
On va pas polémiquer la dessus mais ça, c'est une déclaration purement politique de ce type qui n'est rien d'autre qu'un politicien.  
Tu peux pas à la fois te faire péter par ZeroLogon des semaines après la sortie du patch et en même temps affirmer que tu es mature, y'a clairement une brique en prod qui ne fonctionne pas. Mais j'ai eu plusieurs clients en PLS totale (dont une cellule de crise dans une grande banque FR massivement infogérée par SS), c'est "normal" que Guitou essaye de sauver les meubles.

 
Je suis d'accord que le risque du biométrique c'est l'impossibilité de changer la source d'information (à la rigueur tu as dix doigts, bon...), par contre c'est de moins en moins considéré comme une bonne pratique, de changer de mot passe régulièrement. Et ça s'explique très bien quand on voit comment les gens les gèrent au quotidien et dans l'absence de frontière privé/pro. Plutôt que d'avoir 11gloubi2020 suivi de 01gloubi2021, je préfère 100 fois conserver pendant des années un HFRc1estleplusb0desof0rumS! et un autre aussi fort en privé avec des outils de gestion des mdp genre trousseau pour un MacOs ou encore le gestionnaire intégré des navigateurs modernes. Deux mdp complexes en masterkey ça reste toujours plus simple à gérer, parce qu'on sait que les users font massivement de la réutilisation.

 
Y a eu un article de Microsoft là dessus l'an dernier de mémoire.
Par contre pour faire changer les mentalités des auditeurs là dessus, c'est compliqué, heureusement qu'il y a quelques articles à l'appui.
 
De notre côté, on a forcé la longueur des mots de passes, mais on a augmenté la durée avant de révocation (6 mois au lieu de 3 pour démarrer le temps que les gens prennent l'habitude notamment sur la gestion des mots de passes et leurs outils associés et sont suffisamment sensibilisés, ensuite on passera à 1 an)

C'est pas la base de cumuler les 3 piliers :

- Ce que l'on a (une clé physique, badge ...)
- Ce que l'on sait (mot de passe)
- Ce que l'on est (biométrie)

Chaque élément a ses avantages et limites, mais simplement mettre les 3 facteurs pour être plus robustes. (Mettre 2 mots de passe est moins efficace qu'un badge physique + mot de passe par exemple ...)

Source ?

 
Je ne remets pas du tout en cause le MFA, je parle simplement de la stratégie de mdp. Et je fais partie de ceux qui pensent qu'il vaut largement mieux un bon mdp fort et unique dans l'idéal cumulé à un MFA (biométrique, à carte, token otp, whatever) plutôt que de casser les couilles aux users et se retrouver avec des leaks de plateformes web contenant des mdp interne du SI par réutilisation.

 
Lecture matinale que je ne retrouve plus.  
De tête Ryuk derrière un emotet/trickbot/bazar et exploitation de zerologon pour une attaque rapide et quasi sans persistance.

https://www.clubic.com/antivirus-se [...] cyber.html

Nan c'est un truc sorti hier soir ou ce matin

Au temps pour moi.

Je la cherche depuis tout à l'heure sans la retrouver, donc soit c'était une connerie et ç'a été delete, soit c'est trop proche de la vérité et on a demandé de delete en attendant le compte rendu officiel aux prochaines assises pour prouver à tout le monde à quel point ce sont des victimes d'une attaque d'une violence inouïe encore jamais vue, qui ont parfaitement réagi avec humilité et professionnalisme et donc il faut continuer d'être client sisi.

 
Tellement ça.    
 
Mention à un des mes anciens chef, RSSI dans une grosse boîte, qui est parti là bas se gaver de petit fours pendant qu'on était en incident response sur des sales attaques dans notre SI en carton    
 
Pendant qu'il faisait le beau pour RSSI magazine, nous on se rendait compte que les contrôleurs de domaines et l AD envoyait des logs incomplets. Pire, qu'ils étaient pas sur le même fuseau horaire et pas sur le même NTP  

 
Encore des admins de génie, trop occupés à enlever à des devs php leurs 3 droits et demi, pour sécuriser correctement leur SI

Historique de ton navigateur ?

Avec les sites à défilement infini, y’a plus rien d’intéressant là dedans.

Article sourcé ? Nan parceque des randoms sur Twitter qui ont balancés des noms d'attaque à la mode, y'en a eu à la pelle
Bref, vous êtes probablement tous mieux placés que moi pour avoir des infos sur le sujet

 
sur developpez.com, ils expliquent sur Ryuk  utilise des exploits comme Zerologon dans les 1ères étapes.
mais ça n'indique pas si la version spé de Ryuk pour S@pra a utilisé précisément Zerologon.
 
https://securite.developpez.com/act [...] congiciel/
 
« On sait que les attaques utilisent généralement une combinaison d'Emotet, de Trickbot et de Ryuk », a déclaré Beek. « Les acteurs impliqués n'hésitent pas à utiliser les dernières vulnérabilités technologiques comme Zerologon dans les premières étapes de la chaîne d'attaque pour obtenir des privilèges sur le réseau d'une victime. Le code a évolué et a été mis à jour au cours des derniers mois et, en particulier, la rapidité du chiffrement et les techniques d'évasion ont été des améliorations prioritaires. Dans de nombreux cas, l'acteur a créé une variante "personnalisée" de Ryuk pour sa victime », a-t-il ajouté.
 
Elle a déclaré que les opérateurs de ransomware Ryuk auraient exploité la vulnérabilité de Zerologon.

Sopra Steria s'est fait compromettre ses DCs par ZeroLogon puis variante de Ryuk.
Quand à l'origine de la compromission initial pas d'information sur le sujet.  
Une recherche Google suffit à trouver l'information qui n'est certe pas confirmée par SS publiquement avec ce niveau de détails.  
L'ANSSI va enrichir sous peu son document sur l'état de la menace rançongiciel avec cette attaque.
En tout cas ça craint d'avoir une maturité aussi minable pour un acteur majeur de SSI française. Le déploiement de correctif c'est la base de la base...

Nan mais j'suis rassuré de savoir que vous avez une vision précise de ce qui se passe, juste basé sur des articles pas sourcés ni validés

 
Ba non justement.
 
c'est simplement dit :
- l'attaque de sopra est basée sur Ryuk
 
- Ryuk s'appuie sur des failles COMME Zerologon (donc pas nécessaire zerologon)

 
L'article était précis notamment sur l'absence de patch sur les DCs, oui.  
A moins que tu ne sois à la DSI interne / dans l'équipe de RI qui traite l'incident, t'es 1 sur 45 000, c'est pas comme si vous étiez une PME. Je ne sais que trop bien comment, dans ces grandes structures, radio moquette déforme, tord et arrange les infos.

Ce que je dis apparaîtra dans le rapport de l'ANSSI.
On pari ?

edit: Je n'ai toujours lu que des HYPOTHESES, pas de réalité/constatations.

non, je parie pas. Je restais factuel sur les articles que j'avais lu. Ils n'associaient pas Ryul et Zerologon dans l'attaque de S@pra.
ça n'empêche pas que ça peut être vrai dans la réalité

Non

Les plus gros risques aujourd'hui, c'est bien les attaques non-ciblées sur le poste de travail me semble-t-il ? (ransomware etc.) Ou alors faut être gros pour attirer la convoitise.

Ces attaques sont d'ailleurs beaucoup moins probables si :

1. Tu n'as pas de partage de fichier (au sens « lecteur de réseau » par exemple)
2. Tu n'as pas d'AD
3. Tu n'as pas de Windows sur les postes clients

Chez nous, on est dans ce cas (on a un OpenLDAP pour nos appli web interne, le reste c'est du soft SaaS comme GH avec du 2FA).

Donc même si ya du taff sur des morceaux (meilleure traçabilité sur certaines app internes, éviter les comptes « génériques » à plusieurs sur certaines plateformes ), j'ai l'impression que j'ai pas un grand intérêt à filer des laptop avec des gens pas sudoer de leur machine. Je parle pas de la sécurisation des serveurs/VMs, c'est un autre sujet.

Vous en pensez quoi

I kindly remind you that best industry practice for malware protection is setting up a lord Ganesh altar atop the main server.  
If after that malware occurs, admin bad karma is to blame.  
 
A+,

Tu as pensé à installer du freebsd sur les postes utilisateurs ? Ce serait encore plus secure tu sais  
Non mais quasi aucune boîte n'a en standard du Linux sur les PCs avec de l'openLDAP pour l'authent...
Certes tu t'affranchis de pas mal de failles de sécurité exploitable mais la c'est limite hors sujet.
À ce stade, on est plus sur une stratégie d'économie de licences qu'autre chose... Et quid des applications métiers pour tes users ?  
 
Le problème n'est pas Microsoft mais la mauvaise gestion/gouvernance de l'environnement.

Sauf toutes (et y'en a pas mal) celles qui utilisent des Chromebook ?