// ID CiTé
Veille juridique et professionnelle des Collectivités Territoriales






TIC - Réseaux - Téléphonie

Sécurité des données : alerte sur la nécessaire mise à jour du logiciel "Pulse Secure"

Rédigé par ID CiTé le 31/08/2020



Sécurité des données : alerte sur la nécessaire mise à jour du logiciel "Pulse Secure"
La CNIL a été informée de l’existence d'une violation de données concernant plusieurs versions non mises à jour des produits "Pulse Secure", utilisés par un grand nombre d'organismes pour sécuriser les connexions au réseau de leurs employés. Elle alerte sur la nécessité de procéder à la mise à jour de ces outils.

"Pulse Secure" est un outil permettant de créer un réseau privé virtuel (VPN, Virtual Private Network) destiné à sécuriser les échanges entre des machines connectées à distance à un réseau d’entreprise.

La CNIL a récemment été informée qu’une personne ayant exploité une vulnérabilité, présente dans des versions non mises à jour des produits, a publié sur un forum spécialisé au début du mois d'août des informations confidentielles concernant plus de 900 entreprises dans le monde. Ces données comprendraient entre autres les adresses IP de serveurs vulnérables, des clefs privées, une liste des utilisateurs ainsi que des informations de connexion, identifiants et mots de passe, en clair.


La vulnérabilité affectant des versions non mises à jour de certains produits "Pulse Secure", permet à un attaquant d'accéder à des données présentes sur un réseau et en particulier d'y installer un "rançongiciel" (programme capable de rendre inaccessibles les informations enregistrées dans un système d’information et servant de base à une demande de rançon).

Cette vulnérabilité a fait l’objet d’un 
bulletin d’alerte du CERT-FR  ; l’éditeur du logiciel a quant à lui publié un bulletin de sécurité  qui détaille les versions concernées et permet de télécharger les mises à jour logicielles corrigeant la vulnérabilité. C’est pourquoi il est recommandé aux organismes qui n’ont pas encore installé cette mise à jour et qui restent donc exposés à cette vulnérabilité de l’appliquer dans les meilleurs délais.

La CNIL recommande également aux organismes concernés de renouveler l’ensemble des mots de passe utilisés sur leurs systèmes. En effet, ces derniers peuvent déjà avoir fait l'objet d'une violation et être vulnérables du fait de la possible récupération par un tiers.

D’une manière générale, la CNIL conseille aux organismes de procéder à des audits de leurs systèmes d’information et à surveiller en particulier les activités suspectes qu’ils pourraient repérer parmi leurs journaux d’activité.


CNIL - Communiqué complet - 2020-08-31
Détail de la vulnérabilité sur le site de l’ANSSI
Rapport de l’ANSSI sur l’état de la menace rançongiciel en France
Communication de l’éditeur Pulse Secure sur les versions correctrices de son logiciel

 







 
A compter du 1er janvier 2022,
l'accès complet à la totalité

des services sera réservé
uniquement aux abonnés à
ID.Veille

  
Droits ouverts à la Collectivité ou Ets public ayant souscrit un abonnement

- Licence libre de droits et de diffusion

- Droit de rediffusion interne sans souscription supplémentaire

- Identifiants uniques multi-utilisateurs

- Accès possible sans identifiants, par adresse(s) IP mono-site ou multi-sites

- Bulletins complets quotidiens (début de matinée) et récapitulatifs hebdomadaires

- Bulletins quotidiens téléchargeables

- 58 flux RSS d'informations classées par rubriques métiers

- Archives

- Articles complets accessibles par rubriques ou sources (JO, circulaires, Infos RH, Jurisprudence, Réponses ministérielles, Documents, Parlement, Actualités)

- Possibilité d'imprimer (avec modération SVP) les bulletins et articles

- Moteur de recherche

- Pas de publicité

- Une tarification raisonnable, simple et annuelle, sans supplément en cours d'année


Droits réservés à chaque utilisateur
- Inscription individuelle (gestion personnelle des identifiants)
- Articles complets accessibles soit par un bulletin spécifique (les titres du jour) soit par rubriques ou sources (JO, circulaires, Infos RH, Jurisprudence, Réponses ministérielles, Documents, Parlement, Actualités)
- Sélection d'articles sur un espace personnalisé
- Possibilité d'imprimer (avec modération SVP) les bulletins et articles
- Moteur de recherche
- Réception d'un bulletin sur adresse perso ou pro
- Sélection de vos infos "métiers" parmi 50 flux RSS
- Pas de publicité
- Accès gratuit à tous les services
 
Votre collectivité (ou Ets public)
n'est
 pas 
abonnée à ID.Veille
 
Bénéficiez GRATUITEMENT
d'une période d'essai

à l'ensemble des services

 

 
 
 
*Souscripteur: Collectivité territoriale ou établissement public qui souscrit une licence à ID.Veille au profit des Utilisateurs dans le cadre de l'utilisation des sites www.idcite.com  et www.idveille.fr

** Utilisateurs: personnes physiques, élus et membres du personnel du Souscripteur.
L'utilisateur peut utiliser soit les services ID.Veille, soit les services ID.Cité ou les deux en fonction de ses besoins en information, des moyens techniques utilisés et/ou du lieu de travail (télétravail...)


Comment fonctionne
l'abonnement pour une

 licence "libre de droit de diffusion"  
à www.idveille.fr ?