Projet de loi 81 : un pas vers l’avant
Récemment, le ministre Benoit Charette a déposé le projet de loi 81, qui vise à modifier plusieurs lois en lien avec l’environnement. L’une des...
Gardez un oeil sur la route
Simplifiez le travail des chauffeurs
Pour une prise d'actions efficace
Assurez la conformité de votre flotte
Simplifiez le quotidien de vos chauffeurs
Maximisez la valeur de vos données
Un suivi incomparable de vos actifs
La compétition amicale qui rapporte
Planification alimentée par les données
Dépassez les attentes de vos clients
Assurez un meilleur service à vos usagers
Maximisez la satisfaction de vos citoyens
Simplifiez votre quotidien sur le chantier
Facilitez l'électrification de votre flotte
Nos experts répondent à vos besoins
Répondez aisément aux normes
Améliorez la sécurité de vos chauffeurs
Protégez vos données et votre flotte
3 lecture des minutes
Anna-Kim Dion Nov 29, 2022 2:17:53 PM
Mont-Saint-Hilaire, QC, 20 décembre 2021 - Le 9 décembre, Apache Software Foundation a annoncé que Log4J, une librairie de journalisation open source populaire pour Java, a été découvert comme contenant une vulnérabilité d’exécution de code à distance (RCE) identifiée CVE-2021-44228, maintenant communément nommée Log4Shell. La vulnérabilité sévère était considérée “zero day”, c'est-à-dire qu’elle a été divulguée publiquement avant que les intéressés aient pu prendre les mesures correctives nécessaires.
La vulnérabilité Log4Shell permet à un attaquant d’exécuter du code arbitraire en déclenchant à distance des messages et des commandes pour contourner les services d'authentification pouvant rendre un système vulnérable à une attaque auprès des applications ou des données qui s’y trouvent par extraction. Le programme CVE lui donne la plus haute cote de sévérité.
La cybersécurité étant l’un des principaux piliers de notre engagement auprès de l’industrie et de notre clientèle, AttriX Technologie et ses partenaires traitent cette situation avec une importance cruciale.
Ayant effectué une validation auprès de nos propres systèmes et obtenu celles de nos partenaires, voici les résultats en lien avec les vulnérabilités CVE-2021-44228 et CVE-2021-45046.
Geotab DCE/Télématique :
Produit | Utilité | Statut | État |
MyGeotab |
Solution client |
Non affecté |
✅ |
Geotab Drive |
Solution mobile chauffeur |
Non affecté |
✅ |
Geotab SDK |
Solution de développement et intégration |
Vulnérabilité identifiée et colmatée dans le SDK client java. Les utilisateurs utilisant cette librairie devraient compléter la mise à jour. |
✅ |
Geotab MyAdmin |
Solution pour partenaires et revendeurs |
Non affecté |
✅ |
Micrologiciels du dispositif |
Micrologiciel du dispositif Go7-Go9 |
Non affecté |
✅ |
Pour plus d’informations ou de mises à jour en lien avec les services Geotab :
Communiqué sur CVE - 2021-44228
https://www.geotab.com/blog/geotab-log4j-vulnerability-response/
Centre de sécurité Geotab :
https://www.geotab.com/fr-ca/securite/
Système de gestion des terminaux chauffeurs Knox de Samsung (MDM) :
Produit | Utilité | Statut | État |
Knox Admin Portal |
Portail de gestion |
Non affecté |
✅ |
Knox Mobile Enrollement |
Solution de configuration de l’utilisateur |
Non affecté |
✅ |
Knox Configure |
Solution de configuration de l’utilisateur |
Non affecté |
✅ |
Knox Asset Intelligence |
Module d’analyse de l’état des dispositifs |
Non affecté |
✅ |
Knox manage |
Console de gestion des dispositifs |
Vulnérabilité identifiée et corrigée pour tous, aucune intrusion détectée. |
✅ |
Knox E-fota One |
Module de gestion des mises à jour des dispositifs |
Non affecté |
✅ |
Knox Guard |
Console de gestion en cas de perte d’appareil |
Non affecté |
✅ |
Portail revendeur |
Console de gestion partenaire |
Vulnérabilité identifiée et corrigée pour tous, aucune intrusion détectée. |
✅ |
Pour plus d’informations ou de mises à jour en lien avec les services Samsung et Samsung Knox :
Environnement Google Cloud Services :
Google Cloud SQL |
Service SQL infonuagique |
Non affecté |
✅ |
Google BigQuery |
Entrepôt de données d’entreprise infonuagique |
Non affecté |
✅ |
Infrastructure de visualisation des mégadonnées Lighthouse bâti sur solution Google |
Solution d’analyse et visualisation avancée des mégadonnées |
Vulnérabilité identifiée et corrigée pour tous, aucune intrusion détectée. |
✅ |
Google Compute Engine |
Service IaaS (infrastructure as a service) |
Non affecté |
✅ |
Google Cloud Functions |
Service FaaS (functions as a service) évolutive |
Non affecté |
✅ |
Pour plus d'informations ou de mises à jour en lien avec les services Google :
https://cloud.google.com/log4j2-security-advisory?hl=en
Vue d’ensemble de l’impact auprès d’AttriX et ses partenaires :
La portion télématique et DCE, sécurisée par Geotab, qui héberge l’ensemble des données clients, n’a pas été affectée par cette vulnérabilité à Log4j. Geotab n’a trouvé aucune tentative d’exploitation réussie de son infrastructure.
Les solutions de gestion à distances des terminaux chauffeurs, utilisant la solution MDM Samsung Knox, ont identifié deux composantes vulnérables parmi l’ensemble de ses services qui ont aussitôt été colmatés et mis à jour. Samsung n'a trouvé aucune tentative d’intrusion réussie de son infrastructure.
Aucune des composantes de l’environnement interne ou infonuagique propre à AttriX ne comporte la vulnérabilité identifiée. Le seul service interne ayant accès aux données d’entreprise qui s’est avéré vulnérable a été rapidement colmaté le lundi 13 décembre par Google. Google et AttriX n’ont trouvé aucune tentative d’intrusion réussie dans les services utilisés.
Grâce au haut niveau de sécurité de l’ensemble de ses partenaires, AttriX confirme que les services clients étaient principalement non vulnérables et la faible quantité de services qui utilisaient Log4j, ont été rapidement identifiés et mis à jour. Les services sont derrière des pare-feu à jour et les validations n’ont révélé aucune tentative d’intrusion réussie.
AttriX renforce l’importance du haut niveau de sécurité de ses partenaires ainsi que leurs certifications incluant :
Geotab : ISO27001, FiPS140-2 et FedRamp
Google : ISO27001 et FedRamp
Samsung : FIPS140-2
Samsung Knox : FedRamp NIAP
AttriX et ses partenaires continuent de suivre la situation de près et recommande à sa clientèle de valider l’état en lien avec la vulnérabilité Log4j auprès de leurs fournisseurs technologiques. La vulnérabilité Log4j peut impacter autant les serveurs infonuagiques que les serveurs « on premises », sur place. Il est impératif d’obtenir la confirmation que les serveurs et les solutions des versions affectées par le Log4j sont utilisées et, le cas échéant, que les correctifs soient appliqués promptement et correctement. Il est également primordial d’avoir des outils et des mesures en place pour assurer une traçabilité des tentatives d’intrusion pour assurer l’intégrité et la sécurité des systèmes connectés.
Récemment, le ministre Benoit Charette a déposé le projet de loi 81, qui vise à modifier plusieurs lois en lien avec l’environnement. L’une des...
Le secteur du transport est en pleine transformation, et Geotab ITS se trouve au cœur de cette évolution. Cette plateforme puissante combine...
Gérer une flotte dans le domaine de la construction est une tâche complexe. Cela demande de coordonner les équipements, les véhicules et les équipes...