Blogs

    Publier
     
      • Symantec a annoncé aujourd'hui un accord sous lequel DigiCert acquerra les solutions de sécurité des sites Web de Symantec et les solutions PKI. Au moment où il est absolument essentiel que les entreprises soient protégées contre les menaces avancées de la cybersécurité qui infiltrent Internet, et grâce à cette acquisition, vous bénéficierez d'une entreprise axée uniquement sur la fourniture de meilleures solutions d'identité et de cryptage.

        DigiCert est le principal fournisseur de solutions évolutives d'identité et de cryptage pour l'entreprise. La société en pleine croissance compte actuellement parmi ses clients un certain nombre d'entreprises de premier plan et de clients du secteur de l’IoT. DigiCert bénéficie d'une forte réputation et d'une grande fidélisation de la clientèle, en mettant l'accent sur le soutien à la clientèle de l'industrie, des solutions de marché novatrices et une contribution significative à l'amélioration des meilleures pratiques de l'industrie. DigiCert a remporté plusieurs prix pour ses stratégies d'innovation et de croissance, et cet été il a été nommé une des 100 meilleures entreprises de Computerworld en TI.

        L'ajout de la sécurité Internet Symantec et des solutions connexes à PKI aux offres de DigiCert fourniront aux clients une plate-forme technologique améliorée, un soutien inégalé et des meilleures innovations sur le marché. DigiCert aura un talent et une expérience incroyables pour diriger la prochaine génération de sécurité Internet mondiale et gagnera des capacités pour tirer parti des opportunités en matière de IoT et apporter de nouvelles approches au marché du SSL.

        La sécurité Internet Symantec et DigiCert partagent un engagement fort envers le service à la clientèle et s'assurent que la continuité pour nos clients et leurs activités est une priorité absolue. Une fois la transaction terminée, nous travaillerons à faire passer nos clients sur une nouvelle plate-forme qui répond à toutes les normes de l'industrie et aux exigences des navigateurs et jette les bases d'une innovation future dans l'espace CA.

        Il est important de noter que nous sommes convaincus que cet accord satisfera les besoins de la communauté des navigateurs. DigiCert communique cet accord et ses intentions à la communauté des navigateurs et continuera à travailler en étroite collaboration avec eux au cours de la période précédant notre clôture de la transaction. DigiCert apprécie et partage l'engagement des navigateurs à créer une confiance dans les certificats numériques et à protéger tous les utilisateurs.

        Pour finir, je voudrais personnellement remercier chacun des employés dévoués de l'équipe de sécurité Internet. Nous sommes extrêmement enthousiasmés par les opportunités qui nous attendent et profondément engagés dans le succès de cette transition pour l'entreprise de sécurité Internet, ses employés et nos clients.

        Cordialement,

        Roxane Divol

        Vice-présidente exécutive et directrice générale, Sécurité Internet Symantec 

        • Products
        • DigiCert Code Signing
        • DigiCert Complete Website Security
        • DigiCert SSL TLS Certificates
        • Products and Solutions
      • Combler le fossé entre l’IT et les métiers grâce à une sécurité cloud de nouvelle génération

        Mar 11 2015, 5:22 PM

        par Mike Smart 0

        For those of us who operate in the world of IT, there is nothing more disturbing than seeing users and departments select and deploy their own IT solutions. We talk about it as "Shadow IT" because the technology is used in the dark, with no real computer knowledge.

        From the point of view of the user or department, on the contrary, it is simply innovation. As IT managers, we strive to limit the risks. If we implement antivirus technology and intrusion prevention, for example, is obviously to reduce the risk of viruses and intrusion. This approach to avoid the risk is perceived as a barrier to innovation and a constraint of the operational point of view. This is why users often choose to bypass IT acquisition process.

        More than ever, users are mobile and they do not hesitate to bring enterprise data and store them on mobile devices or cloud storage applications in the name of innovation and productivity. The role of the CIO is perhaps find a way to meet this demand while protecting the company, and without imposing too stringent rules and processes.

        It is precisely to bridge this gap and allow the users and the company to adopt flexible working practices that promote innovation through the adoption of mobile cloud systems and infrastructure, Symantec has created Identity: Access Manager. Symantec ™ Identity: Access Manager is a platform for next-generation access control that offers control, convenience and compliance for cloud applications to users and administrators.

        Access Manager uses Symantec Validation and ID Protection (VIP) and Symantec Managed PKI solution to provide Single Sign-On (SSO) and strong authentication to mobile devices. With Access Manager, users can open a single session with a password, PIN, or even a fingerprint, and securely access all their applications and cloud information. This helps to eliminate bad practices passwords for better security of mobile devices, and give your users a quick and easy access to the resources they need.

        Access Manager also provides flexible and easy to use connectors  for unified access control based on the identity and context for virtually any cloud service or application. This allows you to apply your security policies and compliance logging activities to maintain compliance and finally transform questionable applications productivity tools officially approved.

        Access Manager is as flexible as it is powerful. You can choose to deploy on-premise or in the cloud , according to your business needs. And as it seamlessly integrates into your infrastructure, it reduces complexity by providing centralized management of your different user directories.

        In summary, there are five good reasons to try Symantec Identity: Access Manager in your environment:

        • Ensures control, convenience and compliance for public and private cloud applications
        • Enhances security with strong authentication and access control based on the identity and context
        • Simplifies compliance audits by consolidating the access logs for users and applications protected
        • Enhances user productivity through single sign-on that provides access to all applications with a single password
        • Offers flexible deployment options , on-site or hosted

        To learn more, visit our website  :

        • cloud security
        • Security Community Blog
        • User Authentication
        • Web Gateway
        • Products
        • Symantec Enterprise Security
        • Thought Leadership
        • Identity Access Manager
        • Device Certificate Service
        • Identity and Authentication Services
        • Digital IDs for Secure Email
        • Data Loss Prevention
        • VIP (Validation ID Protection)
        • Web Security.cloud
        • Managed PKI for SSL
      • Vulnérabilité SSL 3.0 – bug POODLE (ou POODLEbleed)

        Mar 29 2018, 8:26 PM

        par Brook Chelmo 1

        SSLv3_poodle-300px.png

        Chez Google, trois chercheurs en sécurité ont découvert une faille dans le protocole de cryptage Secure Sockets Layer (SSL) 3.0 (SSLv3), qui pourrait servir à intercepter des données a priori cryptées entre des ordinateurs et des serveurs. Ils l’ont baptisée POODLE (Padding Oracle On Downgraded Legacy Encryption), qui accessoirement veut aussi dire « caniche » (CVE-2014-3566).

        Avant toute chose, notons que cette vulnérabilité touche l’ancien protocole SSLv3, et NON les certificats SSL, leurs clés privées, ou leur conception intrinsèque. Nos clients équipés de certificats sur des serveurs compatibles SSL 3.0 n’ont donc aucune raison de les remplacer.

        Il semble également que cette faille s'avère moins nocive que le bug Heartbleed dans OpenSSL car son exploitation requiert des droits d'accès privilégiés au réseau. Toutefois, l’utilisation des hotspots et du WiFi public pose ici un réel problème puisque POODLE suit un schéma d’attaque par interception (Man In The Middle, MITM).

        brook-4.png

        Contexte

        L’introduction de SSL 3.0 remonte à 1996. Or, selon le dernier rapport Netcraft, ce protocole est encore pris en charge par 95 % des navigateurs Web. De nombreux clients TLS (Transport Layer Socket) utilisent l’ancien protocole de cryptage SSL 3.0 pour communiquer avec des serveurs plus anciens. D'après Google, un pirate qui contrôle le réseau situé entre un ordinateur et un serveur peut s’immiscer dans le processus de négociation SSL (handshake SSL) utilisé pour vérifier les protocoles de cryptographie pris en charge par un serveur. C’est ce que les chercheurs appellent la « danse en marche arrière » (downgrade dance). Il pourra alors contraindre les ordinateurs du réseau à utiliser le protocole SSL 3.0 pour protéger les données en transit. Ensuite, libre à lui de lancer une attaque MITM pour intercepter des cookies HTTPS à la volée. Ainsi, il pourra voler des informations, voire prendre le contrôle des comptes en ligne de ses victimes. Et même si, à l’heure où nous écrivons ces lignes, les webmasters ne ménagent pas leurs efforts pour désactiver SSL 3.0 et migrer vers TLSv1 et des versions plus récentes, beaucoup reste encore à faire. De même, s’il est une leçon que l’on a pu retenir de l’affaire Heartbleed, c’est que les grandes entreprises sont beaucoup plus rapides que les petites structures pour corriger des vulnérabilités critiques. 

        Conseils aux entreprises

        Il existe un certain nombre de mesures pour neutraliser la menace :

        1. Pour savoir si vos serveurs Web courent un risque, utilisez notre service gratuit SSL Toolbox.
        2. Servez-vous d’outils compatibles TLS_FALLBACK_SCSV, un mécanisme qui empêche les pirates de forcer les navigateurs Web à utiliser SSL 3.0.
        3. Désactivez complètement le protocole SSL 3.0 ou désactivez le cryptage en mode CBC SSL 3.0.
        4. Un pare-feu applicatif Web (WAF) vous protège contre ce type de vulnérabilités. Pour en savoir plus, rendez-vous sur notre site.
        5. Méfiez-vous des e-mails d'arnaqueurs qui tenteraient de capitaliser sur le climat d'incertitude et un éventuel manque de connaissances techniques de votre part.

        Pour combler la faille sur Apache, suivez les conseils de mon collègue Christoffer Olausson :

        > SSLProtocol All -SSLv2 -SSLv3                   <- Désactivez SSLv2 et SSLv3

        > apachectl configtest                                   <- Testez votre configuration

        > sudo service apache restart                      <- Redémarrez le serveur

        Pour sa part, Google a annoncé la fin du support de SSL 3.0 sur tous ses produits dans les prochains mois. Mozilla a également déclaré vouloir désactiver SSL 3.0 dans Firefox 34, dont la sortie est prévue courant novembre.

        Conseils aux internautes

        Symantec émet plusieurs recommandations à l'attention des internautes :

        1. Assurez-vous que SSL 3.0 est désactivé dans votre navigateur (dans Internet Explorer, allez dans Options Internet, puis dans Paramètres avancés).
        2. Pour vous prémunir contre les attaques MITM, veillez à la présence du préfixe « HTTPS » dans la barre d'adresse de votre navigateur.
        3. Restez attentifs aux avis des éditeurs et constructeurs dont vous êtes client concernant d’éventuelles mises à jour logicielles ou demandes de modification de mot de passe.
        4. Méfiez-vous des éventuels e-mails de phishing vous demandant de modifier votre mot de passe. Pour éviter de vous retrouver sur un site Web frauduleux, limitez-vous au domaine du site officiel.

        Pour plus d’informations

        Reportez-vous aux articles de la base de connaissances Symantec sur le sujet :

        Utilisateurs Symantec Managed PKI for SSL

        https://knowledge.verisign.com/support/mpki-for-ssl-support/index?page=content&id=AR2182

        Utilisateurs Symantec Trust Center/Trust Center Enterprise

        https://knowledge.verisign.com/support/ssl-certificates-support/index?page=content&id=AR2183

        Restez connecté

        Pour plus d'infos sur cette vulnérabilité et toute l'actualité sécurité, suivez-nous sur Twitter et Facebook. En cas de problème de gestion de vos certificats SSL et Code Signing, rendez-vous sur nos forums techniques.

        • POODLEbleed
        • SSLv3
        • Poodle bug
        • Products
        • bug
        • website security solutions
        • Symantec Website Security
        • SSL
        • POODLE Attack
        • SSL 3.0
        • DigiCert SSL TLS Certificates
        • vulnerability
        • Products and Solutions
        • POODLE
      • PME : protégez votre site Web pour remonter dans les classements Google avec Always-On SSL.

        Sep 23 2014, 7:14 PM

        par Charla Bunton-Johnson 0

        Websites using https boosted in google rankings

        Souvent considérées comme le poumon de l’économie mondiale, les PME conjuguent esprit d’entreprise, ingéniosité, audace et orientation client.

        Dans la net-économie, où la taille physique d’une entreprise importe peu, les PME rivalisent avec des acteurs de toutes tailles. Et s’il est un domaine où elles ont toutes les chances de faire jeu égal avec les grands groupes, c’est bien dans l’univers dématérialisé. Elles recherchent donc en permanence de nouveaux moyens de se démarquer, notamment via toute une diversité de plates-formes numériques : structures 100 % Web, réseaux sociaux, SEO ou Web mobile. Bref, tous les moyens sont bons pour accélérer les délais de commercialisation de produits et services – les fameux TTM, ou time-to-market. Même avec des moyens limités, les PME peuvent utiliser l’outil Internet pour mettre en avant leur marque, gagner en notoriété et conquérir de nouveaux clients face à des concurrents mieux établis et plus puissants financièrement.

        Comment les PME peuvent-elles rester agiles et compétitives dans l’univers du numérique, sans compromettre la sécurité des données ni casser leur tirelire ? Symantec leur offre la réponse avec « Always-On SSL », également baptisé « HTTPS everywhere ». Idéale pour les PME actives sur la Toile, cette solution a déjà conquis les grands acteurs du Web comme Google, PayPal, Facebook, Twitter et Microsoft. Ce billet vous explique comment cette application permanente de la sécurité SSL protège intégralement vos données en transit, avec en prime un meilleur classement dans les moteurs de recherche.

        Télécharger l’infographie

        PROTECTION SSL INTÉGRALE : UNE SOLUTION SIGNÉE « S »

        Vous imaginez fermer à clé la porte d’entrée de votre maison, tout en laissant la fenêtre de derrière grand ouverte ? Voilà qui symbolise parfaitement l’attitude des sites Web recourant à une utilisation sélective de la protection SSL, également dénommée « SSL intermittent ». En clair, seules certaines pages (formulaires d’identification, transactions financières, etc.) sont sécurisées. Les adeptes de cette pratique pensent être protégés contre le vol de données et le piratage. En réalité, elles exposent tout le reste de leur site aux attaques par détournement de session HTTP (ou « Sidejacking »).

        C’est là que Symantec intervient avec Always-On SSL. Sa mission : protéger toutes les pages de votre site Web et garantir la sécurité de vos clients.

        ALWAYS-ON SSL : SÉCURITÉ ET CONFIANCE ASSURÉES.   

        En tant que membre de l’Online Trust Alliance et du CAB Forum, Symantec s’est toujours érigé en défenseur d’Always On SSL. Avec cette méthode, chaque page d’un site Web, et non plus seulement les pages d’identification et de transaction, est précédée du préfixe HTTPS://. Ce qui signifie qu’elle est protégée par un certificat SSL. Passer du protocole « http » au « https » est le seul moyen infaillible de crypter toutes les actions effectuées sur toutes les pages de votre site Web, de l’arrivée de l’internaute jusqu’à son départ. À elle seule, la protection des pages d’identification et de transaction n’empêche pas les pirates de subtiliser les cookies qui mémorisent la session d’un utilisateur. Une fois en possession de ces informations, les cybercriminels peuvent les utiliser pour recréer une session détournée et accéder à toutes sortes de données sensibles – voire récidiver à l’envi. Ce type de détournement de session HTTP (Sidejacking) par Firesheep et d’interception par SSL Strip se produisent couramment sur des sites rendus vulnérables par une sécurité en pointillés. Au bout du compte, les pages non protégées et leurs cookies anéantissent tous les efforts et ressources engagés dans la sécurisation des pages d’identification et de transaction.

        SSL secure sites get ranking boost

        CONSÉQUENCES FINANCIÈRES DE LA VIOLATION DE DONNÉES

        En 2012, près de 100 000 cas de violations de données ont été signalés dans le monde, dont 35 000 pour les seuls États-Unis. En termes financiers, l’addition s’est élevée à 5,4 millions de dollars par entreprise touchée : frais directs pour investigation, service téléphonique de surveillance et d’alerte en cas de transaction anormale, coûts indirects pour les enquêtes et communications internes, pertes sèches de clients, etc.* Principales causes des violations de données, les cyberattaques malveillantes ou délictueuses auraient pu être contenues, évitées, voire même anticipées avec Always-On SSL.

        * Analyse 2013 du coût des violations de données : situation mondiale, Ponemon Institute (en anglais)

        GOOGLE ACCORDE DÉSORMAIS PLUS DE POIDS AUX SITES ENTIÈREMENT PROTÉGÉS. À VOUS D’EN PROFITER !

        Un soutien de taille en faveur d’Always-On SSL, ou du cryptage HTTPS intégral, si vous préférez, est venu de Google le 6 août 2014 sur son blog spécial sécurité en ligne. La firme de Mountain View y annonce son intention d’augmenter le coefficient (et donc d’accorder un meilleur classement dans les résultats de recherche) des sites intégralement cryptés par SSL. D’après Zineb Ait Bahajji et Gary Illyes, analystes des tendances webmasters chez Google : « Nous souhaitons encourager tous les propriétaires de sites Web à passer du protocole HTTP à HTTPS, pour que chacun puisse surfer en toute sécurité sur le Net. Google a ici un grand rôle à jouer en favorisant l’accès à des sites sécurisés. » Le sens de leur message est on ne peut plus limpide : « Nous espérons constater une hausse du nombre de sites Web sécurisés par HTTPS. » Il s’agit donc d’encourager les sites à améliorer leurs méthodes de protection et à sécuriser intégralement les données en transit partout sur le Web. Pour tout savoir sur l’importance et les avantages du HTTPS, visionnez la présentation complète de Google sur le sujet.

        HTTPS RENFORCE LA COMPÉTITIVITÉ DES PME

        En protégeant leur site par HTTPS, les PME disposent d’un nouveau vecteur de compétitivité dans la net-économie :

        • Classement plus favorable dans les résultats de recherche Google, notamment par rapport à de plus gros concurrents qui n’ont pas nécessairement basculé vers Always-On SSL. À tout le moins, le HTTPS permanent peut rééquilibrer les chances des PME face à la concurrence.

        • Pour amplifier l’impact d’un meilleur classement dans les résultats de recherche, Seal-in-Search™ de Symantec permet d’accroître le taux de clics en affichant le sceau Norton™ Secured, marque de confiance la plus reconnue sur Internet, en regard du lien en question.

        • Renforcement de la marque et de sa réputation par une preuve visuelle de votre engagement en matière de sécurité en ligne.

        • Augmentation des transactions et des taux de conversion

        • Protection de la totalité de la session de l’utilisateur et de toutes les données en transit, et non plus seulement des pages d’identification ou de transactions financières.

        • Possibilité d’évoluer vers des certificats SSL EV (Extended Validation) pour promouvoir encore plus clairement la fiabilité du site

        Vous trouverez forcément la solution SSL qu’il vous faut dans le catalogue multimarques de Symantec. Certificats SSL classiques, Wildcard, SAN ou EV et sa fameuse barre d’adresse verte : nous accompagnons les entreprises dans le choix d’une solution « Always-On SSL » adaptée à leurs besoins. Tous nos certificats assurent le plus haut niveau de cryptage qui soit pour protéger toutes les données en transit, y compris les identifiants, cookies et autres informations financières.

        ALWAYS-ON SSL : UN CONCEPT ANCIEN ARRIVÉ À MATURITÉ

        Depuis des années, les principaux acteurs du Web (Microsoft, PayPal, Facebook, Twitter, etc.) préconisent d’utilisation d’Always-On SSL. Avec Symantec, ces grands noms se sont regroupés au sein de l’Online Trust Alliance (OTA), avec pour mission de promouvoir la confiance en ligne et de protéger les internautes, tout en encourageant l’innovation et le dynamisme sur Internet. « Il nous incombe à tous de coopérer pour mettre en place des bonnes pratiques de sécurité Internet et protéger les consommateurs face aux dangers », lit-on dans un livre blanc de l’OTA. La situation générale de la sécurité en ligne a atteint un point de basculement : pour préserver leur capital confiance auprès des consommateurs, les sites Web doivent impérativement s’adapter. Or, un des avantages les plus nets d’Always-On SSL est son effet rassurant sur les internautes.

        ACTIONS À MENER POUR UNE SÉCURITÉ INTÉGRALE DE VOTRE SITE WEB

        Pour garantir une protection intégrale par HTTPS permanent, quelques mesures s’imposent :

        1. Appliquez le HTTPS sur chacune de vos pages Web.

        En appliquant le protocole HTTPS sur toutes vos pages, vous sécurisez les informations personnelles, les identifiants et les cookies de vos clients. Pour en savoir plus, cliquez ici.

        2. Vérifiez la bonne installation et la validité de vos certificats SSL.

        Pour activer le HTTPS, vous devez utiliser un certificat SSL/TLS valide et délivré par une autorité de certification (AC) réputée telle que Symantec. Les visiteurs de votre site auront ainsi l'assurance que l’identité du domaine a été vérifiée et authentifiée par un tiers de confiance. Pour en savoir plus, cliquez ici.

        3. Activez le drapeau de sécurité pour tous les cookies de session.

        Vous pouvez définir dans les cookies de session un drapeau de sécurité (secure flag) facultatif, qui indique au navigateur de communiquer avec le serveur d’origine uniquement par HTTPS à chaque fois qu’il renvoie un cookie. Cette méthode assure une protection HTTPS fiable et proactive, assortie d’un reporting.

        4. Renforcez votre sécurité et dopez votre cote de confiance avec les certificats EV.

        Pour convaincre les internautes de la légitimité et de la sécurité de votre site Web, rien de tel qu’un certificat Symantec SSL EV (Extended Validation). Outre le nom du détenteur du certificat, un certificat SSL EV déclenche l’affichage d’une barre d’adresse verte qui rassure visuellement les internautes quant à la légitimité de l’exploitant du site Web. Ils ont ainsi la garantie de pouvoir surfer en toute sérénité.

        Pour des informations plus détaillées, lisez ces articles :

        Google récompense les sites Web sécurisés par un meilleur classement (Blog)

        Google favorise les connexions plus sûres (Internet Retailer, 8 août 2014)

        Comprendre Always On SSL et le SEO (Symantec | Connect, janvier 2014)

        • Products
        • website security solutions
        • DigiCert Code Signing
        • Products and Solutions
        • Symantec Website Security