AirDrop et Quick Share sont désormais interopérables.

Apple n’en fait pas grande publicité. Au contraire de Google, même si la prise en charge se limite pour le moment à la gamme Pixel 10 et au mode « tout le monde » (pas possible de restreindre les échanges de fichiers aux contacts seulement).

Vers la fin d’un protocole propriétaire

Si Apple est discret, c’est que cette interopérabilité lui a été imposée par l’Europe, en application du DMA. La consigne, dans les grandes lignes : proposer aux tiers une solution de partage Wi-Fi P2P aussi efficace que celle implémentée pour ses propres appareils et services.

Sur iOS et iPadOS (les plates-formes Apple encadrées par le DMA), deux protocoles peuvent être utilisés. L’un ouvert (le standard Wi-Fi Aware), l’autre propriétaire (AWDL, Apple Wireless Device Link).

Apple a choisi de proposer l’interopérabilité via Wi-Fi Aware plutôt que d’ouvrir AWDL. Ce dernier se trouve donc condamné à terme. En attendant, il pourrait tout de même falloir le rendre interopérable dès lors qu’il existerait un écart fonctionnel avec l’implémentation Wi-Fi Aware. De même, les puces Wi-Fi des iPhone et des iPad devront pouvoir gérer deux connexions P2P concurrentes. Une demande que la Commission européenne a maintenue malgré l’opposition d’Apple. Elle persiste aussi à lui demander d’implémenter la prochaine version majeure de Wi-Fi Aware (5.0) dans les 9 mois suivant sa publication. Et à ne pas empêcher que des fonctionnalités d’AWDL soient intégrées dans ce standard.

Wi-Fi Aware : ce qui est attendu d’Apple

L’implémentation Wi-Fi Aware doit notamment permettre :

• D’établir une connexion à la demande, sans davantage d’interventions de l’utilisateur que ce qui est nécessaire entre appareils Apple
• De maintenir en parallèle une connexion Wi-Fi infrastructure
• D’accéder aux mêmes métadonnées de connexion et de configurer les mêmes paramètres

L’accès aux mêmes métadonnées doit, entre autres, permettre de stocker et d’ouvrir les fichiers reçus dans des apps spécifiques, comme le permet AirDrop.

Par « mêmes paramètres », il faut notamment entendre la possibilité de faire confiance à un appareil via l’OS dans des conditions équivalentes à celles d’AirDrop. Et de restreindre la découverte d’appareils à ceux préalablement désignés comme étant de confiance.

L’interopérabilité du partage WI-Fi P2P suppose aussi des obligations en matière d’accessibilité. Parmi elles :

• Traitement équitable par rapport à AirDrop dans le menu de partage d’iOS
• Lancement de transferts sans avoir à ouvrir d’application tierce
• Capacité à exploiter l’UI système pour le transfert de fichiers
• Découverte d’appareils destinataires même si la solution de transfert n’y est pas installée (l’utilisateur doit alors être alerté des fichiers entrants et guidé vers l’app store approprié)

Les solutions tierces de transfert doivent par ailleurs pouvoir changer dynamiquement de protocole de communication, comme AirDrop le fait entre P2P, infrastructure, Bluetooth et réseau cellulaire.

À consulter en complément :

iOS face au DMA : les 12 travaux d’Apple
Révision du DMA : quelques pistes d’action
Apple demande l’abrogation du DMA

Illustration générée par IA

The post Le DMA rend iOS et Android un peu plus interopérables appeared first on Silicon.fr.

Continuité d’activité, planning de rotation, veille médiatique… Toutes ces notions sont désormais définies dans le référentiel PRIS (prestataires de réponse aux incidents de sécurité).

En toile de fond, l’intégration d’une nouvelle activité : la gestion de crise d’origine cyber. Sous le code CRISE, elle rejoint :

• Recherche d’indicateurs de compromission (REC)
• Investigation numérique (INV)
• Analyse de codes malveillants (CODE)
• Pilotage et coordination des investigations (PCI)

La gestion de crise était déjà présente dans la version précédente du référentiel (juillet 2024), mais à la marge. Essentiellement à travers une recommandation à sensibiliser les commanditaires sur la mise en place d’un tel dispositif.

Une marge de manœuvre pour déléguer

La prestation peut être effectuée indépendamment des autres – alors que, par exemple, PCI ne peut être livré sans REC et INV, eux-mêmes indissociables.

L’ANSSI laisse la possibilité de déléguer à un autre profil que le gestionnaire de crise certaines tâches d’appui :

• Retranscription et rédaction des comptes rendus de réunions
• Mise en œuvre de l’organisation de crise et des moyens (réservation de salles de réunion et de moyens logistiques, par exemple)
• Retranscription des décisions, actions et arbitrages
• Recueil des entretiens et des aspects logistiques pour la formalisation d’un éventuel retex

Elle ne recommande cependant pas que pour une même prestation qualifiée, une personne physique cumule le rôle de gestionnaire de crise avec celui d’analyste.

Se synchroniser avec l’activité PCI

En conséquence de l’intégration de cette activité dans le référentiel, les missions du pilote d’investigation (associé à PCI) évoluent. On attend désormais formellement de lui qu’il assure une cohérence avec les priorisations de gestion de crise d’origine cyber. C’est même impératif au niveau de qualification élevé (par opposition au niveau dit substantiel) : « Lorsque des opérations d’investigation et de gestion de crise d’origine cyber sont réalisées simultanément […], le prestataire doit s’assurer de la bonne synchronisation de ces opérations sur le périmètre qui l’incombe (sic). »

Le prestataire doit être capable d’aider à identifier, en amont :

• Applications, systèmes, données et périodes critiques de l’organisation
• Impacts relatifs à l’incident de sécurité et conséquences sur l’activité du bénéficiaire
• Tiers éventuels dont l’implication pourrait être nécessaire
• Principaux enjeux à court et moyen terme et obligations juridiques applicables
• Enjeux de communication de crise

Il s’agit aussi d’accompagner la préparation des dépôts de plainte et des déclarations d’incident(s) aux autorités compétentes. Tout en établissant, avec le commanditaire, les critères et indicateurs de suivi et de sortie de crise.

Retex et restitution « à chaud » au niveau élevé de qualification

Concernant l’exécution même de la prestation, quelques éléments ne s’appliquent qu’au niveau élevé de qualification.

• Limiter les objectifs stratégiques définis dans le plan d’action et les baser « sur les priorités du contexte » ; spécifier au moins un délai de mise en œuvre pour les objectifs opérationnels qui en découlent.
• Pouvoir mettre à disposition de la cellule de crise stratégique (ou équivalent) des supports d’aide à la décision.
• Prendre en compte les conséquences et impacts permettant de justifier le déroulement des actions consignées dans le registre que doit tenir le prestataire.

Le niveau élevé de qualification implique d’organiser une restitution « à chaud » à la fin de chaque journée. Et d’être capable de formaliser un retex.

Illustration © VicenSahn – Adobe Stock

The post La gestion de crise cyber consacrée dans le référentiel PRIS appeared first on Silicon.fr.

Une application tierce compromise, et c’est la porte ouverte sur des données clients.

Salesforce s’était retrouvé dans cette situation au mois d’août. L’application concernée – un chatbot de gestion commerciale – émanait de l’éditeur américain Salesloft. Ce dernier avait été compromis au préalable (compte GitHub, puis environnement AWS) afin de récupérer des jetons d’API (tokens OAuth) utilisés par ledit chatbot pour se connecter à Salesforce.

Un incident du même type vient de se produire avec une application d’un autre éditeur américain : CS (Customer Success), de Gainsight. Celui-ci revendique, entre autres clients, GitLab, Glassdoor, GoTo, Jamf, Notion, Okta, Sonos et Zapier.

Salesforce a coupé la connexion avec Gainsight dans la matinée du 20 novembre. Il ne l’a pas rétablie depuis. D’autres éditeurs ont suivi par précaution, dont Hubspot et Zendesk.

Aux dernières nouvelles, Gainsight estime que 3 organisations ont été touchées. Ce n’est pas l’avis de Google/Mandiant, chargé d’enquêter : à l’en croire, plus de 200 instances ont potentiellement été affectées. La campagne est possiblement l’œuvre d’affiliés au collectif ShinyHunters.

Il faudra peut-être réactiver manuellement certaines règles lorsque la connexion sera rétablie, prévient Gainsight. Qui signale par ailleurs que ses plug-in pour Gmail et Outlook ne sont pas fonctionnels pour qui s’y connecte via Salesforce.

Les campagnes contre Salesforce s’accumulent

Les accès indésirables via le chatbot de Salesloft ont fait de multiples victimes dans le secteur IT (Boomi, IBM, Nutanix, OpenText, Proofpoint, Pure Storage, Rubrik, Zscaler…). Des tickets de support ont notamment été exposés… et des secrets avec.

Cet incident, combiné à d’autres, a culminé il y a quelques semaines en un leak. Sous l’enseigne SLSH (Scattered LAPSUS$ ShinyHunters), des cybercriminels ont menacé de publier des données… et de soutenir les actions en justice qui s’ensuivraient, en particulier pour violation du secret des affaires.

SLSH avait fixé un ultimatum au 10 octobre. Il l’avait aussi soumis à Red Hat, après la compromission d’une instance GitLab liée à son activité de conseil (une mine potentielle de secrets d’infra : inventaires, topologies réseau, playbooks et blueprints, résultats d’audits de sécurité…).

Au lendemain de la date, quelques datasets issus des campagnes contre Salesforce furent publiés. Les deux plus gros – contenant l’un et l’autre des données personnelles par million – concernaient les compagnies aériennes Qantas et Vietnam Airlines. Une filiale américaine d’ENGIE était aussi dans le lot.

Dans la foulée, SLSH avait annoncé, sur son Telegram, cesser ses activités jusqu’en 2026. Il avait déclaré vouloir se concentrer sur les employés du FBI et de la NSA, probablement en réponse à la saisie des serveurs de BreachForums.
Quelques jours plus tard, des membres avait officialisé la « dissolution permanente » du groupe après l’arrestation de plusieurs administrateurs.

Illustration générée par IA

The post Nouveau vol de données Salesforce via une intégration SaaS appeared first on Silicon.fr.