Tél : 0 951 389 470
InGeLo

Sécurité

Windows 10 et CTBLocker

Le 29 juillet dernier, Microsoft a débuté sa campagne de mise à jour de Windows 7 et 8 vers sa dernière version, Windows 10.
Cette mise à jour est gratuite pendant 1 an. C’est sans doute cette raison qui fait que l’attente de cette mise à jour peut-être un peu longue (5 jours en ce qui me concerne).
Alors des petits malins ont trouvés là une occasion de se faire un peu d’argent en utilisant le “ransomware” tristement célèbre, CTBLocker.
Vous recevez un mail vous proposant une astuce pour obtenir votre mise à jour vers Windows 10 sans plus attendre. Pour cela, il suffit de lancer l’utilitaire en fichier joint à ce mail pour démarrer la mise à jour.
Sauf qu’en fait d’utilitaire, vous installez CTBLocker sur votre poste, qui va aussitôt crypter vos fichiers.
Un message vous indiquera la procédure pour retrouver (ou pas…) l’usage normale de ces fichiers infectés.

Alors prudence, et surtout du bon sens. Déjà, tout comme les banques ou les organismes sociaux qui ne vous demanderons jamais par mail de leurs communiquez vos coordonnées bancaires, Microsoft ne vous proposera jamais par mail d’outils pour faire cette mise à jour. Tout message en ce sens est à supprimer sans remord.

Et finalement l’attente est toute relative.

Mise à jour Windows 10 gratuite

C’est maintenant une certitude confirmée par Microsoft, la mise à jour de Windows 7, Windows 8.1 et Windows Phone 8.1 vers Windows 10 seront gratuites pendant 1 an.

La campagne de mise à jour devrait débuter dans le courant de l’été 2015. Elle est TOTALEMENT gratuite, et jamais vous n’aurez à payer quoi que ce soit, mises à jour de sécurités futures comprises.

Par contre, passé le délai d’un an les mises à jours des versions 7 ou 8.1 vers Windows 10 seront payante.

Faut-il absolument migrer vers Windows 10 ?

La question est légitime, la réponse pas forcément simple.

Si vous êtes en version 8.1, la réponse est sans aucun doute oui ; Microsoft a mis l’accent dans cette nouvelle version sur une meilleur productivité. Dans un usage avec une souris, on a pesté contre ces ouvertures inopinées de volets dans Windows 8.1 qui normalement ont disparus sous Windows 10.

Si vous êtes en version 7, la réponse est moins tranchée. Windows 10, tout comme Windows 8.1 oblige à reconsidérer sa façon d’utiliser son poste de travail, à se réorganiser. Jamais simple dans un cadre professionnel.

D’un autre côté, les systèmes d’exploitations ont une durée de vie. Cela signifie que leur maintenance, et particulièrement les mises à jour de sécurité sont limitées dans le temps.

En l’occurrence, Windows 7 sera maintenu par Microsoft jusqu’en janvier 2020, et Windows 8 jusqu’en janvier 2023. Après, plus de mise à jour et une possibilité pour les pirates d’exploiter des failles qui ne seront plus corrigées. C’est ce qui ce passe aujourd’hui avec Windows XP.

Les mises à jour seront toujours possible, mais payantes cette fois-ci. La gratuité proposée aujourd’hui vaut sans doute le coup de faire un effort d’adaptation.

Internet sur le lieu de travail

Devant les risques grandissants que peuvent représenter les connexions Internet sécurisés, le 31 mars 2015 la CNIL a autorisé l’utilisation de programmes permettant d’analyser les flux https. Pour mémoire, le protocole https permet le cryptage des données entrées et sortantes. C’est celui par exemple que l’on utilise pour se connecter à sa banque.

Cependant, comme on ne peut pas surveiller ce qui entre ou sort de l’entreprise, ce protocole est une porte ouverte à la sortie (volontaire ou non) d’informations confidentiels, ou, l’entrée de codes malveillants, spyware ou autre. Le tout vous le comprenez, à l’insu de l’entreprise.

C’est dans ce cadre que la CNIL a pris sa décision, en prenant soin de l’encadrer en définissant des règles précises. Elle légitime ainsi cette disposition en indiquant « … que l’employeur doit assurer la sécurité de son système d’information ». L’employeur peut donc fixer les conditions et limites de l’utilisation des outils informatiques.

La CNIL indique également le cadre de cette surveillance :

  • Une information précise des salariés (sur les catégories de personnes impactées par la solution, la nature de l’analyse réalisée, les données conservées, les modalités d’investigation, les sites faisant l’objet d’une liste blanche, l’existence de dispositifs permettant une utilisation personnelle qui ne serait pas soumis à l’analyse des flux), par exemple dans la charte d’utilisation des moyens informatiques. L’information doit aussi préciser les raisons de cette mesure (identification de logiciels malveillants, protection du patrimoine informationnel, détection de flux sortants anormaux) ;
  • Une gestion stricte des droits d’accès des administrateurs aux courriers électroniques, lesquels sont présumés avoir un caractère professionnel sauf s’ils sont identifiés comme étant personnels ;
  • Une minimisation des traces conservées (ex : fichier malveillant, source, destination, et non identifiants et mots de passe) ;
  • Une protection des données d’alertes extraite de l’analyse (ex : chiffrement, stockage en dehors de l’environnement de production et durée de conservation de 6 mois maximum).

L’information complète ici, et pour aller plus loin, l’Agence Nationale de Sécurité des Systèmes d’Informations (l’ANSSI) a publié un guide (très technique), Recommandations de sécurité concernant l’analyse des flux https.