Blog

La plupart des organisations sont familières avec la stratégie de mot de passe Microsoft et les fonctionnalités qu'elle offre. La stratégie de mot de passe de Microsoft pour les domaines Active Directory est la même depuis plus de 17 ans maintenant. Certaines organisations ont pris l'initiative de mettre en œuvre un système d’authentification multi-facteur, mais pour la plupart des structures, ces technologies sont coûteuses, lourdes, complexes et nécessitent de former l'utilisateur final et le support informatique. Lorsque l'authentification multi-facteur n’est pas mise en place, les organisations doivent envisager des contrôles supplémentaires pour protéger les mots de passe.

Tout d'abord, les mots de passe doivent être composés de 15 caractères ou plus. Il y a eu des débats pendant des années sur la longueur minimale appropriée pour que les mots de passe soient sécurisés. Il n'y a pas de longueur minimale obligatoire mais il y a des contraintes qui doivent être mises en œuvre. La longueur minimale de 15 caractères est due au protocole d'authentification LAN Manager (LM). LM (et même NTLM) utilise des mots de passe de maximum 14 caractères. Il s’agit d’une limitation codée en dur dans Windows 3.11. Par conséquent, si un mot de passe de 15 caractères est entré, LM et NTLM ne peuvent pas être utilisés en tant que protocoles d'authentification. Ceci est important car les mots de passe qui prennent en charge LM / NTLM sont faibles et peuvent être facilement compromis.

Lire la suite...

Password Manager Pro (PMP) a connu plusieurs mises à jour dans les derniers mois, dont une release majeure (8.6). La dernière version disponible à ce jour est la 8602.

Ce billet liste les principales fonctionnalités apportées par ces mises à jour successives :

• Import de ressources et groupes de ressources depuis KeePass (1.x et 2.x) (8505)
• Lors de la mise à jour d’une installation ‘Haute Disponibilité’ (HA), il n’est plus nécessaire de reconstruire le serveur secondaire. Le « Service Pack » peut être appliqué directement sur le second nœud (8505)
• Possibilité de lancer une réinitialisation de mot de passe en masse sur l’ensemble des ressources ayant été accessibles à un utilisateur spécifique. Par exemple, lorsqu’un administrateur quitte la société, on réinitialise l’ensemble de ses mots de passes et l’on transfère leur propriété à un autre administrateur (8505)
• Lors de la découverte de ressources Windows depuis l’Active Directory, une nouvelle option permet de ne pas importer les machines dont le compte est désactivé (8505)
• Intégration avec « Azure Active Directory » pour l’authentification des utilisateurs (8600)
• Rapports sur requêtes personnalisées. Il est possible de créer ses propres requêtes SQL pour générer des rapports uniques (8600) (Entreprise uniquement)
• Possibilité de stocker les enregistrements des sessions (RDP, SSH, Telnet et SQL) dans un dossier externe, et non dans la base de données (8600)
• Possibilité de désactiver temporairement des utilisateurs PMP (8601)
• Support de la double authentification TFA (Two-Factor Authentication). Il est maintenant possible d’activer deux TFA différents pour les comptes PMP (8601)
• REST API : édition des ressources et édition/suppression des comptes (8601)
• Ajout d’un second contrôleur de domaine pour les ressources Windows (8601)

Concernant les correctifs de sécurité et de bugs, voici les points importants à noter :

• Corrections de vulnérabilités XSS/XXE/CSRF et d’injections SQL.
• Mise à jour du JRE v1.7.0_71 en v1.8.0_102 (8600)
• Mise à jour du Tomcat en version 8.0.20 (8600)
• Mise à jour du PostgreSQL en version 9.5.3 (8600)
• Mise à jour des librairies OpenSSL 0.9.8g en 1.0.2j (8600)

N’hésitez pas à nous contacter pour tout complément d’information, et pour envisager une mise à jour de votre installation Password Manager Pro.

S'il y a une leçon à tirer des innombrables violations de données que nous observons quotidiennement, c’est que les identités privilégiées sont les cibles les plus recherchées par les pirates du monde entier. Prenez tous les cas - de l'attaque sur US OPM à la violation de données récemment dévoilée par Three, une société de réseau mobile britannique - le point d'entrée du hacker était un compte interne compromis. Une fois qu'un pirate obtient une connexion privilégiée, il est facile pour lui d'infiltrer divers points d'accès privilégiés, tels que les serveurs critiques, et avoir accès à des informations sensibles.

En dépit des progrès importants dans le domaine de l'informatique et le fait que la cybersécurité devient un sujet de plus en plus important, nous semblons toujours être pris de court lorsqu’il s’agit de protéger nos actifs contre des attaques sophistiquées. Alors, pour mieux comprendre ce qui cloche dans nos stratégies de sécurité informatique, pourquoi les pirates ciblent des identités privilégiées et l'importance de la gestion des identités privilégiées, nous allons commencer par les bases :

Qu’est-ce qu’une identité privilégiée ?

Lire la suite...

La fin de l’année approche à grande vitesse et il est plus que temps pour les administrateurs de préparer une liste de tâches à accomplir avant le début de la nouvelle année.

Si vous êtes administrateur ou webmaster en charge de sites publics, voici un conseil important : si l'un de vos sites Web utilise des certificats SHA-1 (Secure Hash Algorithm 1), vous devez immédiatement migrer en SHA-2. Sinon, vos précieux clients vont finir par voir apparaitre sur leur navigateur des erreurs de sécurité en rouge vif ainsi que des avertissements sur votre site web à partir du 1 janvier 2017 !

Maintenant, avant d'esquisser le plan de migration en SHA-2, nous allons passer quelques instants à nous (re)familiariser avec le protocole Secure Socket Layer (SSL) et les technologies SHA afin de comprendre l’utilité d’une telle migration.

Lire la suite...