Nous utilisons des fichiers témoins (communément appelés « cookies ») pour assurer la meilleure expérience personnalisée possible sur notre site, et pour collecter des informations sur la façon dont les visiteurs utilisent notre site. Si vous continuez sans modifier vos paramètres, nous supposerons que vous êtes d'accord pour recevoir des fichiers témoins en provenance du site Web de XMedius. Vous pouvez désactiver les fichiers témoins dans les paramètres de votre navigateur à tout moment, cependant veuillez noter que certaines parties du site ne fonctionneront pas correctement si vous les désactivez.

Pour plus de renseignements sur la façon dont nous utilisons les fichiers témoins, consultez notre politique de protection de la vie privée.
FERMER X
 Dans Blogue, Fax, FoIP, Sécurité, Technologie

 

Sébastien Boire-Lavigne, vice-président exécutif et directeur de la technologie de XMedius, donne son avis son avis sur les évènements marquants de l’année en ce qui concerne la sécurité des données et les impacts attendus pour 2019.

 

Nous avons survécu à l’arrivée du RGPD

Si l’année 2018 pouvait se résumer en un seul évènement, c’est qu’elle a marqué le début d’une nouvelle ère de la « primauté du droit » en matière de collecte de données sur Internet et la fin de l’approche du Far West qui consiste à « recueillir d’abord et poser des questions plus tard »; ce qui est une bonne nouvelle. Bien que le RGPD soit axé sur l’Europe, ses effets ont une grande portée, compte tenu de l’intégration de la chaîne mondiale d’approvisionnement des technologies de l’information. Le RGPD représente maintenant la norme mondiale de facto sur la protection de la vie privée.

Malgré la prédiction de certains, le chaos ne s’est pas produit après l’arrivée du RGPD. Tout comme le bogue de l’an 2000 (Y2K), la plupart des entreprises ont pris des mesures pour atténuer grandement les risques. Si les autorités intensifient leurs enquêtes, elles concentrent leurs efforts sur les grandes entreprises de haute technologie et peu d’amendes ont été infligées.

En Autriche, un entrepreneur qui filmait le trottoir a reçu une amende de 4 800€. En Allemagne, le réseau social knuddel.de a été condamné à une amende de 20 000€ pour une fuite de millions de courriels et de noms d’utilisateurs. Bien que la plupart des amendes soient modestes, les autorités affichent leur volonté de punir les organisations qui ignorent tout simplement la loi et qui devraient être mieux informées. La société de services des données AggregateIQ, associée désormais à la société tristement célèbre Cambridge Analytica et à Facebook, est passible d’une amende de 17 millions de £ (le montant le plus élevé autorisé) au Royaume-Uni, pour le traitement des données de millions de personnes sans leur consentement.

On s’attend à voir un plus grand nombre d’amendes infligées en 2019 et cela doit être un rappel sans équivoque que les autorités prennent au sérieux l’application de la loi. Si, en tant qu’entreprise, vous n’avez pas encore une politique de confidentialité, il est temps de s’y mettre; sinon la réalité risque d’être brutale.

 

L’avenir du RGPD

Le RGPD n’est pas parfait. Bien que ses principes soient judicieux, sa mise en œuvre a été un échec. Les entreprises ont dû consacrer d’innombrables heures facturables à la consultation, ainsi qu’à la création de politiques et d’un encadrement juridique pour se conformer aux règlements. C’était avantageux pour les avocats et les consultants en sécurité puisque des milliers d’entreprises ont dû payer inutilement leurs services afin de produire de modifications mineures aux mêmes documents, ce qui n’apportait aucune valeur ajoutée.

De plus, dans le cadre des activités commerciales, les entreprises doivent désormais conclure d’innombrables variations des accords de traitement des données avec les clients et les fournisseurs, ce qui nécessite davantage les services des avocats. Une normalisation officielle de tels accords est véritablement nécessaire.

Les petites entreprises, soumises à des exigences en matière d’analyse d’impact relative à la confidentialité des processus « normalisés » pour toutes les entreprises comme le traitement de la paie et les avantages sociaux, risquent de continuer à payer les coûts exagérés de la mise en œuvre du RGPD. Des directives précises pour ces « processus normalisés » devraient être élaborées pour exempter les petites entreprises de telles analyses, qui n’ajoutent que peu de valeur.

Bref, bien que la mise en œuvre ait été un peu compliquée, le RGPD est une législation mondiale qui rétablit l’équilibre des pouvoirs des citoyens sur Internet. Cela dit, les autorités devraient s’efforcer de réduire au minimum les coûts pour les entreprises afin d’atteindre le résultat souhaité. Les lois en matière de protection de la vie privée devraient être uniformisées avec le RGPD, non seulement en Europe, mais également dans le monde entier. Ainsi, les entreprises n’auront pas une multitude de lois à respecter.

Il n’est pas interdit de rêver…

Pour plus d’information sur la conformité au RGPD

 

Faxploit : ne tuez pas le messager

Un groupe de sécurité a fait des vagues plus tôt cette année en Israël avec la découverte d’un moyen d’attaquer des réseaux sécurisés via des systèmes de fax. Cette découverte, appelée « Faxploit », a été très médiatisée, mais plusieurs de ces publications n’ont pas approfondi sur le sujet pour savoir s’il s’agissait véritablement de quelque chose d’inquiétant.

Bien que cela ne soit pas une surprise pour les spécialistes en sécurité, l’affaire Faxploit montre clairement que tout ce qui est connecté à un réseau est à risque. Tout de même, certaines publications au sujet de Faxploit représentaient faussement le protocole de télécopie comme étant défectueux.

 

Ce qui n’a pas été piraté

Il est évident que certaines télécopies auraient pu être défectueuses. Néanmoins, l’entreprise de sécurité qui a découvert la vulnérabilité a essayé d’exploiter le protocole de télécopie T30 pour prendre le contrôle du télécopieur pendant des semaines, et elle n’a pas réussi.

En effet, ce vieux protocole de fax en noir et blanc utilise de petits tampons et des contrôles de cohérence, ce qui le rend particulièrement difficile à exploiter par des pirates. Ce n’est pas surprenant, car la technologie a été conçue pour être envoyée sur des réseaux analogiques peu fiables et le protocole est conçu pour garantir que chaque élément d’information reçu soit toujours vérifié.

 

Ce qui a été piraté

Comment ont-ils réussi? Ils ont utilisé le fax en couleur « récent » du protocole T30 pour fournir une charge utile JPEG piégée au moteur d’impression du périphérique multifonctions. Contrairement au fax en noir et blanc où le flux de données est reconstruit pièce par pièce par le destinataire, la télécopie en couleur agit plus ou moins comme un protocole « inutile » de transfert de fichiers. D’où la livraison non protégée d’un fichier JPEG spécialement conçu pour le moteur d’impression, lequel doit décoder le fichier JPEG pour pouvoir l’imprimer. Ils se sont servis d’une vulnérabilité dans une bibliothèque de décodage JPEG pour s’introduire dans le périphérique de télécopie.

Pour être précis, le moteur de fax était en fait le vecteur de l’attaque du moteur d’impression du périphérique multifonctions. En ce sens, les courriels, par exemple, peuvent être utilisés comme un vecteur pour livrer un document Word qui envahira ensuite un ordinateur en exécutant des macros malveillantes.

On pourrait se demander, avec raison, comment les navigateurs modernes décodent d’innombrables fichiers JPEG sans être compromis. Dans le cas présent, le fabricant du MFD utilisait une bibliothèque JPEG propriétaire qui n’était pas « prête pour le combat », comme la bibliothèque logicielle libre de gestion libjpeg utilisée par la plupart des navigateurs. Comme pour tout ce qui concerne la sécurité, ce sont les détails qui posent problème.

 

Leçon à retenir de Faxploit

Comme nous pouvons le constater, les périphériques multifonctions, les machines fax, les imprimantes, etc., présentent un risque de sécurité différent de celui dans les ordinateurs de bureau ou portables, et constituent souvent un aspect oublié de la sécurité des informations.

Les ordinateurs de bureau ou portables sont la cible de la plupart des attaques, mais ils sont plus faciles à corriger, à protéger et à surveiller. En revanche, les périphériques multifonctions, les imprimantes et les fax sont souvent des systèmes fermés avec peu ou pas de mises à jour, ce qui fait d’eux une bonne cible pour que les pirates informatiques puissent s’introduire de manière persistante dans le réseau.

Il est recommandé de séparer de tels périphériques dans différents réseaux, où l’accès à l’environnement de travail et au serveur est limité. Cela est d’autant plus vrai pour les périphériques compatibles avec les fax, qui sont connectés à un réseau externe (c’est-à-dire le RTPC). Même s’il n’est pas aussi puissant que l’Internet, il est important de se rappeler que le RTPC fonctionne toujours comme un réseau de pair à pair.

Le message à retenir est qu’il est inutile d’éteindre le fax. Il suffit de s’assurer d’appliquer les règles de sécurité élémentaires à tous les périphériques.

 

Comment votre organisation a-t-elle résisté aux intempéries en matière de sécurité des données en 2018?

Prévoyez l’avenir en introduisant XM Fax ou XM SendSecure dans vos systèmes informatiques. Ces deux solutions de transfert de documents sont pratiques, économiques et très sécurisées. Elles peuvent même contribuer à la conformité avec RGPD, HIPAA, SOX, et autres réglementations.

 

PARLEZ À UN EXPERT

 

 

Sébastien Boire-Lavigne, vice-président exécutif et directeur de la technologie de XMedius, joue un rôle déterminant et majeur dans la stratégie technologique de l’entreprise. Parmi les nombreuses réalisations qu’il a menées au sein de XMedius depuis plus de 20 ans, SBL a dirigé le développement de la technologie de pointe de fax sur IP, des platesformes dans le Cloud et de la solution XM SendSecure.

Leave a Comment