Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 141 à 150.
| < Les 10 documents précédents | Les 10 documents suivants > |
(27/12/2011 12:22:37)
Entretien Jean-Henry Morin : "Sécurité, il faut augmenter la flexibilité du système"
Professeur à l'Université de Genève, Jean-Henry Morin s'intéresse aux manières de concilier sécurité et productivité au niveau de l'informatique d'entreprise. En entretien avec nos confrères d'ICTJournal.ch, il explique son idée d'un système de permis d'accès provisoire basé sur la confiance et sur la responsabilisation des collaborateurs.
Rodolphe Keller : Il est de plus en plus question des menaces sur la sécurité des informations dues aux négligences des utilisateurs. Que pensez-vous de cette préoccupation ?
Jean-Henry Morin : Je pense qu'il y a pas mal de mauvaises conceptions autour de l'utilisateur et on l'entend régulièrement de la bouche des consultants pour lesquels l'utilisateur est un problème, alors que pour moi, l'utilisateur fait partie de la solution. Je pense que c'est la seule approche viable dès lors que l'on accepte qu'il n'y an'existe pas de sécurité absolue, ce que l'on doit accepter. Partant de là, il y aura toujours un moyen d'éviter les dispositifs de sécurité: la sécurité ne s'attaque pas, elle se contourne - c'est naturel et c'est humain. Vous pouvez ériger de grandes forteresses, il est toujours possible de les contourner, ne serait-ce que par l'attaque analogique, ou alors il faudrait supprimer l'humain, ce qui n'est pas envisageable. C'est le point de départ de mes travaux: partir de l'hypothèse que l'être humain joue un rôle central dans le système et qu'il faut donc le mettre de son côté.
Il s'agit donc de les sensibiliser aux dangers qu'ils courent et font courir ?
La sensibilisation est un aspect extrêmement important et je ne suis pas sûr qu'il soit assez développé. Beaucoup de personnes font au quotidien des choses sans se rendre compte de leur impact sur la sécurité de l'entreprise. La sensibilisation est une première étape, la seconde étant la conscientisation. Il s'agit de mener le collaborateur vers une forme de responsabilisation ou tout au moins de valorisation de cette responsabilité de l'individu dans son milieu. Si l'on engage un collaborateur dans une fonction, il y a a à priori un rapport de confiance entre l'employeur et l'employé, quand bien même des exemples récents montrent qu'il est difficile d'établir ce rapport personnel avec chaque employé dans une très grande entreprise. Certes, le contrôle fait partie intégrante du management et de la gestion des infrastructures techniques, néanmoins cette question de confiance est capitale et on aurait beaucoup à gagner à la favoriser.
Peut-on exiger de tout collaborateur qu'il comprenne les enjeux de ses pratiques, qui peuvent être éminemment complexes comme dans le domaine de la conformité ?
Non, mais on peut l'exiger à l'échelle de sa capacité et de sa fonction. Il existe des études qui montrent qu'une personne sur deux est amenée quotidiennement à contourner les politiques de sécurité, tout simplement parce qu'elles l'empêchent de faire son travail. Bien sûr qu'on ne peut pas demander à tout le monde d'être certifié en sécurité à tous les niveaux, mais chacun doit et peut comprendre les raisons et les enjeux immédiats des contraintes qu'on lui impose. C'est à cela qu'il faut travailler et cela permettrait de faire un grand pas. La situation actuelle a des effets néfastes en termes de qualité de travail, pour l'employeur parce que des pratiques ont lieu à son insu et pour l'employé qui se met en défaut et fait courir un risque à lui-même et, éventuellement, à la société. C'est précisément la thèse que je défends: qui mieux qu'un individu, dans sa capacité et fonction, rendu responsable et conscient, est à même de dire ici et maintenant: «je dois absolument accéder à cette ressource pour mon travail; j'en prends la responsabilité.»
ICTJournal.ch
[[page]]
Comment peut-on mettre en oeuvre cette approche dans la pratique ?
Les méthodes traditionnelles empêchent de le faire parce qu'elles partent toutes de l'hypothèse de la non confiance. Elles fonctionnent par ailleurs de façon binaire, de sorte que si l'on ne remplit pas toutes les conditions requises, la réponse est fatalement non, il y a déni d'accès à la ressource. Or, en même temps, les entreprises ont de grands besoins d'agilité et elles doivent pouvoir réagir vite à des situations non anticipées, ce qui est souvent impossible au niveau des systèmes. La seule approche valable est donc à mon avis de donner la possibilité aux utilisateurs de dire pourquoi ils ont besoin d'accéder à une ressource, de laisser un crédentiel permettant de les auditer et d'obtenir l'accès à cette ressource pour un temps limité. Cette solution a deux avantages: d'une part l'utilisateur sent qu'il n'est pas en faute et il engage sa responsabilité; d'autre part, l'employeur est dans une situation très confortable du point de vue de la gestion des risques puisqu'il peut identifier ces situations. En tant que responsable de la sécurité de l'information dans une organisation, vous pouvez très bien mettre en place un tableau de bord basé sur ce modèle qui vous indique en temps réel la variation des demandes de situations exceptionnelles.
Faut-il à votre avis aller jusqu'à supprimer toutes les barrières absolues érigées dans le passé ?
Non, il ne s'agit pas tomber dans une confiance aveugle. Il faut conserver les solutions de gestion de risque et de sécurité en place qui fonctionnent bien aujourd'hui. Par contre, il faut augmenter la flexibilité du système. Lorsque l'on travaille pour une entreprise, on reçoit déjà plusieurs crédentiels, pour accéder par exemple à l'e-mail ou à l'ERP. Je propose simplement d'en ajouter un, une sorte de «bouton magique» ou de permis provisoire, qui permet au collaborateur d'engager sa responsabilité pour accéder à une ressource qui lui est interdite. Pour autant bien sûr qu'il ne s'agisse pas d'une ressource véritablement sensible. Entre le paradigme de la confiance aveugle et celui de la paranoïa, je propose une logique de confiance éclairée. On parle en anglais d'empowerment des individus. On ne délègue pas le risque qui reste au niveau de l'organisation, mais on délègue une capacité décisionnelle, que les systèmes ne sont pas à même d'assumer.
Corée du Nord : Après la bombe A, la cyber-guerre ?
Le décès de Kim Jong Il la semaine dernière, et l'installation de son fils comme successeur, risquent de créer une instabilité significative dans la région. Le jeune homme d'une vingtaine d'année n'a eu que deux ans pour se préparer à sa nouvelle fonction. Kim Jong Il, lui, avait profité de 14 années d'apprentissage avant de succéder à son père Kim Il Sung, fondateur de la Corée du Nord, et premier homme de la Grande Dynastie. Kim Jong Il avait bien pris soin de hisser son fils au grade de général quatre étoiles, mais celui-ci n'a jamais servi dans l'armée.
Et même si le jeune Kim prend le pouvoir sans avoir à lutter contre une quelconque opposition, certains pensent qu'il pourrait délibérément mener une politique répressive afin de tuer dans l'oeuf le plus infime espoir de faire émerger une sorte de «Printemps Arabe» dans son pays. Une façon d'asseoir son pouvoir et de marquer ses intentions face au monde entier, et de signifier qu'il sera tout aussi imprévisible et belliqueux que son père. Yonhap, la plus grande agence de presse sud-coréenne, a indiqué que la Corée du Sud avait placé son armée en état d'alerte très élevé. Pendant le week-end, la Korea Communications Commission (KCC) a fait grimper le degré d'alerte des réseaux au troisième niveau le plus élevé et a intensifié sa surveillance pour contrer de possibles attaques distribuées par déni de service DDoS, repérer des tentatives de piratage et autres agressions que son voisin pourrait engager par Internet interposé.
Une volonté de marquer les esprits, mais doute sur la puissance des attaques
Pour John Linkous, vice-président, et chef de la sécurité et de la conformité chez eIQnetworks, ces préparatifs laissent croire « qu'il y a « une forte probabilité » que la Corée du Nord lance des cyber attaques contre les États-Unis. » Mais, selon lui, ni le secteur privé ni les institutions gouvernementales ne sont bien préparés pour les contrer. « Côté privé, quand on voit toutes les cyber-attaques qui ont pu aboutir au cours de la dernière année, on ne peut pas estimer que les entreprises soient bien protégées, » a-t-il déclaré. Sans compter que la plupart de ces attaques ont été lancées par de petits groupes, et non par des Etats. « Côté administration, j'aimerais croire que nous sommes prêts, mais nous ne le sommes probablement pas, » a ajouté John Linkous. « Nous avons tellement d'infrastructures éparpillées aux quatre coins de la planète, que, économiquement et mathématiquement, c'est presque impossible. »
Celui-ci fait remarquer au passage que, avant qu'il ne quitte ses fonctions en août dernier, Vivek Kundra, l'ancien responsable fédéral des systèmes d'information (Chief Information Officer) dans l'administration Obama, a attribué un « B » à la cyber sécurité du gouvernement. « Les vecteurs d'attaque eux-mêmes ne sont pas si sophistiqués, mais ils n'ont pas besoin de l'être, » a-t-il expliqué. « Il faut comprendre que la Corée du Nord se perçoit comme une grande nation, un leader mondial, et veut s'affirmer de toutes les manières possibles. Et la cyber sécurité fait partie de son arsenal. ».
Mais pour Gary McGraw, directeur technique de Cigital, l'instabilité politique de la Corée du Nord ne constitue pas une menace directe. Selon lui, le pays n'a pas la capacité de lancer de cyber attaque invalidante. « Il y bien des exemples où la Corée du Nord a été accusée d'avoir commis certains actes de cyber-agression, sans beaucoup de preuves. Mais rien qui atteigne le degré d'une attaque DDoS, de toutes les façons, » a affirmé le CTO. Selon lui, « Google et Amazon ne se rendraient probablement même pas compte des attaques que pourrait mener la Corée du Nord. Et dans le cas où elles les repèreraient, les deux géants n'auraient aucune difficulté à les arrêter. » De son point de vue, il n'y a pas de doute que la cyber guerre doit être prise au sérieux. Mais certaines craintes émises à ce sujet relèvent parfois de la pure agitation. « La Corée du Nord doit affronter des problèmes intérieurs beaucoup plus sérieux. Alors, pourquoi agiter le chiffon de la cyber guerre ? », a-t-il demandé. « Nous devrions plutôt nous inquiéter de ce que le pays ne peut même pas nourrir sa propre population. »
IBM prédit 5 innovations dans les 5 prochaines années
Il est toujours difficile d'être une pythonisse dans le monde des technologies. Pourtant, IBM a sauté le pas en présentant son rapport « Five in Five », soit 5 innovations dans les 5 prochaines années. La première concerne la production personnelle d'énergie. Big Blue pense à la marche, au jogging, au cyclisme, à la chaleur produite par les ordinateurs et même au mouvement de l'eau dans les canalisations. Les notions de smart grid et de smart planet sont bien sûr mises en avant pour aboutir à ce résultat. Autre tendance soulignée par IBM, la suppression des mots de passe. La gestion des identités et leur authentification se feront depuis les caractéristiques biologiques comme la reconnaissance vocale, rétinienne ou d'autres données biométriques.
Télépathie et disparition de la fracture numérique et du spam
Plus audacieux est l'arrivée de la télépathie. IBM estime que le contrôle des terminaux n'est plus réservé à la science-fiction. Des avancées dans la bio-informatique permettront le développement de tels usages. Plus pragmatique, Big Blue penche pour la disparition d'ici 5 ans de la fracture numérique. Pour la firme, 80% de la population mondiale disposera d'un terminal mobile. Enfin, dernière tendance, la notion de spam s'effacera au profit de courriers prioritaires. Les solutions analytiques permettront d'intégrer en temps réel l'ensemble des données disponibles sur une personne afin de lui proposer des informations utiles et pertinentes.
HP, IBM et Microsoft trop lents à corriger les failles Zero-Day
Selon le programme Zero-Day Initiative (ZDI) mis en place par HP TippingPoint, IBM, Hewlett-Packard (HP) et Microsoft figurent en tête de la liste des entreprises qui n'ont pas pris la peine de corriger les vulnérabilités présentes dans leurs produits et notifiées il y a six mois par le plus grand collecteur et chasseur de bugs au niveau mondial. En 2011, TippingPoint - une division de HP - avait publié 29 avis « zero-day » fournissant des informations sur les vulnérabilités signalées aux fournisseurs de logiciels concernés et laissées en souffrance six mois et plus. 10 des 29 bugs signalés concernaient des produits IBM, 6 des logiciels de HP et 5 des produits de Microsoft. D'autres entreprises comme CA, Cisco et EMC figurent aussi sur cette liste des éditeurs retardataires.
TippingPoint, peut être plus connu comme sponsor du concours annuel de piratage Pwn2Own, achète les vulnérabilités découvertes par des chercheurs indépendants spécialisés dans la sécurité, qu'il rétrocède ensuite aux éditeurs et les utilise aussi pour élaborer des parades pour ses propres dispositifs de sécurité. Depuis mi-2010, TippingPoint a décidé que, si un vendeur ne corrigeait pas la vulnérabilité signalée dans les six mois suivant sa notification, il la rendrait publique sous forme d'avis comportant « des détails limités » sur le bogue.
Un ultimatum de 6 mois bénéfique ?
Le 7 février 2011, TippingPoint publiait son premier avis Zero-Day. TippingPoint avait expliqué alors que ce délai de six mois devait inciter les développeurs de logiciels à livrer leurs correctifs plus rapidement. « L'ultimatum lié à la communication publique de certaines informations sert à faire pression sur les vendeurs, » avait déclaré à l'époque dans une interview Aaron Portnoy, le chef de l'équipe de chercheurs de TippingPoint.
A ce jour, de l'avis d'Aaron Portnoy et de Derek Brown, autre chercheur de ZDI, le programme a plus ou moins bien fonctionné. « Ce qui ressort de cette expérience, c'est que nous avons constaté une plus grande réactivité, » a déclaré Derek Brown. « Si les éditeurs ne se montrent pas suffisamment diligents, et si, après avoir travaillé avec eux, il apparaît qu'ils ne sont pas très motivés pour sortir un correctif, nous rendons l'information Zero-Day publique. » Selon le chef de l'équipe, « il ne s'agit pas seulement de l'impact réel des vulnérabilités en terme de sécurité, mais de l'impact sur le public. »
[[page]]
Selon les chercheurs, ces modalités « mettent la pression sur l'éditeur et devraient l'inciter à corriger son produit, parce qu'un logiciel avec des vulnérabilités non corrigées change la perception de la sécurité du produit. » Mais il y a eu de belles réussites, comme l'a fait remarquer Aaron Portnoy. « Certaines équipes de sécurité nous ont remercié d'avoir rendu public un avis « Zero-Day» sur un de leurs produits, » a déclaré le chercheur. « Ils ont pu ensuite faire valoir auprès de l'éditeur qu'ils avaient besoin de davantage de ressources. »
Une orientation vers les systèmes SCADA privilégiée
Sur les 5 vulnérabilités divulguées le 7 février 2011 par ZDI concernant Office, Microsoft les a toutes corrigées dans les bulletins MS11-021, MS11-022 et MS11-023 livrés en avril 2011. ZDI avait communiqué ces vulnérabilités à Microsoft en trois fois, exactement le 30 juin, le 20 juillet et le 25 août 2010. De leurs côtés, IBM et HP n'ont jamais corrigé les 16 vulnérabilités, dont certaines rapportées par ZDI il y a deux, voire même trois ans, grâce au programme de primes et de collecte de bugs. Selon Aaron Portnoy et Derek Brown, la limite des six mois avant la divulgation des Zero-Days a fait de 2011 une année record. « Jusqu'à présent, en 2011, le vivier de chercheurs indépendants de TippingPoint a généré 350 rapports de vulnérabilité, en hausse de 16% par rapport aux 301 rapports émis en 2010, » a déclaré Derek Brown. « L'ultimatum de six mois a contribué à cette accroissement du nombre d'avis, » a ajouté M. Brown. « Parmi les bogues achetés cette année, nous avons remarqué une tendance intéressante avec beaucoup de vulnérabilités dans les systèmes de contrôle industriel SCADA ou «Supervisory Control and Data Acquisition» qui arrivent en tête de liste, » a déclaré ZDI.
Le programme a acquis six vulnérabilités SCADA en 2011, affectant un logiciel développé par General Electric, Honeywell et InduSoft. « Nous avons récolté quelques très sérieux bogues SCADA, » a déclaré Derek Brown. « Et jusqu'à présent, notre collaboration avec les éditeurs a été très productive. » ZDI n'a publié aucun avis Zero-Day pour les bugs SCADA collectés par le programme, et Aaron Portnoy a indiqué que TippingPoint n'a pas l'intention de rendre cette information publique dans le cas où le correctif tarderait à venir. Selon les chercheurs, l'intérêt pour les vulnérabilités SCADA date de l'an dernier, avec la découverte du ver Stuxnet, qui, d'après la plupart des experts, aurait été conçu pour saboter le programme nucléaire iranien et les installations chargées de l'enrichissement de l'uranium. Le ver serait parvenu à endommager les centrifugeuses d'une ou plusieurs installations. TippingPoint travaille avec l'ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), une extension de l'US-CERT, elle-même rattachée au Département de la Sécurité Intérieur américain, afin de coordonner les informations qui remontent sur SCADA.
Dans une autre communication, Aaron Portnoy a confirmé que TippingPoint et ZDI seraient de nouveau les sponsors du concours de piratage Pwn2Own piratage prévu début mars 2012 au CanSecWest de Vancouver, Colombie-Britannique. Le chercheur et chef d'équipe a déclaré que ZDI va « monter la barre des enjeux » du concours en modifiant à la fois le mode de fonctionnement de la compétition et la valeur des prix attribués. Celui-ci a refusé d'en dire plus sur Pwn2Own 2012, mais a promis de fournir davantage d'informations aux chercheurs en début d'année prochaine.
Symantec décrypte le vol de données par les collaborateurs de l'entreprise
Pour les entreprises, les données sensibles ont une grande valeur, et la plupart sont conscientes qu'elles attisent les convoitises de nombreuses personnes extérieures à la société, rapporte Symantec. Toutefois, le risque que représentent les propres collaborateurs de l'entreprise est très souvent sous-estimé. Pour mieux comprendre le phénomène, le spécialiste de la sécurité a consacré une étude empirique à cerner les caractéristiques de ces voleurs internes et les conditions qui les poussent à livrer des données à l'extérieur. Au cours de leur étude, les Dr Eric Shaw Harley Stock, experts dans le domaine du profiling psychologique et de la gestion du risque, ont ainsi identifié un certain nombre de critères.
Profil type
Le collaborateur qui dérobe des données occupe le plus souvent un poste technique. Il est âgé en moyenne de 37 ans, est de sexe masculin et travaille en tant qu'ingénieur, chercheur, manager ou programmeur pour son entreprise. Souvent, il a signé un accord relatif à la propriété intellectuelle des données de son entreprise. En interne, les voleurs de données utilisent selon Symantec des outils comme l'email, des serveurs FTP ou un accès à distance au réseau d'entreprise afin de s'approprier des données et de les sortir de l'entreprise. Dans 65% des cas, le collaborateur qui dérobe des données a déjà trouvé un nouvel emploi auprès d'un concurrent ou se sert des données dérobées afin de monter sa propre entreprise. Dans 20% des cas, il agit pour le compte d'un mandataire externe, et une fois sur quatre il livre les données dérobées à une entreprise totalement extérieure, voire même à l'étranger. Dans plus de la moitié des cas, les données sensibles sont dérobées durant le dernier mois de travail du collaborateur au sein de l'entreprise.
Vols d'informations accessibles
Dans plus de 75% des cas, les collaborateurs dérobent des données auxquelles ils ont officiellement accès. Ils s'emparent donc d'informations qu'ils connaissent déjà et avec lesquelles ils travaillent. Dans plus de la moitié des cas, les collaborateurs s'emparent de secrets d'entreprise. Pour 30% des situations, des informations financières, des listes de prix et d'autres données administratives sont concernées. Les vols de codes sources concernent pour leur part 20%, les vols de données concernant des logiciels propriétaires 14%, les données relatives à la clientèle 12%, et enfin les données relatives à la stratégie future de l'entreprise représentent 6% des vols.
Dans la plupart des faits, note enfin Symantec, il existe des signes annonciateurs. En effet, des problèmes internes poussent souvent le collaborateur à dérober des données. D'autres signes peuvent être le stress ou un comportement inhabituel. Les actes de vols de données ne sont pas toujours malveillants, souligne encore Symantec. Souvent, ces vols sont le fait de négligences ou de méconnaissance.
ICTjournal.ch
Disques et Silice élargit son offre vers la sécurité et la gestion des disques durs
Le grossiste Disques et Silice, spécialiste du stockage, prépare son catalogue 2012. Au menu, deux références supplémentaires qui marquent un changement. Avec la société Telmat Industrie, Disques et Silice référence Access Log, un produit d'accès internet, qui permet de franchir les obstacles règlementaires plus facilement.
L'autre référence, la société Icy Dock, propose des solutions de gestion permettant, selon la société « des solutions de gestion des disques durs grâce à un ensemble de tiroirs extractibles et d'adaptateurs 2''1/2 vers 3''1/2, ou encore de système RAID couplage de SSD et disque traditionnel etc... »
Bilan sécurité 2011 : Face aux attaques ciblées, les réponses se structurent
Plusieurs tendances qui ont commencé à poindre leur nez en 2010 se sont amplifiées en 2011. La première est relative aux failles de sécurité et aux méthodes. Pour s'en convaincre, il suffit de d'observer le nombre de mises à jour de certains logiciels ou langage de programmation. Microsoft a connu avec ses Patch Tuesday des records en matière de mise à jour. Il faut dire que plusieurs failles de type zero-day ont été trouvées. Adobe et ses programmes Acrobat ou Flash sont aussi pointés du doigt pour leur vulnérabilité. Oracle de son côté a proposé un nombre important de correctifs sur ses produits dont Java. Parmi les innovations de l'année 2011, le vol de certificat SSL a mis en lumière la fragilité du système d'authentification des sites web. L'affaire Diginotar en écho de celle de Comodo, revendiqué par un soi-disant jeune hacker iranien, a ébranlé la confiance dans les autorités de certification au point que certains travaillent sur une autre voie.
Autre axe d'attaques, les médias sociaux qui sont devenus une cible des pirates, vol d'identités, code malveillant via des URL courtes. Twitter et Facebook font partie des sites les plus convoités par les cyber-attaques. Pour autant, il faut également se méfier de la partie hardware, notamment les smartphones. Ces derniers peuvent devenir des vrais mouchards comme le montre les affaires de Carrier IQ ou du stockage des données géolocalisées sur les iPhone d'Apple et terminaux sous Android. Sur le plan des virus, on notera la naissance du fils spirituel de Stuxnet, Duqu qui pourrait viser des systèmes industriels. Dans les méthodes d'attaques, l'heure est à l'automatisation avec des kits en mode as as service ou des attaques en déni de service capable de contourner le protocole SSL. Les DDOS et les injections SQL demeurent les moyens plébiscités sur les forums underground.
Attaques ciblées et revendiquées
Le record 2011 de la plus grande attaque est à mettre au crédit de Sony qui a été plusieurs fois piraté. Près de 77 millions de comptes sur PlayStation Network ont été volés, dont certains avec des identifiants bancaires. Cette affaire a mis en exergue la faiblesse de la protection des données par le groupe japonais. Les Anonymous ont été pointés du doigt sur ce sujet, mais sans preuves. Le groupe de pirates est devenu emblématique sur la scène de la sécurité en 2011. Ils ont revendiqué plusieurs attaques contre des banques, un cartel de drogue, l'armée israélienne et américaine, le NYSE, le gouvernement turc. Le groupe a fait des émules ou des dissidents avec l'organisation Lulszec qui cible des agences gouvernementales américaines comme la CIA. Après quelques arrestations de membres supposés, Lulszec a prononcé sa dissolution en juin dernier.
[[page]]
La France n'a pas été épargnée par les attaques ciblées. Bercy a été le premier touché. Plusieurs sites de préfectures ont été piratés pendant l'été, les rendant inaccessibles. A la rentrée de septembre, c'est au tour d'Areva d'être visé, mais sans vol de données sensibles rassure l'acteur du nucléaire. La Commission européenne, victime d'une cyber-attaque a été obligé de suspendre les accès à la messagerie et à l'intranet de l'institution.
Des réponses en phase de structuration
Devant la recrudescence de la cybercriminalité, les autorités et les entreprises s'adaptent et apportent des réponses. Ainsi, le gouvernement américain a assimilé la cybercriminalité à un acte de guerre et donc nécessitant dans certains cas le recours à la force militaire. Les européens ont engagé des exercices de simulation avec leurs homologues outre-atlantique. La France n'est pas en retrait en se dotant d'une force de réaction rapide sur les cyberattaques. Néanmoins l'ANSSI rappelle le respect d'une hygiène de base sur la sécurité par les entreprises, qui éviterait certaines attaques.
Le volet judiciaire est aussi une réponse comme le montre l'opération Ghost Click, une action concertée entre le FBI, Trend Micro et les autorités estoniennes pour fermer un botnet qui avait infecté 4 millions d'ordinateurs. Des membres supposés d'Anonymous et de Lulszec ont été appréhendés, avec comme effet probable la dissolution du groupe Lulszec. Enfin, les entreprises apportent aussi une réponse technologique en renforçant leurs outils de sécurité, à travers des systèmes de double authentification, l'activation de protocole sécurisé, etc...
(...)
Des pirates rendent Flash Player d'Adobe payant
Selon Bitdefender, fournisseur de solutions de sécurité, des cybercriminels testent actuellement une arnaque sur un réseau social russe. Il s'agit, rien de moins, que de faire payer aux utilisateurs la copie gratuite du lecteur Flash d'Adobe par le biais d'un message envoyé par SMS. « L'escroquerie a été découverte grâce à un client de Bitdefender qui a repéré un lien suspect sur Vkontakte, un service de résau social pour russophones, et censé rediriger les internautes vers à une mise à jour du Player Flash d'Adobe, » a déclaré Bogdan Botezatu, chercheur spécialisé dans les cyber-attaques chez Bitdefender.
Lorsqu'il clique sur ce lien, l'utilisateur arrive bien sur une page où il peut trouver le lecteur Flash attendu. Mais il doit ensuite indiquer, via un menu déroulant, dans quel pays il se trouve, et communiquer ensuite son numéro de téléphone mobile et le nom de son opérateur. Des informations jamais demandées par Adobe pour procéder aux mises à jour de son lecteur. « Si la personne se trouve à l'extérieur de la Russie, l'installeur demande à la personne d'envoyer un message vers un numéro court afin de recevoir un soi-disant « code d'activation » pour utiliser le programme, » explique le chercheur de Bitdefender. « Les utilisateurs basés au Royaume-Uni sont taxés 1,50 livres pour ce SMS, soit environ 3 dollars, » a-t-il ajouté.
Mise en jambe avant de s'attaquer à Facebook
« Les utilisateurs russes ne sont pas taxés, sans doute parce que l'escroquerie a plus de chance d'être rapidement signalée aux autorités, » a précisé Bogdan Botezatu. Apparemment, les escrocs se sont abonnés à des services de facturation de SMS pour le Royaume-Uni. Mais, d'après le menu déroulant, il semble que les cybercriminels aient pris des dispositions pour recevoir des paiements générés par des SMS émis sur des réseaux comme O2, Vodafone, Orange et AT&T aux États-Unis.
Cette arnaque n'a pas encore l'air très répandue. Ce qui fait dire à Bogdan Botezatu que « les escrocs sont en train de tester leur méthode avant de s'attaquer à d'autres sites de réseau social comme Facebook. » La ruse, qui consiste à proposer aux internautes des produits Adobe en téléchargement est utilisée fréquemment pour tromper les utilisateurs. Souvent d'ailleurs, les internautes téléchargent en fait des logiciels malveillants à la place de l'application d'Adobe. Mais ici, la méthode vise plutôt à récupérer de l'argent. « Il n'y a aucun bout code malveillant associé au fichier, » a affirmé le chercheur. « Les escrocs veulent essentiellement soutirer de l'argent en détournant le système de SMS premium. » Ce phénomène commence à prendre de l'ampleur, la semaine dernière Google avait été obligé de retirer des applications sur Android Market utilisant cette méthode de SMS surtaxé.
Bogdan Botezatu a indiqué que Bitdefender avait alerté l'opérateur O2 de l'escroquerie. L'éditeur de solutions de sécurité a mis des copies d'écrans sur son blog.
Elections 2012 : l'usage des fichiers nominatifs surveillé par la CNIL
Les campagnes électorales de préparation de la présidentielle en 2007 avaient été marquées par un certain nombre de questions sur les usages des fichiers nominatifs par les partis politiques, notamment autour du fameux Sarkospam, jamais sanctionné. Alors qu'Internet et, d'une manière générale, les TIC sont de plus en plus utilisées par les partis politiques, la CNIL (Commission Nationale Informatique et Liberté) prend cette fois les devants pour les campagnes électorales de 2012. L'autorité administrative indépendante a récemment publié au Journal Officiel ses recommandations « sur la mise en oeuvre par les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives de fichiers dans le cadre de leurs activités politiques ».
Eviter un nouveau Sarkospam
Le scandale du Sarkospam avait consisté, en 2006, en un envoi par l'UMP de mails de promotion du candidat Nicolas Sarkozy auprès d'un très grand nombre d'internautes. Les destinataires n'avaient jamais (dans leur grande majorité) donné leur consentement à la réception de propagande électorale de la part de l'UMP (ou d'un autre parti du reste). Et pour cause : les fichiers avaient été achetés un peu partout (programmes de fidélisation commerciale...), parfois sans les précautions nécessaires auprès de loueurs de fichiers peu scrupuleux, certains ayant été déjà condamnés pour leurs pratiques illégales. Les réactions avaient été nombreuses et violentes. La CNIL les résume dans les attendus de sa recommandation : « La prospection politique, tout particulièrement, est souvent vécue de manière très intrusive par les personnes concernées, comme en témoignent les nombreuses plaintes instruites par la commission en ce domaine ».
Des bases juridiques limitées
Cet écart de l'UMP n'a jamais été sanctionné mais la CNIL, à l'époque, avait veillé à réunir tous les partis politiques pour éviter de futures dérives en fixant formellement quelques règles du jeu. Il est vrai que les partis politiques ne sont pas concernés par une réglementation précise issue de la Loi sur la Confiance dans l'Economie Numérique (LCEN)... destinée aux seules entreprises effectuant du démarchage commercial ! Du coup, seules les règles très générales de la Loi Informatique et Liberté de 1978 modifiée en 2004 s'appliquent, avec ses décrets d'application. L'UMP avait tiré prétexte de ce semblant de vide juridique pour se justifier. A la même époque, d'autres mouvements politiques avaient également usé massivement de propagande électorale électronique mais en veillant à ne pas acheter ou louer de fichiers de tiers, en dehors du fichier des listes électorales dont l'usage est très encadré.
[[page]]
La recommandation de la CNIL s'appuie donc sur la Loi Informatique et Liberté, sur les décrets d'application, sur le Code Electoral et sur sa propre jurisprudence. Elle remplace la délibération n° 2006-228 du 5 octobre 2006, adoptée à l'issue de la concertation avec les partis politiques en 2006.
Un rappel de principes malmenés
Ainsi, les fichiers employés doivent être issus d'une collecte respectant « licéité et loyauté ». Finis, donc, les fichiers achetés à l'arrière du camion comme lors du Sarkospam. Les « parrainages » sont également strictement encadrés, cette notion permettant d'inclure discrètement un grand nombre d'individus dans les fichiers. De la même manière, le respect des finalités d'un fichier est un impératif : il n'est pas plus possible, par exemple, de mélanger les caisses d'un candidat et de son entreprise que les fichiers professionnels et électoraux. Sans que cela soit explicitement dit, la recommandation condamne par avance tout détournement de fichiers municipaux ou de collectivités locales, administratifs, pour des usages partisans par un parti politique.
Si les partis politiques ont, par nature, à traiter des données relatives aux opinions politiques (particulièrement sensibles), ils ont l'obligation de prendre des précautions à la hauteur de la sensibilité des données. La CNIL insiste lourdement sur, par exemple, la non-divulgation d'informations sensibles, notamment auprès d'intermédiaires techniques comme des routeurs ou des achemineurs (La Poste...). De la même façon, la sécurité des fichiers -obligation générale- doit être examinée de manière particulièrement sévère dans le cas des mouvements politiques à cause de la sensibilité des données traitées.
(...)
| < Les 10 documents précédents | Les 10 documents suivants > |