Pour vendre la cybersécurité, les MSP doivent être préparés et rester vigilants
Continuer la lecture de « Ce à quoi il faut s’attendre lorsque l’on protège des données »
Ce à quoi il faut s’attendre lorsque l’on protège des données
Vos téléphones de bureau sont-ils écoutés ?
Les vulnérabilités de Yealink démontrent qu’en UCC, la sécurité est importante
Pour le meilleur ou pour le pire, la collecte de données est une chose à laquelle beaucoup d’entre nous se sont habitués. Qu’il s’agisse de cookies sur les pages Web ou de suivi des termes de recherche, notre activité sur Internet est surveillée dans une certaine mesure, au point d’être acceptée par tous.
Cela dit, même si nous sommes habitués à ce niveau de suivi sur le Web, nous serions choqués d’apprendre qu’un suivi similaire est effectué sur les systèmes téléphoniques d’entreprise. Après tout, il est très inhabituel que les téléphones de bureau recueillent activement des données sur nous, notamment parce que, dans la plupart des entreprises, les appels vocaux sont le lieu d’échange de connaissances très confidentielles.
Que se passe-t-il s’il s’avère que votre système téléphonique permet de vous écouter activement ?
Pire encore, que se passe-t-il si vous ne pouvez même pas savoir avec certitude qui se trouve à l’autre bout de la ligne ?
Préoccupations sur la sécurité de Yealink
Ces questions sont d’autant plus pertinentes pour les propriétaires d’entreprises qu’un rapport troublant concernant les téléphones du fournisseur chinois Yealink, notamment ses appareils T54W, a suscité des inquiétudes quant à la confidentialité et à la sécurité du matériel de l’entreprise.
Le 28 septembre de l’année dernière, le sénateur américain Chris Van Hollen (D-Md) a adressé une lettre au ministère américain du commerce faisant référence à un rapport réalisé par la société de conseil Chain Security. Dans ce rapport, Chain Security a relevé de nombreuses failles de sécurité dans les appareils Yealink, ainsi que de nombreuses fonctionnalités qui semblent recueillir intentionnellement les données des clients.
Plus inquiétant encore, le rapport de Chain Security conclut qu’il est « fort probable » que Yealink partage les informations de ses clients directement avec le gouvernement chinois, notamment par le biais de son hardware.
Cette collecte de données semble se produire principalement par la façon dont les téléphones Yealink s’interfacent avec les réseaux et les PC des entreprises. En effet, les appareils Yealink utilisent une plateforme de gestion des appareils (DMP) pour se connecter aux programmes exécutés sur le PC. Dans la plupart des cas, cela est parfaitement normal pour la grande majorité du hardware VoIP qui se connecte à un système basé sur un PC.
Ce qui est beaucoup moins normal, et même carrément alarmant, c’est le fait que le DMP (Data Management Plateform) de Yealink est alors capable d’enregistrer les appels vocaux et même de suivre l’historique web sur ce PC connecté – dans les deux cas à l’insu de l’utilisateur final.
Composants potentiels de Tracking
Selon le rapport de Chain Security, le DMP de Yealink « collecte et conserve l’IP du réseau étendu » de l’appareil de l’utilisateur final et peut enregistrer tout le trafic Web des appareils qui y sont connectés. Cela s’ajoute à la manière dont le DMP collecte les enregistrements d’appels effectués soit sur le téléphone, soit sur les appareils qui y sont connectés.
Tout cela mérite d’être souligné, notamment parce que le DMP de Yealink peut être exploité par un employé à distance de Yealink, qui peut utiliser la plateforme pour accéder à toutes les données collectées, qu’il s’agisse d’adresses IP, de trafic web ou d’enregistrements d’appels complets.
Plus inquiétant encore, en utilisant le DMP de Yealink, les employés à distance de Yealink peuvent activer l’enregistrement d’un appel actif à volonté et conserver l’enregistrement par la suite.
Cet accès ne semble pas non plus être utilisé par Yealink de manière occasionnelle. Chain Security note également que pendant les « opérations normales », les téléphones Yealink communiquent avec les serveurs AliCloud contrôlés par la Chine, ce qui suggère un contrôle et une interception potentiels du type décrit ci-dessus.
Métaphoriquement parlant, il ne s’agit peut-être pas d’un véritable incendie, mais l’activité de surveillance combinée au contact avec le serveur fait certainement beaucoup de fumée. (Les choses deviennent encore plus suspectes si l’on considère les liens directs et établis de longue date de Yealink avec le gouvernement chinois et leur partage continu de données, rapporte également Chain Security).
Problèmes de sécurité plus généraux
Au-delà de ces problèmes, les appareils Yealink en question semblent présenter des failles de sécurité tout simplement évidentes, susceptibles de compromettre l’ensemble du serveur d’une entreprise.
Chain Security souligne que les téléphones Yealink sont « préconfigurés pour accepter les informations d’identification pour la connexion et l’accès à l’appareil de 187 autorités de certification numérique « de confiance ». » En d’autres termes, totalement inconnus de l’utilisateur final, les appareils Yealink peuvent être accessibles par un nombre incroyable d’entités supplémentaires, ce qui signifie que si l’un de ces utilisateurs est compromis, il aura facilement accès aux réseaux des utilisateurs finaux de Yealink.
Mais les hackers n’ont peut-être même pas besoin d’être une autorité « de confiance » de toute façon. L’accès inconnu à l’appareil est rendu encore plus difficile par son incapacité à se protéger contre les tentatives de connexion par brute force, ce qui signifie que les hackers sont tout à fait capables d’y accéder simplement en devinant les combinaisons nom d’utilisateur/mot de passe.
Comme si ces facteurs n’étaient pas suffisants, les appareils Yealink ne disposent pas de signatures numériques standard pour authentifier les modifications valides du micrologiciel. Par conséquent, si des acteurs externes obtiennent l’accès aux téléphones, ils peuvent instantanément écraser le logiciel actuel sur ceux-ci, à condition que le nouveau firmware soit compatible avec le matériel.
Cela signifie qu’un hacker peut facilement installer un micrologiciel qui surveille non seulement ce qui est enregistré sur le téléphone Yealink (en utilisant la collecte de données susmentionnée qu’il effectue), mais également l’activité sur l’ensemble du réseau de l’entreprise.
La ligne de fond des appareils Yealink
Nous nous retrouvons donc avec un téléphone capable d’enregistrer les appels, l’adresse IP et l’activité web – à tout moment et à l’insu de l’utilisateur final – et de communiquer ces données ailleurs.
S’il est facile, voire proactif, de supposer que les données aboutiront chez Yealink ou même au gouvernement chinois, il est tout aussi possible que des agents totalement inconnus puissent exploiter les vulnérabilités de ces téléphones à leurs propres fins. Dans tous les cas, le résultat est loin d’être souhaitable pour toute entreprise.
De l’avis général, même à une époque où la collecte de données est prévisible, l’architecture de sécurité des téléphones Yealink permet une surveillance beaucoup plus importante que ce qu’une entreprise devrait accepter.
Des conclusions importantes
Bien que cela doit certainement servir d’avertissement pour toute personne intéressée par les téléphones Yealink en particulier, nous pouvons également tirer des conclusions plus larges en matière de sécurité.
Il faut d’abord noter qu’il serait ridicule d’utiliser cet exemple pour jeter le doute sur tout le hardware produit en Chine ; après tout, un très grand nombre d’appareils sont produits en Chine et sont loin de présenter ces problèmes.
Les questions les plus importantes sont celles de la sécurité et de la confiance en général. Comme le montre cet exemple, le matériel de communication a un potentiel incroyable d’intrusion dans votre vie privée, jusqu’à agir comme un dispositif de surveillance secret sur votre bureau.
Pour assurer votre sécurité, il est essentiel que vous puissiez faire confiance au fabricant des appareils VoIP. Le fournisseur doit être en mesure de démontrer non seulement l’efficacité de ses mesures de sécurité, mais aussi sa volonté de renoncer à son propre contrôle des appareils en dehors de l’application des mises à jour logicielles nécessaires.
Lorsque vous envisagez de faire appel à un nouveau fournisseur, il y a donc de nombreuses questions importantes à poser : par exemple, que vous dit votre fournisseur sur les paramètres de sécurité de son matériel ? Quel rôle le fournisseur joue-t-il dans la gestion de l’appareil après sa commercialisation ? Quels liens votre fournisseur entretient-il avec d’autres entités qui pourraient vouloir obtenir des informations sur votre entreprise ?
Avant tout, si un fournisseur conserve des éléments tels que l’accès permanent au DMP, il faut immédiatement tirer la sonnette d’alarme. Les capacités de contrôle à distance de cette manière sont, au mieux, une mauvaise conception de la sécurité, au pire, des tentatives actives d’exploration des données.
Pour assurer la sécurité totale de votre entreprise, il est essentiel de peser ces facteurs comme tous les autres points de sécurité. Si vous ne pouvez pas faire confiance à votre fournisseur pour protéger votre vie privée, à quoi sert-il en tant que partenaire technologique ? Et s’il est évident qu’il partage des données avec un gouvernement impliqué dans la guerre de l’information, la situation devient encore plus problématique.
Lorsque vous évaluez vos options en matière de hardware ne vous contentez donc pas de considérer la sécurité en termes généraux. Il est tout aussi important de se demander dans quelle mesure vous pouvez faire confiance au fournisseur pour assurer votre sécurité ou, plus important encore, si le fournisseur lui-même constitue une menace potentielle pour la sécurité.
Pour voir comment Wildix conçoit la sécurité dans ses systèmes UCC, consultez notre livre blanc gratuit.
Pour plus de mises à jour sur la sécurité dans l’industrie UCC, abonnez-vous pour recevoir notre magazine gratuitement !
Zoombombing & Désinformation russe
Comme le savent tous ceux qui ont déjà organisé un webinar, une présentation en ligne vous donne beaucoup de soucis, même lorsque la technologie coopère. Gérer un public en plus de faire vos propres discours même préparés demande des compétences, même dans les meilleures circonstances. Mais les choses se compliquent considérablement si, en plus de laisser les participants de bonne foi s’exprimer, vous devez également vous protéger contre les trolls et les perturbations.
Continuer la lecture de « Zoombombing & Désinformation russe »
L’état des liens avec la Russie dans les UC&C
Depuis plus d’une décennie, les cyberattaques et les risques généraux pour la sécurité en ligne proviennent de Russie. Leur fréquence et leur association avec le gouvernement russe sont de plus en plus évidentes. Aujourd’hui, avec l’invasion de l’Ukraine par la Russie, les efforts de cyberguerre du Kremlin ont explicitement débordé sur la guerre physique.
En conséquence, les activités de collecte illicite d’informations parrainées par l’État ne peuvent plus être considérées comme de simples menaces abstraites ; désormais, ces activités sont au service d’attaques et de destructions réelles.
Dans le sillage de cette guerre, il est particulièrement important d’examiner la position des entreprises technologiques à l’égard de la Russie. Après tout, la poursuite des investissements dans l’infrastructure technologique russe représente pour le gouvernement russe des moyens potentiels de poursuivre la cyberguerre et, par extension, de contribuer aux efforts de guerre réels qu’il mène en Ukraine.
En conséquence, de nombreuses entreprises technologiques ont explicitement annoncé leur rupture totale avec la Russie sous quelque forme que ce soit, y compris des acteurs majeurs comme Apple, Oracle et SAP. Wildix, dans une démarche similaire, a dénoncé l’invasion et a explicitement coupé tous les comptes russes de son réseau de communication en cloud.
Suivi de la réaction des principales communications après l’invasion de l’Ukraine
Microsoft
Le développeur de la plateforme Teams n’a pas caché sa position sur les liens avec la Russie : le 4 mars 2022, la société a annoncé qu’elle suspendait toutes les nouvelles ventes et tous les nouveaux services en Russie, citant explicitement l’invasion de l’Ukraine comme raison.
Toutefois, cette annonce n’indique pas nécessairement une rupture totale avec la Russie. À l’heure où nous écrivons ces lignes, Microsoft dispose toujours d’un bureau à Moscou, mais on ne sait pas encore si cet emplacement sera libéré ou s’il continuera à être utilisé. Cependant, le même jour que l’annonce de l’arrêt des services en Russie, le bureau Microsoft de Moscou a publié sur LinkedIn une offre d’emploi recherchant un responsable de l’ingénierie du support technique. Cela semble indiquer que l’entreprise prévoit de poursuivre ses activités en Russie.
Vonage
En consultant le site Web de Vonage, on constate que certaines sections semblent cibler une base de consommateurs russes. En outre, la société mère de Vonage, Ericsson, dispose d’une section importante consacrée à la Russie sur sa page Web respective, ainsi que d’un grand nombre d’offres d’emploi pour ses bureaux russes. Pour l’instant, Vonage n’a pas encore fait d’annonce concernant les plans futurs de ses liens avec la Russie à la suite de l’invasion de l’Ukraine.
Ce que Vonage a publié est, parmi les messages habituels sur les réseaux sociaux, une réitération d’un rapport sur les tendances de 2021 qui utilise les données des clients russes. Bien que ce rapport doive être téléchargé avant qu’il ne montre explicitement des liens avec la Russie, combiné avec le contenu existant ciblant la Russie sur le site Web de Vonage, il suggère des liens continus avec la nation.
RingCentral
Bien que RingCentral n’ait pas non plus publié de déclaration concernant la Russie ou son invasion, la société semble avoir supprimé les mentions de la Russie de son site Web. Elle a également pris ses distances par rapport aux anciens liens avec la Russie, l’un des plus notables étant le fait que son cofondateur soit devenu un citoyen américain à part entière.
Certaines suggestions de liens subsistent cependant, comme le fait que Glassdoor ait reçu des notifications concernant l’ajout d’un bureau RingCentral à Moscou pas plus tard que le 1er mars 2022. En outre, RingCentral indique toujours sur son site Web que les données personnelles stockées aux États-Unis ou dans l’Espace économique européen peuvent être accessibles depuis la Russie.
8×8
Dans l’ensemble, les liens entre 8×8 et la Russie semblent être minimes dès le départ, la société n’ayant pas de serveurs de données, de bureaux ou d’emplois apparents dans le pays. Bien que 8×8 ne se soit pas exprimé sur la Russie ou son invasion, il semble qu’ils aient peu de liens à rompre activement.
La seule exception semble être que l’année dernière, 8×8 a annoncé qu’elle étendait ses services de téléphonie à la Russie, une offre à laquelle elle ne semble pas avoir renoncé.
Cisco
Dans le cas de Cisco, la question des liens avec la Russie a été rendue assez explicite. Le 3 mars 2022, la société a officiellement annoncé l’arrêt de toutes ses activités commerciales en Russie, s’engageant à soutenir ses relations avec l’Ukraine et condamnant l’invasion de la région par la Russie. Une recherche rapide des offres d’emploi de l’entreprise confirme cet engagement, car aucune n’apparaît sous le filtre Fédération de Russie.
Bien que Cisco dispose d’un bureau à Moscou et que le site Web de l’entreprise destiné à la Russie reste ouvert, rien ne confirme que ces ressources restent utilisées pour le marché russe.
Bien qu’à des fins des communications unifiées, nous considérions Google comme le développeur de Meet, ses solutions commerciales globales ont, bien entendu, une portée beaucoup plus large. L’un des principaux services de l’entreprise, Google Ads, est suspended in Russia depuis le 3 mars 2022, en réponse aux demandes croissantes du gouvernement russe de censurer les publicités diffusées en Russie.
Auparavant, Google avait retiré les sources d’information Russia Today et Sputnik, parrainées par l’État russe, de son store d’applications mobiles. Il semble que la plateforme Meet, quant à elle, soit toujours utilisable en Russie.
Mitel
Mitel, dont le siège est au Canada, n’a fourni aucune déclaration concernant les liens avec la Russie, bien que l’entreprise fasse des affaires dans la région depuis 2011 et ait elle-même un bureau à Moscou. Elle a également annoncé la tenue d’un roadshow avec un arrêt en Russie en 2019.
Il faut préciser que l’entreprise, malgré une présence en téléphonie s’étendant jusqu’en Russie, dispose d’importants centres de données situés uniquement au Royaume-Uni, en France, au Canada et aux États-Unis. Mais là encore, rien ne permet de penser que Mitel a rompu les liens commerciaux passés qu’elle avait annoncés avec la Russie.
Wildix
Bien que Wildix ait initialement peu de connexions russes, la société s’est efforcée de les couper en supprimant les quelques comptes situés en Russie de son système PBX en cloud et toute mention de la couverture de la Russie sur son site Web.
Wildix comptant un nombre important d’employés ukrainiens, la société s’est efforcée d’évacuer autant d’employés que possible du pays au moment de l’invasion russe. Ces mesures s’ajoutent à une campagne plus large visant à faire passer les clients aux PBX vers le cloud en raison de la sécurité accrue qu’offre la plateforme, notamment contre les cyberattaquants basés en Russie.
L’avenir
Au moment de la rédaction de cet article, la Russie ne semble pas avoir l’intention de limiter son invasion de l’Ukraine, ce qui signifie probablement une intensification de ses opérations de piratage déjà très étendues. Comme ces cyberattaques ont toujours inclus la saisie de documents confidentiels et des rançongiciels, il est d’autant plus important que les particuliers et les entreprises adoptent des pratiques en ligne sûres.
L’une des pratiques à mettre en œuvre consiste à examiner si les réseaux et les canaux que vous utilisez sont associés à la Russie. Historiquement, les cyberattaquants parrainés par la Russie ont utilisé tous les canaux Internet auxquels ils pouvaient accéder pour mener des opérations illicites. Malheureusement, si les canaux que vous utilisez sont associés à des entreprises russes, le risque qu’ils soient cooptés augmente.
À l’avenir, il est essentiel pour les consciences et la sécurité d’évaluer qui reste en Russie au milieu de ces attaques et qui a choisi de s’en éloigner complètement.
Phishing et autres formes de fraudes : Comment se protéger des escroqueries en ligne
Sur Internet, les formes d’escroquerie sont nombreuses. Des « offres spéciales » suspectes aux droits de licence d’origine douteuse, les escroqueries sont si courantes pour les utilisateurs en ligne qu’elles sont littéralement ancrées dans la culture du World Wide Web.
Malgré cela, de nombreux cyber-attaquants se cachent encore sur Internet pour profiter de la confiance, de la peur ou simplement de l’ignorance de l’utilisateur naïf. Souvent, ces acteurs de la menace réussissent, non pas parce qu’ils s’attaquent directement à la sécurité du système, mais parce qu’ils utilisent un stratagème effrayant. Ce stratagème s’appelle « phishing“ : l’un des termes les plus curieux dans le domaine de la cybersécurité – et une menace sérieuse.
Continuer la lecture de « Phishing et autres formes de fraudes : Comment se protéger des escroqueries en ligne »