Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 171 à 180.
| < Les 10 documents précédents | Les 10 documents suivants > |
(02/12/2011 10:31:11)
Fraude en entreprise : la cyber-criminalité progresse selon PWC
« Une fraude sur cinq est désormais détectée par un système d'identification des transactions inhabituelles » estime le cabinet PWC dans la dernière livraison de son étude sur la fraude. Si l'IT permet de lutter contre la fraude au sens large, elle est aussi aujourd'hui le quatrième constituant de celle-ci, via la cyber-criminalité.
La fraude progresse considérablement : 30% des entreprises se déclaraient victimes dans le monde en 2009 contre 34% aujourd'hui. En France, la croissance tient de l'explosion : 29% en 2009, 46% en 2011. Les entreprises sont d'autant plus touchées qu'elles sont importantes : 46% en 2009 et 54% en 2011 pour les plus de 1000 employés contre seulement 26%/29% pour les 201-1000 employés et 15%/17% pour les moins de 200 employés.
Le fraudeur type est un homme (77% des cas), cadre (41%) entre 31 et 40 ans (43%), doté d'une ancienneté entre 3 et 5 ans (30%) et ayant un niveau d'étude de type Master (37%). Dans 77% des cas, le fraudeur est licencié lors de la découverte de sa faute. Une plainte pénale est même déposée dans 62% des cas.
Si les outils d'identification des transactions inhabituelles détectent, en 2011, 18% des fraudes (contre 5% en 2009), c'est au détriment de modalités plus traditionnelles comme les dénonciations et systèmes d'alerte (22% en 2011 contre 34% en 2009), les audits internes (14% contre 17%), les évaluations de risques a priori (10% contre 14%)...
La cybercriminalité en challenger prometteur
La première fraude reste, de loin, le détournement d'actif (vol...) qui frappe 72% des entreprises victimes d'une fraude en 2011 contre 67% en 2009 et 70% en 2007. Les dommages dépassent les cinq millions de dollars dans un cas sur 10. En deuxième position, la fraude comptable a connu un pic en 2009 avec 38% des entreprises victimes contre seulement 24% en 2011. Il est vrai que c'est ce domaine qui a connu le plus grand renforcement des mesures de détection automatique. La corruption reste la troisième pour l'instant mais poursuit sa chute : 30% en 2007, 27% en 2009 et 24% en 2011.
La fraude qui progresse le plus est aujourd'hui en quatrième position : la cybercriminalité. 23% des entreprises victimes d'une fraude déclarent avoir été frappées en 2011. Selon PWC, cette explosion de la cybercriminalité est liée à un triptyque : la richesse des données à voler, un rapport gain/risque largement supérieur aux autres formes de délits et dédramatisation de l'acte par ses côtés ludique et virtuel. Mais il convient d'ajouter une mauvaise détection des fraudes de ce type : 25% des entreprises dans le monde (30% en France) ne disposent d'aucun dispositif de prévention et de détection. 42% déclarent n'avoir aucun personnel capable d'enquêter sur une fraude de cette nature ou de réagir. Les risques ne sont même pas évalués a priori dans 38% des cas, l'attitude étant généralement réactive et non préventive.
Logiciels espions pour mobiles : une tentation grandissante
« Je me souviens, il y a huit ans, je buvais un verre avec des amis et je leur ai parlé de ma situation personnelle. Il s'agissait d'une histoire d'infidélité avec une ancienne petite amie », a expliqué Atir Raihan. N'aurait-il pas été intéressant, poursuit-il, qu'une technologie puisse permettre d'aller au fond des choses ?
En voyant là l'occasion de développer une opportunité commerciale, ainsi qu'un moyen de régler son dilemme personnel, et Atir Raihan a installé en Thaïlande son entreprise baptisée Flexispy pour développer un produit du même nom capable de traquer secrètement les appels et les messages texte envoyés à partir d'un téléphone mobile. Flexispy ne peut pas être installé à distance, de sorte que l'utilisateur doit mettre la main sur le téléphone et télécharger le logiciel sur l'appareil. Une fois installé, le programme enregistre tous les messages texte et les appels sur l'appareil. Il peut aussi permettre d'écouter une conversation à distance et d'utiliser le circuit GPS pour suivre en temps réel la localisation d'une personne.
Des produits de plus en plus nombreux
Depuis sa sortie en 2004, des produits similaires ont surgi comme Mobile Spy, qui est présenté comme un moyen d'espionner ses enfants et ses employés, et MobiStealth, destiné aux parents, aux dirigeants et aux forces de police. Alors que ces produits sont utilisés dans le monde entier, ils semblent tout particulièrement avoir ciblés la Chine. 10 000 utilisateurs environ sont «infectés» chaque mois par Flexispy, estime Zou Shihong, vice-président de NetQin, une société spécialisée dans la sécurité mobile.
Dans un petit échantillon mensuel des clients chinois de la compagnie, 1 000 utilisateurs se sont retrouvés piégés par Flexispy sur leurs téléphones, précise M.Zou. En revanche, l'entreprise n'a trouvé que 300 cas sur un même échantillon de clients, mais aux États-Unis, selon l'entreprise.
Des question éthiques et juridiques se posent quant à l'usage
Des produits comme Flexispy suscitent bien évidemment des questions d'ordre éthique et juridique. Et comme, il n'est pas illégal dans la plupart des pays d'acheter un tel logiciel, certaines personnes peuvent être tentées de l'utiliser en toute illégalité cette fois. Sans une ordonnance du tribunal, les écoutes téléphoniques sont en effet illégales dans la plupart des pays. L'altération du téléphone d'une personne est également un délit. « Ces produits violent la vie privée », a déclaré Zhang Qiyi, un avocat chinois, où le gouvernement a tenté d'interdire Flexispy avec un succès mitigé.
Une fois le programme installé sur un terminal mobile, les données sont secrètement acheminées vers un serveur exploité par Flexispy. L'utilisateur peut se connecter au serveur pour lire les messages texte et consulter le journal des appels. Le logiciel peut également activer le micro du téléphone, de sorte qu'il peut être utilisé comme un moyen d'écouter les conversations à proximité.
[[page]]
Moyennant des frais d'abonnement annuel compris en 149 et 349 dollars aux États-Unis, selon les fonctionnalités, il est possible d'utiliser ce sur la plupart des terminaux mobiles : l'iOS d'Apple, l'Android de Google, le Windows Phone de Microsoft ou encore le Symbian de Nokia.
En 2007, un an après sa mise en vente en Chine, les autorités ont décidé d'interdire sa vente. Le mot « Flexispy » a même été bloqué sur les moteurs de recherche et les réseaux sociaux chinois, le site de microblogging Sina Weibo par exemple .
Mais Flexispy a encore de nombreux fans en Chine et on le trouve sur de nombreux sites web. Des imitations du logiciel circulent également. « Dans un cas le plus étonnant, nous avons trouvé un clone chinois parfait de notre site web, proposant à la vente une version craquée de notre produit », a expliqué Marc Harris, un porte-parole de Flexispy. Le produit est encore légalement en vente en Thailande et accessible sur le web.
Des petites préventions
Un produit similaire, Spyera, se porte également très bien en Chine indique le propriétaire de l'entreprise Mihat Oger. « Nos ventes ont augmenté de 17% de 2009 à 2010 et augmenté de 32 % de 2010 à 2011 », ajoute M.Oger, précisant qu'une part importante de cette croissance a été stimulée par l'augmentation des ventes de smartphones.
Les sociétés Flexispy et Spyera indiquent avoir pris des mesures pour garder leurs produits licites. Ils les ont conçus de tels sorte qu'ils ne peuvent pas être installés à distance. Flexispy avertit également ses clients que l'utilisation de son produit sans le consentement de la personne ciblée pourrait être illégal. «Notre marketing est axé sur la découverte des tromperies d'un partenaire ou la protection des activités d'un enfant sur un mobile », a déclaré M. Harris. « Cependant, il est un fait avéré que dans la vie que pratiquement tout peut être utilisé illégalement. ... La responsabilité repose sur l'utilisateur, et non sur le produit. »
Pas encore d'espionnage industriel
Le fournisseur de solutions de sécurité F-Secure a étiqueté Flexispy que dans la liste des logiciels malveillants dans le passé. Pourtant, alors que ces programmes ont un très gros potentiel en matière d'abus, dans la plupart des cas qui ont été étudiés Flexispy a été utilisé pour espionner un conjoint plutôt que quelque chose comme l'espionnage industriel, a déclaré Mikko Hypponen, chercheur chez F-Secure.
Tyler Shields, un chercheur de la firme de sécurité VeraCode, a noté que parce que les données collectées sur des téléphones sont renvoyées à un serveur exploité par Flexispy, son utilité pour une entreprise criminelle est limitée. «Si j'étais un pirate, je ne voudrais pas que toutes les données volées puissent être renvoyées sur un serveur Flexispy. Pour un criminel, il ne s'agit pas d'un outil très utile. »
[[page]]
En Chine, Flexispy et ses variantes sont mieux connus que «XWodi», qui se peut ses traduit par « sous-couverture ». Les recherches en ligne révèlent une longue liste de sites qui prétendent vendre des produits similaires à Flexispy. La plupart de ces sites, cependant, ne sont que des escroqueries, et ne proposent à la vente que de faux logiciels espions, a déclaré Li Tiejun, un ingénieur travaillant chez le fournisseur d'anti-virus chinois Kingsoft. «Certains sont réels», précise-t-il pourtant. Le danger que Flexispy soit secrètement installé sur le téléphone d'un utilisateur est cependant minime par rapport à des logiciels espions malveillants capables de toucher un plus grand nombre de combinés en Chine, a-t-il dit.
Chaque mois, Kingsoft trouve des spywares de plus en plus sophistiqués. En août, la société a découvert un programme qui vient s'enterrer dans une application Android apparemment anodine, et qui enregistrait tous les appels téléphoniques et les messages texte de l'utilisateur. On ne sait pas pourquoi le programme a été élaboré. Les créateurs auraient pu l'utiliser pour recueillir des informations pour marketing, qu'ils auraient pu revendre aux parties intéressées, a dit M. Li.
Une efficacité redoutable
Plusieurs fournisseurs d'XWodi en Chine ont été contactés par notre correspondant, mais elles ont toutes refusées d'être interviewées. Flexispy et Spyera n'ont pas voulu révéler leurs chiffres exacts de ventes. Mais à côté des problèmes d'infidélité, les entreprises affirment que leurs logiciels espions sont généralement utilisés pour surveiller les employés ou suivre les activités des jeunes enfants, des adolescents et des personnes âgées incapables de s'occuper d'eux-mêmes.
Atir Raihan a maintenu qu'il n'a jamais voulu que son produit soit utilisé à des fins illégales. «Il y a assez d'affaires sur le marché légitime. Il n'est pas nécessaire pour nous qu'il soit utilisé dans d'autres situations», a-t-il dit. Atir Raihan a depuis revendu son entreprise Flexispy à une autre société. Quels que soient ses mérites, il est la preuve que le logiciel peut atteindre son objectif. Après avoir aidé à construire Flexispy, il a donné à sa petite amie à l'époque un téléphone portable avec le logiciel installé. « Elle me trompait », a-t-il dit. « Je l'ai utilisé et il m'a vraiment ouvert les yeux. »
Piratage des données de 1 800 jeunes militants de l'UMP
Après le groupe UMP à l'Assemblée nationale, c'est au tour du site Internet des jeunes militants UMP du Haut-Rhin de faire l'objet d'un piratage. Selon le site de Télérama, les coordonnées de 1 806 jeunes militants UMP du Haut-Rhin ont été hackées à partir du site Internet du mouvement. La cause ? Une faille de conception sur le site autorisant le téléchargement de n'importe quel fichier présent sur le serveur. Résultat, les pirates ont pu consulter bon nombre d'informations concernant ces jeunes militants : adresses email, noms, prénoms, qualités, circonscription, numéro de téléphone, numéro d'adhérent, canton, civilité, code postal, ville, date de cotisation, date de naissance, adresse, inscription au blog, aux news, alertes SMS...
L'hebdomadaire indique également que des observations à usage interne comme : « Attention à appeler avec méfiance », ont également été téléchargées. Toutefois, Il est précisé que les données n'ont pas été publiées sur Internet et que le hacker avait prévenu l'UMP avant la publication de l'article sur le site de Télérama.
(...)
Forte augmentation des attaques via des failles sur Java, selon Microsoft
Tim Rains, directeur de l'activité Microsoft Trustworthy Computing, a déclaré que la moitié de l'ensemble des attaques détectées et bloquées par les logiciels de sécurité Microsoft sur une période de 12 mois sont liées à Java. Au total, Microsoft a arrêté plus de 27 millions d'attaques utilisant Java de mi-2010 jusqu'à la mi-2011. La plupart d'entre elles utilisent des failles corrigées il y longtemps, précise Tim Rains. Ainsi 2,5 millions d'attaques ont été interceptées au 1er semestre 2011, elles utilisaient un bug publié en mars 2010 qu'Oracle avait corrigé le même mois. En deuxième position, on retrouve une vulnérabilité trouvée et patchée en décembre 2008. L'étude vient confirmer le phénomène de « vague sans précédent » d'attaques Java, souligné par la firme de Redmond en octobre 2010.
Les résultats de Microsoft n'ont pas été une surprise pour les chercheurs en sécurité. Pour Wolfgang Kandek, directeur technique de Qualys, « la plupart des machines sous Windows n'ont pas mis à jour le logiciel Java » et d'ajouter « il y a un retard sérieux. 84% des équipements n'ont pas installé la mise à jour de juin 2011, 81% celle du mois de février et 60% celle de mars 2010 ». Qualys ne dispose pas de visibilité sur le taux d'installation des correctifs d'octobre 2011, mais Wolfgang Kandek estime que ce ratio devrait atteindre 90% des PC. Le spécialiste de la sécurité pointe du doigt la problématique dans les entreprises de disposer d'anciennes versions Java pour faire tourner des applications internes. Qualys préconise alors d'utiliser Java en dehors du réseau.
Un tueur silencieux
Pour Andrew Storms, directeur des opérations de sécurité nCircle, « l'omniprésence de Java est une explication pour le volume élevé d'attaques exploitant ses bogues », mais il cite également l'invisibilité pour les utilisateurs du logiciel. « Java n'est pas quelque chose avec lequel les utilisateurs interagissent comme Flash ou Reader d'Adobe qui sont des éléments silencieux, mais sont devenus des cibles », note Andrew Storms et de conclure « ils sont devenus des tueurs silencieux ».
Enfin, un journaliste au Washington Post, Brian Krebs constate sur son blog que les cyber-criminels ont une longueur d'avance en proposant des kits d'attaques utilisant des failles récemment corrigées. Le journaliste prend une position assez radicale en déclarant ceux qui n'ont pas besoin de Java, supprimez le de votre poste. Microsoft de son côté se contente d'exhorter les utilisateurs de mettre à jour leur machine.
Désormais sous surveillance, Facebook a reconnu ses tromperies
Facebook a accepté de prendre en compte les accusations de la Federal Trade Commission, qui estime que le réseau social a trompé les utilisateurs « à de nombreuses reprises, » affirmant d'un côté que les informations privées de leurs utilisateurs étaient protégées, alors que, d'un autre, le réseau les a partagé plusieurs fois, comme l'a déclaré la FTC. L'institution américaine a relevé que dans un « certain nombre de situations, » Facebook avait fait, en matière de protection de la vie privée des utilisateurs, des promesses « qu'elle n'avait pas tenu, » a ajouté la FTC dans son communiqué.
Dans sa plainte en huit points, rendue publique mardi, la Commission accuse aussi le site de pratiques commerciales déloyales et trompeuses. « Facebook doit tenir les promesses qu'elle a faites à des centaines de millions d'utilisateurs, en matière de confidentialité des données, » a déclaré Jon Leibowitz, président de la FTC. « Son innovation n'a pas à se faire au détriment de la vie privée de l'utilisateur. La FTC va faire en sorte que cela ne soit pas le cas. »
Une surveillance similaire à Google
En vertu de l'accord proposé, Facebook ne doit plus faire de nouvelles annonces trompeuses en matière de confidentialité, et l'entreprise a obligation d'obtenir l'approbation des utilisateurs avant de modifier la manière dont le réseau partage leurs données. Le règlement proposé par la FTC exige également qu'elle se soumette à l'évaluation régulière de ses pratiques en matière de protection de la vie privée, par des experts indépendants, pendant les 20 prochaines années. « L'accord ne comporte pas de sanctions financières, parce que la Commission n'a pas le pouvoir d'infliger des amendes pour violation du FTC Act, » a précisé son président.
« Cependant, dans le cas où Facebook ne respecterait pas ces nouveaux engagements, le réseau social pourrait être soumis à une amende de 16 000 dollars par jour, » a-t-il ajouté. « L'accord exige que le site de réseau social mette en place un système de protection global, » a aussi expliqué Jon Leibowitz. L'accord proposé est semblable à celui conclu entre la FTC et Google au mois de mars dernier au moment du déploiement du réseau social Buzz.
Un mea culpa de Mark Zuckerberg sur quelques erreurs
Mark Zuckerberg, le fondateur de Facebook, a reconnu que son entreprise avait commis « plusieurs erreurs » en matière de protection de la vie privée des utilisateurs. « En particulier, un petit nombre de grosses erreurs, comme Beacon, il y a quatre ans, et les dysfonctionnements survenus lorsque nous avons changé nos modalités de protection de la vie privée il y a deux ans. Celles-ci ont occulté les nombreux efforts que nous avons réalisé en ce domaine, » a-t-il écrit dans un blog. Beacon avait été conçu pour informer les amis d'un utilisateur sur les sites affiliés qu'il avait lui-même visités.
[[page]]
Dans l'ensemble, Mark Zuckerberg estime que sa société « peut faire valoir un certain nombre de choses positives en matière de transparence et de contrôle et dire qui peut ou non voir les informations des utilisateurs. » Par ailleurs, le patron du réseau social pense que sa société a déjà pris en compte un bon nombre des préoccupations soulevées par le régulateur américain. » Selon lui, « la plainte de la FTC visait notamment le Verified Apps Program, auquel a mis fin le réseau social en décembre 2009. Il y a aussi l'affaire des annonceurs, qui ont reçu par inadvertance le numéro d'identification de certains utilisateurs dans des URL, un problème que Facebook a résolu en mai 2010, » a t-il déclaré. Par ailleurs, le fondateur a annoncé la nomination de deux dirigeants, un responsable de la politique de protection des données privées et un responsable de la politique de protection des produits.
La FTC est revenue dans le détail sur plusieurs cas où elle estimait que le site de réseau social avait adopté des pratiques de confidentialité déloyales à l'égard des utilisateurs. En décembre 2009, lors de la modification de son site, elle avait rendu publiques certaines informations, pourtant estampillées comme privées par les utilisateurs, la liste d'amis notamment. « Le réseau social n'avait pas prévenu les utilisateurs de ce changement à venir, et n'avait pas non plus demandé leur approbation, » comme l'a rappelé la FTC.
Facebook avait également affirmé que les applications tierces installées par les utilisateurs auraient uniquement accès aux informations de l'utilisateur dont elles avaient besoin pour fonctionner. « En fait, les applications pouvaient accéder à la quasi-totalité des données personnelles des utilisateurs, y compris des données dont les applications n'avaient pas besoin pour fonctionner, » a encore expliqué l'agence américaine. Facebook avait aussi indiqué à ses utilisateurs qu'ils pourraient restreindre le partage des données à un public limité, par exemple « les amis seulement. » Mais, le fait de sélectionner les « amis seulement » n'a pas empêché que ces informations soient partagées avec des applications tierces utilisées par leurs amis, » a encore ajouté la FTC.
L'UE veut uniformiser les règles de protection des données
La commissaire européenne en charge de la justice Viviane Reding a déclaré que les autorités de protection des données dans l'Union Européenne devaient avoir davantage de pouvoirs pour faire appliquer les règles de confidentialité dans les 27 Etats membres. Dans un discours prononcé à la Chambre de commerce américaine auprès de l'Union européenne, elle a indiqué que les entreprises qui opéraient dans plusieurs États membres étaient actuellement contraintes de se conformer à 27 interprétations différentes de la législation sur la vie privée. Elle a ajouté que le fardeau administratif associé à cette fragmentation coûtait aux entreprises une somme estimée à 2,3 milliards d'euros par an.
«Les entreprises ont besoin d'un guichet unique quand il s'agit de questions sur la protection des données, et d'une loi et d'une seule autorité de protection des données pour chaque entreprise ; celle de l'État membre dans lequel elles ont leur siège social », a t-elle estimé. Les déclarations de Viviane Reding interviennent alors que la Commission européenne se prépare à réformer la directive de 1995 relative à la protection des données afin d'aborder les nouvelles questions soulevées par la publicité en ligne, les réseaux sociaux et le cloud computing. Cela aura un effet majeur sur la façon dont les questions de confidentialité des données sont traitées dans l'Union européenne et dans d'autres pays.
Publication d'une directive en février 2012
La directive comportera des mesures pour empêcher les réseaux sociaux tels que Facebook d'être trop indiscrets vis à vis de leurs membres en rassemblant des informations sur leurs goûts, leurs intérêts, leurs opinions politiques et leurs convictions religieuses, afin de procéder à des publicités ciblées. Les entreprises devront informer les usagers du type des données les concernant qui ont été collectées, à quelles fins, et comment elle sont stockées.
Les déclarations de Viviane Reding succèdent aux appels de l'Industry Coalition for Data Protection (ICDP) qui souhaite établir un cadre cohérent et harmonisé pour la protection des données dans l'UE. L'ICDP, qui rassemble onze associations de l'industrie, y compris la Business Software Alliance et DigitalEurope, estime que cette approche permettra de préserver le droit fondamental des citoyens sur leur vie privée.
«La révision des règles de protection des données dans l'UE devrait renforcer l'harmonisation et la sécurité juridique et contribuera à établir un marché unique pleinement opérationnel » a considéré John Higgins, directeur général de DigitalEurope qui s'exprimait au nom de l'ICDP. Il a ajouté que, pour stimuler l'innovation et permettre à l'UE de respecter les promesses en termes de croissance et d'emploi, l'Europe devait encourager les entreprises à concourir sur la scène mondiale en rationalisant et en simplifiant les règles internationales de transfert de données.
La nouvelle directive sur la protection des données devrait être publiée en février 2012. Elle pourra également inclure des dispositions plus strictes, telles que des sanctions pénales, et la possibilité pour des groupes d'utilisateurs d'intenter des procès.
(...)
Un Trojan envoie des SMS surtaxés depuis des mobiles Android
Ce type de Trojan chargé d'envoyer des messages SMS ou d'initier des appels vers des numéros surtaxés, a d'abord été conçu pour la plateforme Symbian de Nokia et les OS mobiles basés sur Java. Il a été aussi essentiellement localisé en Chine ou en Russie depuis plusieurs années. Cependant, la propagation rapide de terminaux sous Android, combinée à l'ouverture de la plateforme mobile de Google, a attiré les auteurs de malware, les incitant à piéger de nouvelles victimes sur ce marché du smartphone.
Jusqu'au début de cette année, la grande majorité des chevaux de Troie Android, repérés ici et là, ciblaient surtout des utilisateurs chinois et russes. Principalement parce que l'installation d'applications provenant de sources non officielles est très répandue dans ces pays-là. Néanmoins, comme le fait remarquer Denis Maslennikov, analyste senior spécialisé dans les malwares chez Kaspersky Lab, « ces derniers mois, les auteurs de logiciels malveillants ciblant la plate-forme Android se sont tournés vers le marché international. » Le nouveau cheval de Troie pour Android découvert par Kaspersky porte le nom de Trojan-SMS.AndroidOS.Foncy. Et, à en juger par les divers témoignages publiés en ligne par les victimes, celui-ci a fait son apparition dans le courant du mois de septembre. « Le malware se présente comme une application de gestion des messages SMS, et est distribué via des sites d'hébergement de fichiers, » indique l'analyste. Une fois installée sur un périphérique, l'application envoie quatre faux messages texte à des numéros préenregistrés et surtaxés en France, en Belgique, en Suisse, au Luxembourg, en Allemagne, en Espagne, au Royaume-Uni et au Canada, selon le pays où a été émise la carte SIM.
Un moyen simple de faire de l'argent
Lorsqu'ils ont analysé le cheval de Troie, les experts de Kaspersky ont remarqué que le code responsable de l'envoi de messages texte non autorisés au Canada était cassé. Mais les auteurs du malware ont peut-être corrigé ce bout de code dans les versions plus récentes. « Aujourd'hui, malheureusement, les Trojan SMS sont un moyen simple pour les cybercriminels de se faire rapidement et facilement de l'argent, » a déclaré Denis Maslennikov dans un blog. « L'utilisation frauduleuse des services SMS surtaxés se répand partout dans le monde, et je suis sûr que cela ne va pas s'arrêter de si tôt, » a-t-il ajouté.
Malgré des incidents comme celui-ci et les nombreuses mises en garde de spécialistes de la sécurité, affirmant que le nombre de chevaux de Troie pour Android est en augmentation rapide, tout le monde n'a pas l'air convaincu que le système d'exploitation mobile de Google pose un problème en matière de malware. Il y a une semaine, Chris DiBona, responsable des programmes Open Source de Google, a accusé les vendeurs d'antivirus d'utiliser la peur pour vendre des logiciels de sécurité « inutiles » pour Android. Les experts en sécurité sont en désaccord avec l'évaluation du développeur de Google et estiment que, même si les chevaux de Troie pour Android n'ont pas encore prouvé leur capacité d'auto-réplication, leurs diverses intrusions sur l'Android Market officiel suffisent à en faire une réelle menace.
(...)(29/11/2011 12:09:12)Twitter rachète Whisper Systems, pour sécuriser les smartphones Android
En mettant la main sur Whisper Systems, un spécialiste des solutions de sécurité pour les smartphones sous Android, le site de micro-blogging Twitter renforcera ses options de sécurité mobile. L'offre de l'éditeur se compose de WhisperCore, un logiciel qui procède au chiffrement complet de la mémoire du disque ainsi que d'outils de gestion pour les téléphones Android. Gratuites pour les particuliers, ces applications sont payantes pour les clients professionnels
Les autres solutions développées par Whisper Systems incluent le cryptage de texte et de la voix, des logiciels pare-feu et de la sauvegarde chiffrée.
Dans un billet de blog consacré à cette acquisition, l'éditeur n'expose pas ce que Twitter fera de sa technologie. Il y indique simplement que ses logiciels continueront à être disponibles, mais que ses produits et services seront hors ligne au cours de la période de transition. Sur un forum du site de Whisper Systems, les utilisateurs n'étant apparemment pas au courant de l'acquisition se sont déjà demandés pourquoi ils ne pouvaient pas télécharger ces produits.
Déverrouillage via les empreintes de doigts
De son côté, Twitter n'a pas fait de commentaires sur les projets qui découleront de cette acquisition. Whisper Systems possède un certain nombre de caractéristiques conçues pour compenser les faiblesses de sécurité d' Android. Ses utilisateurs peuvent par exemple révoquer de manière sélective les autorisations que demandent une application, en continuant à utiliser l'app.
Le logiciel inclut également une fonctionnalité visant à contrecarrer une personne qui a volé un téléphone en déterminant un code de déverrouillage du téléphone basé sur des traces de doigts sur l'écran. Certains téléphones Android affichent des lignes de points et ils peuvent être déverrouillés lorsque l'utilisateur glisse un doigt sur certains points. Or, un attaquant pourrait être en mesure de recréer le modèle en examinant les traces de doigts sur l'écran. Parce que WhisperCore affiche un code dans une colonne, le voleur ignore dans quel ordre sont placés les chiffres pour pouvoir déverrouiller le téléphone.
Il y a quelques mois, Whisper Systems avait publié un kit de développement logiciel afin que les développeurs puissent commencer à bâtir quelques fonctionnalités de WhisperCore dans leurs applications.
Peu d'entreprises procèdent à du chiffrement complet du disque pour Android, et il existe de nombreuses autres approches relatives à la sécurisation des téléphones sous cet OS. Des groupes comme 3LM et Good Technology proposent des services de sécurité mobile pour les entreprises. En outre, les produits de gestion de terminaux mobiles développés par des firmes comme Sybase, BoxTone, Zenprise, MobileIron ou Fiberlink laissent les responsables sécurité définir les politiques de base comme l'obligation du mot de passe et l'effacement à distance, et offrent également d'autres fonctionnalités liées à la sécurité.
(...)
Plug-in pour navigateurs: les entreprises pas très à jour
Dans un rapport basé sur les propres outils de l'entreprise, Zscaler a comptabilisé le nombre d'ordinateurs où les plug-in pour navigateur ne sont plus à jour : dans son classement, la place de cancre revient au plug-in Shockwave d'Adobe, obsolète pour 94,2% des ordinateurs sur lesquels il est installé, suivi par Java avec 70%, puis par Adobe Reader avec 65,8%, Quicktime avec 42,5%, et les add-ons du navigateur Outlook avec 19,8%.
Pour ce qui est du contexte, le trafic d'entreprise http/https est toujours dominé par Internet Explorer qui en tient 58% des parts, suivi par Firefox, avec près de 11%, et Safari, qui fait une entrée inattendue, avec 7%. Les plug-in eux-mêmes génèrent 23% de ce trafic. Et c'est là où commencent certains ennuis. Parmi les plug-in les plus populaires, Flash, que l'on trouve installé sur 94,4% des PC, occupe la première place, suivi par Windows Media Player avec 87%, Adobe Reader avec 84,7% et Outlook avec 84,2%. « Au vu de ces statistiques, il est clair que la plupart des entreprises ont peu de contrôle sur le type de plug-in et la version en cours d'utilisation par leurs salariés, » déclarent les auteurs. Les navigateurs Internet eux-mêmes ne sont pas nécessairement mis souvent à jour. L'étude montre que 24,2% des utilisateurs d'IE utilisent encore les version 6.x et 7.x du navigateur de Microsoft, et moins de 2% utilisent la dernière version, 9.x.
D'autres études confortent ces chiffres
Bien que l'évaluation n'a porté que sur une seule entreprise, ces chiffres sont corroborés avec d'autres statistiques qui se sont intéressées à la question des plug-in intégrés aux navigateurs Internet des entreprises. Par exemple, en juillet dernier, Qualys, une entreprise qui travaille sur la vulnérabilité, a constaté que Java était un maillon faible particulier de la chaîne, établissant que le plug-in était obsolète sur 40% des ordinateurs. Comparé au dernier rapport Q2 2011 sur l'état du web de Zscaler, les chiffres établis cette fois semblent marquer une forte fluctuation pour certains plug-in. Au second trimestre, Shockwave était obsolète sur seulement un tiers des ordinateurs sur lesquels il avait été installé, contre plus de 90% aujourd'hui. Compte tenu du cycle de mise à jour rapide adopté par certains éditeurs comme Adobe, on peut penser, à tort, que ces ordinateurs sont plus vulnérables en données absolues, puisque les entreprises qui mettent à jour leurs plug-in moins souvent ont, par définition, plus de chances d'avoir des versions périmées.
Dans un autre chapitre de son rapport, Zscaler enregistre un bond dans l'usage d'Android en entreprise. La plate-forme représente désormais 40,3% des transactions du client Internet dans le Cloud de l'entreprise, devançant BlackBerry, jusque là favori du secteur professionnel, qui occupe 37,2% des transactions et iOS, 22,3% seulement. Mais, sur la période, l'application la plus utilisée du Web 2 .0 a été Facebook, qui a capté près de 50% des usages. « Malgré cette popularité, la tendance à long terme de l'usage de Facebook au sein des entreprises semble être à la baisse, » estime néanmoins Zscaler dans son rapport.
(...)| < Les 10 documents précédents | Les 10 documents suivants > |