mars 2022 | Groupe Cyberswat

Sécurité des outils infonuagiques: risques et opportunités

13 avril 202228 mars 2022 par Jean-Philippe Racine

Rédigé par Cyrille Augustin Molemb Beal

Depuis plusieurs années, Jean-Philippe Racine, Président du Groupe CyberSwat donnes des conférences et des formations sur la sécurité des outils infonuagiques.

Lors de ces événements, il évoque un ensemble de risques liés à l’adoption de l’infonuagique au sein des entreprises. Bien sûr, il présente les gros avantages que procure cette nouvelle technologie notamment en ces temps de pandémie.

Le télétravail va perdurer après la pandémie pour plusieurs organisations, au moins en partie. La généralisation du télétravail a bien sûr accéléré l’adoption d’une multitude d’outils infonuagiques. Il nous semble donc judicieux de revenir sur les grandes lignes des avantages et des risques liés à l’infonuagique.

Un mot sur l’infonuagique pour commencer…

Il n’y a pas de doute : même les moins passionnés de l’informatique ont entendu parler de « cloud », ce fameux anglicisme qui, traduit en français, veut dire « infonuagique » ou « informatique en nuage ».

En termes simples, cette expression représente simplement l’action de louer vos TI (bases de données, logiciels, équipements, sécurité, etc.) auprès d’un fournisseur de services infonuagiques au lieu de les acheter. Ainsi, toutes les données sont hébergées dans des méga serveurs qui les conservent et les rendent accessibles là où vous voulez et quand vous le voulez! Le fournisseur vous facture généralement en fonction de l’utilisation desdites données, ou encore, par utilisateur.

Pas mal! Mais comme toute nouvelle technologie, l’infonuagique est une niche pour les cybercriminels, qui ne ménagent aucun effort pour trouver des failles dans cette technologie, créant auprès des entreprises une certaine méfiance vis-à-vis du cloud.

Tenez par exemple :

Un énorme piratage de données chez le géant américain des cartes de crédit Capital One Financial a compromis les données personnelles d’environ six millions de Canadiens et exposé un million de numéros d’assurance sociale. Selon le résumé d’enquête, l’auteur de cet incident aurait exploité une faille dans le mur pare-feu censé protéger les serveurs informatiques du fournisseur infonuagique AWS (Amazon Web Service) de Capital One. Le mur pare-feu était mal configuré et cette déficience aurait permis de faire exécuter des commandes à distance par le serveur pour accéder et extraire certains fichiers.
Un employé, limogé de l’entreprise britannique Voova a piraté les accès d’un ancien collègue aux comptes Amazon Web Services (AWS) de l’entreprise et a ainsi supprimé 23 serveurs AWS. En conséquence, l’entreprise a perdu de gros contrats avec des entreprises de transport. La police affirme que cette action malveillante a causé une perte estimée à 500 000 £ (environ 860 000 CAD). Même si l’auteur de ce cybercrime a écopé de 2 ans de prison, l’entreprise quant à elle n’a pas pu à ce jour être à mesure de récupérer les données supprimées.

Le faux sentiment de sécurité !

Au vu des 2 exemples suscités, on peut bien comprendre que certaines organisations se disent, en adoptant les technologies infonuagiques, que la sécurité n’est plus un enjeu pour elles compte tenu de la grandeur et de la bonne réputation de son fournisseur. Ce faux sentiment de sécurité peut avoir des conséquences graves pour les entreprises surtout lorsque les outils infonuagiques sont au cœur de l’organisation.

D’ailleurs, selon un sondage réalisé par l’entreprise OVHcloud en collaboration avec la société de solutions de services de données Maru/Blue, 48% des entreprises canadiennes ont affirmé qu’elles n’étaient pas préparées aux changements technologiques engendrés par la COVID-19, notamment l’adaptation de leur infrastructure technologique aux exigences du télétravail en migrant vers l’infonuagique. Aussi 40% craignent ne pas disposer de ressources nécessaires pour gérer des opérations de multicloud. Toutefois, 44% des entreprises canadiennes estiment que leurs plus grands défis sont les risques liés à la cybersécurité, à la gestion de l’infonuagique et au télétravail.

Il convient donc de mettre en exergue les avantages de l’infonuagique tout en évoquant les risques liés à son utilisation. Aussi est-il nécessaire de vous faire réaliser que le volet sécurité est présent à toutes les étapes du cycle de vie d’un service infonuagique.

Pourquoi s’intéresser au cloud ?

Avec la généralisation du télétravail et le besoin de rendre accessible l’ensemble des outils corporatifs des entreprises, il y a une vraie tendance à s’intéresser à l’infonuagique au détriment de l’ajout des services à l’intérieur des bureaux de l’organisation. Ainsi, le cloud computing permet de :

Délaisser la gestion interne des ressources informatiques afin de se concentrer pleinement sur la mission de l’entreprise.
Aussi, au lieu de gérer les outils informatiques tels que des serveurs, l’équipe TI aura plutôt la charge de l’accompagnement des utilisateurs et la prise de décision et autres orientations technologiques pour l’entreprise.
Mieux gérer son flux de trésorerie grâce à une facturation du service infonuagique à l’utilisation, les services étant offerts par abonnement.
Faciliter le télétravail à la maison; vous bénéficiez d’un accès à distance et quasi immédiat à toutes vos données à partir de n’importe quel appareil.
Augmenter ou diminuer l’espace de stockage en fonction de vos besoins.
Accéder à des applications et à une infrastructure informatique puissante et d’avant-garde (particulièrement bénéfique aux petites et moyennes entreprises).

Quelles sont les responsabilités de chaque partie dans la gestion de la sécurité infonuagique?

Comme dit précédemment, la plupart des entreprises se lancent dans l’infonuagique avec la fausse impression que toute la sécurité relève de la responsabilité du fournisseur.

C’est ainsi que plusieurs entreprises croient, à tort, que parce qu’un fournisseur infonuagique a plusieurs certifications que tout est sécuritaire par défaut.

L’entreprise doit jouer un grand rôle notamment dans l’application des bonnes configurations de sécurité mises en place par le fournisseur. Le risque est d’autant plus élevé du fait que les services soient disponibles sur internet et non localement.

Il faut souligner qu’à cause de la multitude de configurations à appliquer par l’entreprise, certaines d’entre elles peuvent être négligées et non sans causer de problèmes de sécurité plus tard. Par exemple, un outil infonuagique pourrait permettre la mise en place de l’authentification en 2 étapes, ou encore l’activation d’une journalisation des accès réalisée dans la plate-forme, sans toutefois que l’entreprise l’active. De plus, il est important que les configurations de sécurité appliquées soient proportionnelles au risque à mitiger.

On peut ainsi comprendre que les responsabilités en matière de sécurité infonuagique sont partagées entre le fournisseur et l’entreprise cliente. Ces responsabilités dépendent aussi du modèle d’infonuagique utilisé (Logiciel en tant que service (SaaS pour Software as a Service), Plateforme en tant que service (PaaS pour Platform as a Service) ou Infrastructure en tant que service (IaaS pour Infrastructure as a Service). Par l’infonuagique, l’entreprise délègue une partie de l’exploitation de ses ressources informatiques, mais pas sa responsabilité.

Pourquoi sécuriser son cloud ?

Premièrement parce que la fuite de vos données vous coûtera très cher.

En effet selon le rapport de l’entreprise IBM qui mesure les répercussions financières des vols de données dans le monde entier, une fuite de données coûterait en moyenne 3.6 millions de dollars aux PME canadiennes de moins de 500 employés.

Ensuite, parce que les frais de gestion des incidents de sécurité sont colossaux. Généralement la gestion d’un incident nécessite plusieurs équipes spécialisées qui ne sont pas forcément issues de l’entreprise victime ou du fournisseur. Les honoraires de ces experts sont généralement évalués à plusieurs dizaines de milliers de dollars en fonction du type d’incident. À cela, doivent être ajoutés les frais liés aux enquêtes réalisées par les autorités policières, qui sont souvent, dans certains cas, supportés par des firmes spécialisées en gestion d’incident.

On ajoute aussi l’impact d’une perte de productivité en cas d’incident touchant à l’infonuagique. C’est généralement le cas des entreprises qui mettent en place leurs systèmes de mission dans le cloud.

L’impact potentiel en cas de perte de réputation: il faut s’imaginer dans ce cas ce que les commanditaires et les clients de l’entreprise penseront de vous à l’écoute ou à la lecture d’un article de Radio-Canada ou TVA Nouvelle faisant état d’un incident de sécurité au sein de votre entreprise.

Vous pourrez aussi être obligés de notifier vos employés et/ou vos clients en cas de perte ou de divulgation non contrôlée des renseignements personnels de vos clients et employés. À ce sujet, le projet de loi 64 en gestation au sein du parlement québécois obligera les entreprises, comme c’est déjà le cas avec le Règlement général sur la protection des données (RGPD) européen.

Quelques enjeux de l’infonuagique au volet sécurité!

Le cloud, aussi utile soit-il, est également sujet à plusieurs enjeux sécuritaires pour l’entreprise et ses employés. On peut par exemple citer:

La non-implication du département en charge de la sécurité dans le processus d’acquisition d’une solution cloud, cela conduisant à un choix sans évaluation sécuritaire préalable.
La non-clarification des rôles et responsabilités en matière de sécurité de l’information (SI); il s’agit notamment ici des risques liés à l’ignorance des responsabilités en cas d’incident ainsi qu’au partage de responsabilité entre l’entreprise et son fournisseur.
Les risques liés à la gestion des accès notamment lors de l’attribution des accès et des privilèges à un nouvel utilisateur ou lors du retrait des accès ou des privilèges au moment du départ de l’utilisateur. On peut parler du risque de l’accumulation de privilèges dû au maintien et à l’accumulation de privilèges au sein des services cloud malgré les changements de rôles et de privilèges.
Les risques liés à l’intégration des services cloud à l’exemple d’Office 365 de Microsoft avec le système d’authentification interne, ceci généralement pour permettre d’avoir un accès à toutes les plateformes utilisant un identifiant unique.
Le Non-respect de la conformité (ex. PCI-DSS) ;
L’accès facile de vos outils infonuagiques pour les pirates (partout dans le monde 24/7).
La mauvaise gestion des cas litigieux (ex. enquête policière) notamment dus à la diversité des législations et à l’absence de coopération judiciaire avec certains États.
La mauvaise gestion des niveaux de service (24/7 à 99,99%).
La mauvaise gestion des données en fin de contrat.
Etc.

Comment gère-t-on la cybersécurité d’une solution infonuagique?

Pour comprendre le processus de gestion de la cybersécurité dans une solution, il faut comprendre le processus de gestion de la solution elle-même. En effet, l’intégration de la sécurité dans le cycle de vie des systèmes et applications doit être faite à tous les niveaux depuis l’identification du besoin jusqu’au décommissionnement.

Il faut également préciser que si vous n’intégrez pas la sécurité au début du processus de mise en place d’une solution infonuagique, cela aurait des conséquences tout au long de ce processus.

Pour le volet du nouveau besoin, phase 1 du processus, il faut fondamentalement se poser la question de savoir comment établir des règles de sécurité si on ne connaît pas la valeur de ses actifs? Il y a donc lieu de définir le niveau d’importance de chaque actif qui sera mis en « nuage » et cette catégorisation est fonction des potentiels impacts dans chacun des domaines de la sécurité: Disponibilité, Intégrité et Confidentialité.

La seconde question à se poser dans l’expression du nouveau besoin en solution infonuagique est ce qu’il faut valider avant de sélectionner le système infonuagique?

Assurément, le cadre juridique est le principal élément à considérer. Il y a lieu donc de comprendre les exigences légales et règlementaires qui pourraient impacter le fonctionnement de votre solution cloud.

À ce sujet, de plus en plus de pays obligent les entreprises à notifier les autorités et les citoyens lors d’une perte de renseignements personnels. Aux États-Unis par exemple, 47 États ont des lois en vigueur exigeant un certain niveau de notification. En Europe, c’est le RGPD qui est en vigueur et s’applique à toute entreprise, basée ou non à l’intérieur du territoire de l’Union européenne et utilisant les données à caractère personnel d’entreprises ou de citoyens européens.

Au Québec, le projet de loi 64 sur la protection des renseignements personnels qui a été adopté en septembre 2021 prévoit des pénalités pouvant aller à plusieurs millions en cas de fuite de données personnelles.

Certaines entreprises doivent, en plus de la législation nationale, se soumettre à la règlementation spécifique à leur secteur d’activité. C’est le cas par exemple des domaines tels que les transports ou la santé. Il faut également tenir compte de cela.

Au-delà du cadre juridique, l’entreprise doit valider la question du plan de continuité des affaires (PCA) dans l’expression du nouveau besoin en solution infonuagique. Il faut alors analyser le risque d’indisponibilité du service en cas de sinistre majeur tant du côté du fournisseur que de l’entreprise elle-même.

Deux concepts doivent être pris en compte dans l’évaluation du PCA du fournisseur: le RTO (Recovery Time Objective) et le RPO (Recovery Point Objective). Le premier est la durée maximale d’interruption acceptable. Plus précisément, il correspond à l’intervalle de temps maximum entre le moment de la notification de l’incident par le fournisseur et la reprise normale du service. Le second est l’intervalle de temps correspondant à la quantité maximale de données perdue acceptable par l’entreprise. En d’autres termes, le RPO est la fraîcheur des données à restaurer en cas d’interruption, il détermine les objectifs et la stratégie de sauvegarde du fournisseur.

Après la phase d’expression du nouveau besoin, l’entreprise doit choisir le fournisseur sur la base d’un certain nombre de critères. Ces critères doivent être basés à la fois sur les besoins d’affaires et sur les besoins de sécurité.

Il faut également tenir compte du niveau de conformité et de gestion des risques du fournisseur. S’il n’existe pas de sécurité à 100% et que le risque zéro n’est pas de ce monde, il y a quand même lieu de dire que le risque peut être mitiger. Il faut donc sélectionner un fournisseur en fonction de son niveau d’appréciation du risque.

Pour ce qui est de la conformité, plusieurs certifications existent pour démontrer le niveau d’efforts du fournisseur en matière de sécurité. La plupart des fournisseurs est certainement certifié ISO 27001 qui atteste d’un certain niveau de respect et d’amélioration continue des exigences de sécurité par un fournisseur infonuagique ou une entreprise quelconque.

L’on peut aussi vérifier le niveau de conformité d’un fournisseur sur la base de rapports SOC qui sont de trois types: SOC1, SOC2 et SOC3. Le rapport SOC1 se rapportant davantage à la surveillance des contrôles informatiques permettant la génération des états financiers, les rapports SOC2 et SOC3 sont, de leur côté, axés sur la mise en place d’un ensemble de contrôles portant sur la disponibilité, l’intégrité, la confidentialité et le respect de la vie privée. Le rapport donnant le plus haut niveau d’assurance dans cette catégorie est le SOC2 Type 2. Il permet de donner une assurance raisonnable que les contrôles informatiques sont en place et efficaces.

Ces rapports, ainsi que les certifications, peuvent aider à la sélection du meilleur fournisseur. Toutefois, il y a lieu de dire que les grands fournisseurs disposent de toutes les certifications de sécurité possibles et sont généralement conformes d’un point de vue sécuritaire aux différents rapports d’audit.

La finalisation de la grille de sélection de la solution infonuagique doit également tenir compte d’un certain nombre de facteurs de risques liés à l’organisation elle-même. Vous pourrez alors évaluer en profondeur les facteurs de risque liés à l’entreposage des données si la solution permet de gérer les renseignements personnels par exemple, ou tiendrez compte des facteurs de risques sur l’internet des objets, les réseaux sans fil, l’utilisation des appareils personnels, etc.

Tous ces éléments pris en compte vous permettront de savoir si la solution d’infonuagique à choisir est sécuritaire ou pas à tout point de vue. Vous pourrez alors à la fin prendre une décision en connaissance de cause.

Plusieurs éléments clés à intégrer dans un contrat de cloud computing

Une fois votre fournisseur sélectionné, la rédaction d’un contrat entre le client et le fournisseur doit être un élément important dans la mise en place d’une solution infonuagique. Les responsabilités des différentes parties doivent clairement être définies et des accords sur le niveau de service (SLA) aussi.

Intervenant sur un projet récemment, Jean-Philippe Racine, le Président du Groupe CyberSwat explique qu’il fut surpris du faible niveau d’obligations du fournisseur dans le contrat le liant à son client: pas de définition du RPO et du RTO, aucun engagement du fournisseur en matière de reprise de service en cas d’incident, etc. Ce cas de figure illustre parfaitement l’importance à accorder par le client aux obligations contractuelles dans le cadre de la fourniture d’un service infonuagique.

Au vu de tout ce qui précède, l’on peut être amené à vous poser donc cette question:

Êtes-vous prêts à choisir votre service infonuagique?

Ne vous sentez pas mal si vous ne pouvez pas répondre par l’affirmative, c’est bien normal! Nous sommes disponibles à vous accompagner.

En effet, le Groupe CyberSwat dispose d’un bon nombre d’experts et de services pouvant vous aider à:

Établir la valeur d’un système
Évaluer les risques auxquels vous êtes exposés
Définir les critères de sélection d’un système cloud
Évaluer un de vos fournisseurs actuels et tester leur sécurité
Évaluer votre propre sécurité, à titre de fournisseur cloud.

N’hésitez pas à nous contacter 😊

N’hésitez pas à nous contacter 😊 :

Cyrille Augustin Molemb Beal est Conseiller en Sécurité de l’Information au sein du Groupe CyberSwat qu’il a rejoint en mai 2021. Titulaire d’un Master en TI, il jouit d’une douzaine d’années d’expérience dans les TI dont une dizaine dans la cybersécurité. Avant de s’installer au Canada, il a exercé des mandats d’Architecte de Sécurité des Systèmes d’Information en Afrique centrale et principalement au Cameroun. Il compte à son actif plusieurs certifications en cybersécurité.

L’actualité en cybersécurité – Mars 2022

25 mars 202223 mars 2022 par Jean-Philippe Racine

Tous les mois, on vous dévoile les enjeux de cybersécurité actuels et à venir.

L'actualité Cyberswat

Article de blogue: Faites un bilan de l’état de santé de la sécurité de votre entreprise, sinon…

Est-ce que vous attendez de perdre vos dents pour aller consulter un dentiste?
La majorité d’entre vous devrait répondre que non, que vous allez régulièrement chez le dentiste pour faire un nettoyage et un check-up. À raison! Les problèmes dentaires, ça fait très mal. Et au portefeuille aussi… Avez-vous le même réflexe pour l’état de santé de la sécurité de votre entreprise? Si vous attendez qu’un incident vous touche, ça va aussi faire très mal et coûter très cher.

Dans cet article, publié sur notre nouveau site web et rédigé par un membre de la Swat Team, nous:

vulgarisons bien ce concept;
expliquons pourquoi c’est primordial de faire un diagnostic de sécurité de notre organisation;
expliquons comment on procède chez Cyberswat.

Cet article disponible ici Faites un bilan de l’état de santé de la sécurité de votre entreprise sinon… (cyberswat.ca) est à lire à tout prix. Faites-nous part de vos commentaires. Bonne lecture!

Cyberswat dans la presse:

CyberSwat prépare votre entreprise à affronter des cyberattaques, InfoBref en parle!

On ne vous en a pas encore parlé, mais cette année va être majeure pour Cyberswat 🚀

Notre mission est de protéger l’humain à l’ère du numérique. Pour y parvenir, nous protégeons les entreprises des pirates, en ayant particulièrement à cœur la sécurité des PME.

Nous aidons des dizaines d’organisations régulièrement en les accompagnant. Selon nous, pour mener à bien cette mission, les organisations ont besoin d’autonomie (ce n’est pas une de nos valeurs pour rien 😊).

Pour aider les organisations à devenir le plus autonome possible dans la gestion de leur cybersécurité, nous sommes à la veille de lancer une plateforme technologique de gestion des risques et de la conformité en cybersécurité.

Cet outil va venir faire une grande différence dans le quotidien de beaucoup de PME.

On a vraiment hâte de vous en parler davantage, mais on va garder le suspense un peu plus longtemps 😃
Dans cet article de InfoBref, Jean-Philippe vous en dit déjà beaucoup 😉 : CyberSwat prépare votre entreprise à affronter des cyberattaques (infobref.com)

Le Meme du mois :

Sur nos réseaux, nous vous partageons toutes les semaines un meme de cybersécurité pour aider à sensibiliser le maximum de personnes, avec humour 😊

Voici le plus populaire des 30 derniers jours :

L'actualité en cybersécurité

Dancause, une firme québécoise perd 400,000$ suite à une attaque par une «fraude au président». Voici son histoire!

Un vendredi matin, quelques jours avant Noël, Philippe Dancause consulte le tableau Excel financier de l’entreprise. Il constate avec surprise qu’il y avait eu, depuis le début de la semaine, le retrait quotidien d’importantes sommes d’argent totalisant 390,000$! Il appelle aussitôt sa collègue et commis comptable qui l’informe qu’il s’agit simplement des transferts d’argent qu’il avait lui-même demandé d’exécuter. Ce qu’il n’avait évidemment jamais fait. Nous vous invitons à lire la suite de cette histoire dans cet article. Victime d’une fraude de 400 000 $: Dancause attaqué par une «fraude au président» | PROXIMITÉ PME | Affaires | Le Soleil – Québec.

Pour rappel, le groupe Cyberswat organise des ateliers de formation et de sensibilisation des entreprises et notamment des PME sur ces sujets. N’hésitez pas à visiter notre site web et à solliciter notre accompagnement : Groupe CyberSwat – Cybersécurité – On vous protège des pirates.

Comment le leader mondial des centres de données a contré l’attaque par rançongiciel de NetWalker

En septembre 2020, des cybercriminels ont réussi à infecter les systèmes informatiques d’Equinix, le leader mondial des centres de données avec un ransomware. 18 mois après, Michael Montoya, Chief Information Security Officer de la société Equinix, nous dévoile les coulisses de la gestion de crise à la suite de la découverte de cette attaque par rançongiciel de NetWalker. C’est un retour d’expérience encore trop rare, ce qui le rend d’autant plus passionnant à lire. Dans une interview de 45 minutes accordée au podcast anglophone Risky Business, spécialisé sur la sécurité informatique, Michael Montoya, nous explique dans le détail comment gérer une telle crise.

Nous vous encourageons à lire cet article très instructif sur la façon dont ça a été géré: Comment le leader mondial des data centers a contré l’attaque par rançongiciel de NetWalker (usine-digitale.fr)

Cybersécurité: le coût des menaces internes bondit de 34%

Le nombre et le coût des incidents de cybersécurité opérés par des initiés ont grimpé en flèche ces deux dernières années. Qu’elles soient l’œuvre consciente d’un initié ou celle, non intentionnelle, d’un employé imprudent, les menaces cyber provenant de l’interne coûtent cher. On le constate dans l’édition 2022 du rapport du Ponemon Institute pour Proofpoint. 1004 professionnels informatiques ont été interrogés en Amérique du Nord et dans la région EMEA. 278 entreprises ayant subi un ou plusieurs incidents d’origine interne sont concernées.

5 points à retenir du rapport Proofpoint :

+44% d’incidents cyberinternes
Le coût total des menaces internes pour les organisations étudiées a atteint 15,4 millions de dollars en 2021. Un chiffre en hausse de 34% par rapport à l’année précédente.
56% des incidents signalés sont le fait d’employés imprudents ou négligents, pour un coût moyen par incident estimé à 485,000 dollars.
Tous types confondus de menaces internes, le coût moyen par incident s’élève donc à 646,000$, dont 35,000$ consacrés à la détection, 280,000$ à l’enquête et à la réponse à incident, 331,000$ à la remédiation et à l’analyse.
Lorsqu’un incident cyberinterne est détecté, 85 jours en moyenne sont nécessaires pour le contenir, contre 77 en 2020. Aussi, une minorité d’incidents (12%) ont été contenus dans les 30 jours.

Nous vous invitons fortement à prendre connaissance de ce rapport ici: Rapport 2022 du Ponemon Institute sur le coût des menaces internes à l’échelle mondiale | Proofpoint FR

Guerre en Ukraine :

Faut-il continuer à utiliser les solutions Kaspersky dans le contexte actuel? l’ANSSI (Agence Nationale de la Sécurité des SI de France) pose clairement la question

Dans ce contexte mondial compliqué, avec cette guerre entre la Russie et l’Ukraine, les conséquences vont bien au-delà des frontières entre ces deux pays. L’éditeur de solution de sécurité Kaspersky est très répandu dans le monde, mais beaucoup moins au Canada, mais puisqu’il s’agit d’un éditeur russe, doit-on continuer à l’utiliser en entreprise? Lire dans cet article ce qu’en pense l’ANSSI. Faut-il continuer à utiliser Kaspersky ? Ce qu’en pense l’ANSSI… | IT-Connect

Article du mois

Microsoft corrige un bogue empêchant l’effacement des données utilisateurs.

La dernière série de correctifs du Patch Tuesday de Microsoft comprend un correctif pour un bogue qui pouvait faire en sorte que certaines données utilisateurs ne soient pas effacées après une réinitialisation du PC Windows 10 ou Windows 11. Ce problème, initialement découvert par le Microsoft Most Valuable Professional Rudy Ooms fin février 2022, faisait que certaines données utilisateurs étaient encore lisibles dans le dossier « Windows.old » après avoir effectué un nettoyage à distance ou local d’un appareil Windows 10 ou 11. Ce problème affectait Windows 11, version 21H2 ; Windows 10, version 21H2 ; Windows 10, version 21H1 ; et Windows 10, version 20H2.

Autres correctifs Microsoft

Outre, le correctif majeur précité, Microsoft a publié le 8 mars 2022, des mises à jour de sécurité visant à faire état de vulnérabilités liées aux produits suivants: .NET, Azure Site Recovery, Defender, Exchange Server, Intune Company Portal for iOS; Microsoft 365 Apps for Enterprise, Microsoft Office, Paint 3D, Remote Desktop client for Desktop, Windows 8.1 et 7, Windows Server et Visual Studio.

Toutes ces mises à jour sont disponibles dans la page web suivante: Mise à jour de sécurité de mars 2022. CyberSwat vous recommande de consulter cette page Web ci-dessous et d’appliquer les mises à jour nécessaires.

Mozilla a corrigé deux failles zero-day dans Firefox

La fondation Mozilla vient de publier en urgence une mise à jour pour son navigateur Firefox. Elle colmate deux failles de sécurité critiques et utilisées de manière active par des pirates. Détectées par les chercheurs en sécurité de la société chinoise 360 ATA, ces failles zero-day exploitent des bogues de type « use-after-free », qui permettent de corrompre la mémoire d’un système et exécuter du code arbitraire. La première (CVE-2022-26485) se trouve logée dans le module XSLT, qui assure la conversion de documents XML en pages web ou PDF. La seconde (CVE-2022-26486) est liée à WebGPU, une interface de programmation JavaScript dédiée au rendu graphique. Mozilla ne donne pas davantage de détails techniques. La mise à jour est disponible pour Firefox (97.0.2), Firefox ESR (91.6.1), Firefox pour Android (97,3), Focus (97,3) et Thunderbird (91.6.2).

Pour l’installer, il suffit d’aller dans la rubrique « Aide -> A propos de Firefox ». Security Vulnerabilities fixed in Firefox 97.0.2, Firefox ESR 91.6.1, Firefox for Android 97.3.0, and Focus 97.3.0 — Mozilla

Google Chrome

Google a publié le 1^er mars 2022, un bulletin de sécurité visant à corriger des vulnérabilités liées au produit Chrome for Desktop notamment les versions antérieures à la version 99.0.4844.51. Nous recommandons à tous nos clients utilisant Google Chrome de consulter le site Web suivant et d’appliquer les mises à jour nécessaires. Bulletin de sécurité Google Chrome

Red Hat a publié un bulletin de sécurité visant à corriger une vulnérabilité liée au noyau Linux dans les produits Red Hat Enterprise Linux 8, Red Hat OpenShift Container Platform 4 et Red Hat Virtualization 4. L’exploitation de ces vulnérabilités pourrait mener à l’élévation des privilèges.

Ces correctifs sont disponibles dans ce site: Bulletin de sécurité Red Hat (RHSB-2022-002).

Le 1^er mars 2022, Fortinet a publié une mise à jour critique visant à corriger des vulnérabilités liées au produit FortiMail. L’exploitation de cette vulnérabilité pourrait mener au contournement de l’authentification. Cette mise à jour est disponible ici: Bulletins Fortinet PSIRT.