Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 231 à 240.
| < Les 10 documents précédents | Les 10 documents suivants > |
(28/10/2011 16:57:50)
Recap IT : Changements chez IBM et HP, la revanche de Samsung et Android, Floraison sécuritaire
La semaine a été très animée sur le plan économique et stratégique pour les acteurs de l'IT. Oracle a ouvert le bal en annonçant l'acquisition de RightNow pour la somme de 1,5 milliard de dollars. La firme de Redwood entend bien concurrencer Salesforce.com dans le domaine du CRM en mode cloud. Sur le plan des acquisitions, on peut souligner l'intérêt de Quest Software et de Citrix pour les solutions d'aide à la migration applicative, avec les rachats respectifs de ChangeBase et App-DNA.
IBM a créé la surprise en annonçant la nomination de Virgina Rometty au poste de CEO. Elle prendra son poste le 1er janvier prochain, il s'agit de la première fois que Big Blue nomme une femme à ce poste. Toujours dans les changements, mais cette fois sur le plan stratégique, Meg Whitman, PDG d'HP a décidé de ne pas céder, ni filialiser l'activité PC du groupe, comme cela avait été prévue par son prédécesseur Leo Apotheker.
Samsung et Android au plus haut face à Apple
Les rapports de force seraient-ils en train de changer dans la téléphonie mobile ? Deux informations laissent à penser qu'Apple a eu une petite faiblesse au troisième trimestre 2011. En effet, Samsung a dépassé la firme de Cupertino, mais aussi Nokia sur le nombre de smartphones vendus pendant cette période. Même sur le téléchargement des applications, Android passe devant iOS. En tout cas, l'usage des smartphones ne se dément pas en générant 5% du trafic Internet des grands pays européens. Il reste que ce marché est devenu très concurrentiel et certains acteurs ont décidé de jeter l'éponge. Ericsson a décidé de revendre à son partenaire Sony ses parts de leur entreprise commune.
Bouquet sécuritaire
Une ribambelle de vulnérabilités est venue égayer cette semaine de pré-Toussaint. Ainsi, des pirates allemands ont dévoilé lundi un outil d'attaque par déni de service en contournant le protocole SSL. Puis c'est au tour des télécoms en entreprise d'être considérées comme le maillon faible de la sécurité et les intégrateurs/opérateurs demandent de l'aide auprès du ministère de l'intérieur. Skype et Facebook ne sont pas épargnés avec des failles importantes. Le malware Duqu a été aperçu en Iran et au Soudan. Des chercheurs ont aussi réussi à pirater le cloud d'Amazon via une encapsulation XML. Le XML a d'ailleurs vu son chiffrement compromis.
Les éditeurs de sécurité tentent d'apporter des réponses à ces différents problèmes. Ainsi, Checkpoint a présenté un serveur logiciel dédié à lutter contre les botnets. MacAfee de son côté a détaillé sa collaboration avec Intel.
Des failles majeures sur Facebook et sur Skype
Nathan Power teste les niveaux de sécurité de différentes sociétés pour le compte du cabinet de consultant CDW. Il a découvert une vulnérabilité sur Facebook et l'a signalé au site le 30 septembre dernier. La faille a été publiée sur son blog hier et Facebook a reconnu le problème.
Natahan Power écrit que Facebook n'autorise pas l'envoi d'une pièce jointe exécutable via l'onglet « Message ». Si on essaye quand même, le site indique « erreur de téléchargement : Vous ne pouvez pas joindre des fichiers de ce type. » Le spécialiste de la sécurité indique qu'en analysant la navigation dans « Message » envoyée aux serveurs de Facebook, il a découvert une variable appelée « filename » qui scanne le fichier pour l'autoriser ou non. En modifiant simplement cette requête avec un espace juste après le nom du fichier, un exécutable peut être joint à un message. « Ce fut assez pour tromper l'analyseur » souligne Nathan Power. Le danger est qu'un pirate puisse utiliser des techniques d'ingénierie sociale (usurpation d'identité, piratage de compte) pour amadouer une personne et lui faire distribuer la pièce jointe, ce qui pourrait potentiellement infecter les ordinateurs avec des logiciels malveillants.
L'Inria détecte une faille dans Skype
Le laboratoire de recherche français, l'INRIA, en collaboration avec l'Institut Polytechnique de New York a découvert une faille de sécurité dans le logiciel de téléphonie IP, Skype. Selon les chercheurs Steven Leblond, Arnaud Legout et Walib Dabbous, cette vulnérabilité permettrait de « localiser géographiquement les utilisateurs de Skype grâce à leurs adresses IP ainsi qu'accéder aux fichiers qu'ils auraient téléchargés via des logiciels d'échange Peer-to-Peer ». Dans la pratique, un pirate pourrait utiliser les appels Skype pour créer une passerelle avec les utilisateurs ciblés. Pour les chercheurs même « un appel refusé, permet d'accéder à l'adresse IP du client et à ses activités sur le réseau Internet. Les paramètres de sécurité de Skype ne sont pas capables de bloquer ces connexions dont les utilisateurs ne soupçonnent souvent pas l'existence. » Le laboratoire de recherche indique travailler avec Microsoft pour l'élaboration d'un correctif.
(...)(28/10/2011 10:50:38)McAfee détaille ses collaborations avec Intel
Filiale autonome d'Intel depuis son rachat en aout 2010, McAfee a commencé à travailler dans cinq domaines avec le fondeur de Santa Clara, notamment dans la sécurisation des plates-formes mobiles et dans le cloud. De passage en région parisienne - le 27 octobre à Coeur Défense - pour une journée « Focus11 » dédiée aux clients et partenaires, George Kurtz, CTO de McAfee, a expliqué que la création de ce programme a été influencée par l'évolution des menaces. « Trois tendances ont émergé, » a-t-il indiqué. « La première est la hausse continue des logiciels malveillants. Selon les statistiques de McAfee, 66 000 morceaux de nouveaux malwares sont détectés quotidiennement, contre 22 000 par jour en 2010. La connectivité entre les terminaux mobiles et les menaces de sécurité que cela pose, telles que l'interception des données des smartphones, et la conservation des informations stockées dans un cloud public ont été les deux autres tendances.
La première collaboration entre les deux compagnies porte sur une plate-forme baptisée ePolicy Orchestrator (ePO). Cette dernière est utilisée pour une grande variété de tâches, notamment les mises à jour des terminaux et la protection des serveurs. Les administrateurs peuvent ainsi savoir à distance si un PC est allumé, en utilisant ePO Deep Command. Cet outil d'administration permet de corriger à distance les systèmes compromis, de les réveiller si besoin pour appliquer les patchs de mise à jour. Il est destiné aux clients qui possèdent des PC équipés de puce Intel Core i5 et i7.
Renforcer la sécurité des clouds et des mobiles
Deuxième domaine sur la liste des collaborations, celle de McAfee et d'une autre filiale d'Intel, Wind River, spécialisée les logiciels pour mobiles et systèmes embarqués. Les deux sociétés se sont concentrées sur le suivi de l'intégrité, le contrôle des modifications et l'intégration au GTI [Global Thread Intelligence, la remontée d'alertes vers les serveurs de McAfee] pour la remontée d'informations sur les menaces pour les combiner aux machines qui utilisent les solutions de Wind Rver comme les DAB et les équipements médicaux.
Vient ensuite la sécurisation des appareils mobiles, tels que les smartphones. Intel et McAfee ont commencé à collaborer dans des domaines tels que la sécurisation des systèmes d'exploitation, la gestion des identités et le contrôle de l'intégrité des applications.
Le quatrième domaine tourne autour de la sécurité des clouds public et privé. Selon
le CTO, les deux sociétés travaillent sur une plate-forme d'authentification des utilisateurs, des terminaux et des applications qui pourra également se combiner à GTI pour la remontée d'alertes.
Stéphane Nègre, directeur général d'Intel France
Intégrer du code sécurité au silicium
Enfin, les deux compagnies travaillent de concert pour exploiter les fonctionnalités sécurité des processeurs Intel. McAfee se penche actuellement sur la question sans détailler quelles caractéristiques des puces seront utilisées. Des concurrents directs de McAfee se montrent toutefois sceptiques quand aux possibilités d'exploiter le code inséré dans le silicium. Enrique Salem, CEO de Symantec, nous avait confié en septembre dernier lors de la manifestation Vision 2011 à Barcelone, qu'Intel n'avez pas intérêt à favoriser une de ses filiales au détriment de partenaires de longue date. Le même dirigeant estimait qu'Intel restait avant tout un fondeur que le développement logiciel était un monde à part. Lors de la journée Focus11, Stéphane Négre, directeur général d'Intel France, soutenait au contraire que le fondeur était devenu un acteur important dans le monde du logiciel et employait aujourd'hui près de 15 000 personnes dans le monde pour développer du code. Quoi qu'il en soit Intel a bien compris que la sécurité était devenue un enjeu primordial dans les entreprises et le rachat de McAfee est une des briques de la solution du fondeur.
Illustration principale : George Kurtz, CTO de McAfee
Les télécoms en entreprise sont un maillon faible de la sécurité
Les entreprises se font pirater leurs lignes à l'international à destination de pays d'Afrique, d'Asie ou des Balkans. Dans un cas, c'est l'Afghanistan. Alerté l'opérateur de l'entreprise coupe les appels vers ce pays, trois jours après elle est piratée vers le Timor ! (facture : 32 000 euros !). L'entreprise est pénalisée, gravement, et son opérateur reste impuissant. Avec le Minitel, on pouvait couper, là on ne peut pas interdire l'international. Quant à la facture ... un cas relevé par la Ficome se monte à 600 000 euros.
Plus inquiétant encore, les télécoms servent aux pirates à s'introduire dans le système d'information de l'entreprise. « On constate une méconnaissance des risques liés aux systèmes télécoms » note Guy Têtu, délégué général de la Ficome, « l'informatique s'est développée avec ses règles de sécurité, mais personne n'a vu que les autocoms sont devenus de véritables ordinateurs avec des disques durs. Ce sont des passerelles vers le système d'information. On se retrouve maintenant avec des entreprises qui, soit ignorent les politiques de sécurité, soit observent une politique qui s'arrête aux systèmes information et ne concerne pas les télécoms ».
Silvano Trotta reçu à sa demande
Que faire ? Le président de la Ficome, Silvano Trotta, a été reçu, à sa demande, par la Befti, la Brigade d'enquête sur les fraudes aux technologies de l'information, une unité spécialisée de la Préfecture de Police de Paris, pour évoquer un partenariat en échangeant sur cette situation préoccupante afin de résoudre cette problématique.
La Ficome va centraliser les demandes faites aux constructeurs de matériels pour renforcer la sécurité de ces derniers, ainsi qu'aux opérateurs pour augmenter le niveau d'alerte tout en continuant d'organiser les séminaires de sécurité avec le concours de la Befti de la Préfecture de Police qui est prête à intervenir afin d'apporter ses témoignages, ses expériences et ses conseils.
« Sur Internet existe tout ce qui est nécessaire pour pirater une entreprise », souligne Guy Têtu. Un vide juridique qui répond au vide des politiques de sécurité pour les télécoms. La Ficome conseille ainsi de vérifier si toutes les fonctionnalités sont bien utiles aux utilisateurs (messagerie vocale, renvois d'appel, accès à l'international, etc.), si ces mêmes utilisateurs observent les règles de sécurité de leurs terminaux télécoms (identifiants et mots de passe), si l'entreprise procède à des audits réguliers pour ses télécoms et s'est assurée pour ce type de fraude.
Le malware Duqu repéré en Iran et au Soudan
L'éditeur de solutions de sécurité Kaspersky Labs a détecté que le malware Duqu avait contaminé des équipements informatiques au Soudan, mais aussi et surtout en Iran, ce dernier pays ayant été la cible principale de son prédécesseur, le cheval de Troie Stuxnet. Duqu a fait une entrée remarquée dans le secteur de la sécurité IT la semaine dernière lorsque le laboratoire de recherche hongrois Crysys a partagé son analyse de la menace avec les grands éditeurs d'antivirus dans le monde.
Considéré comme très proche du ver Stuxnet, conçu pour des actions de sabotage industriel et dont il emprunte le code et les fonctionnalités, Duqu se présente comme un framework flexible de diffusion de malwares, utilisé pour l'exfiltration de données. Il comprend deux modules dont le principal est constitué de trois composantes : un logiciel pilote qui insère une DLL (bibliothèque dynamique) dans le système, cette dernière établissant la communication entre le serveur de commande et de contrôle (C&C) et le système pour enregistrer dans le registre ou exécuter des fichiers, et, enfin, un fichier de configuration. Le module secondaire est un logiciel espion qui enregistre les informations saisies sur le poste.
Le premier échantillon de ce malware a été montré au service VirusTotal le 9 septembre en Hongrie. Depuis, Kaspersky Lab en a identifié plusieurs variantes, certaines ayant été créées le 17 octobre et trouvées sur des ordinateurs au Soudan et en Iran. « Nous savons qu'il y a au moins 13 fichiers pilotes différents », ont indiqué les chercheurs de Kaspersky qui ajoutent n'en avoir trouvé que six.
Des incidents différenciés les uns des autres
Quatre incidents ont été détectés en Iran. Chacun d'eux est intéressant à sa façon, en dehors du fait qu'ils se sont produits dans un pays qui a été la première cible de Stuxnet. Dans un cas, deux ordinateurs infectés ont été localisés sur le même réseau, l'un d'eux recelant deux pilotes différents de Duqu. Dans un autre cas, le réseau auquel étaient raccordés les ordinateurs affectés a enregistré deux attaques qui ciblaient une faille exploitée à la fois par Stuxnet et par le ver Conficker.
Les chercheurs ne savent pas encore comment Duqu a atteint les systèmes ciblés. Par conséquent, ces attaques pourraient fournir une indication sur la façon dont l'infection s'est produite. « Duqu est utilisé pour des attaques dirigées vers des victimes soigneusement sélectionnées », selon Kaspersky. Toutefois, il n'y a pas d'élément permettant de dire que les victimes ont un lien avec le programme nucléaire iranien, comme c'était le cas avec Stuxnet, ou avec les autorités de certification (Certificate Authorities/CAs), comme pour les autres attaques en Iran, ni même avec d'autres industries particulières, comme le suggèrent certaines informations.
Des noms et des empreintes différentes
Il a par ailleurs été découvert que chaque infection Duqu est unique et que ses composantes présentent des noms et des empreintes différentes. « L'analyse du pilote igdkmd16b.sys montre une nouvelle clé de codage, ce qui signifie que les méthodes de détection existante de fichiers PNF (la DLL principale) sont inexploitables. Il apparaît évident que la DLL est encodée différemment dans chacune des attaques », ont spécifié les chercheurs de Kaspersky.
L'architecture de Duqu étant très flexible, celui-ci peut lui-même se mettre à jour, changer de serveur de contrôle et installer d'autres composants à n'importe quel moment. En fait, Kaspersky n'a trouvé le module espion d'origine sur aucun des systèmes infectés, que ce soit au Soudan ou en Iran. Cela signifie qu'il était encodé différemment, ou bien qu'il a été remplacé par un autre. « Nous ne pouvons pas écarter que le serveur C&C identifié en Inde ait été utilisé uniquement pour le premier incident connu [...] et qu'il y ait un serveur C&C pour chacune des cibles, en incluant celles que nous avons trouvées », ont également mentionné les chercheurs de Kaspersky. Ils pensent aussi que les personnes qui se trouvent derrière Duqu réagissent à la situation et ne vont pas s'arrêter. La chasse aux informations se poursuivant, de nouveaux éléments devraient être prochainement découverts.
Illustration : Les experts de Kaspersky présentent les éléments récupérés après certaines des attaques effectuées par Duqu en Iran (source : blog de securelist.com)
Des failles de sécurité préoccupantes dans les clouds
Des chercheurs allemands, qui affirment avoir trouvé des failles de sécurité dans Amazon Web Services, pensent que celles-ci se retrouvent dans de nombreuses architectures cloud. Selon eux, ces vulnérabilités permettraient aux attaquants de s'octroyer des droits d'administration et d'accéder à toutes les données utilisateur du service. Les chercheurs ont informé AWS de ces trous de sécurité et Amazon Web Services les a corrigés. Néanmoins, ceux-ci estiment que, « dans la mesure où l'architecture cloud standard rend incompatible la performance et la sécurité, » de mêmes types d'attaques pourraient réussir contre d'autres services cloud.
L'équipe de chercheurs de la Ruhr-Universität Bochum (RUB) a utilisé diverses attaques d'encapsulation de signature XML (XML signature-wrapping) pour gagner l'accès administrateur aux comptes clients. Ils ont pu ensuite créer de nouvelles instances cloud au nom du client, puis ajouter et supprimer les images virtuelles. Dans un exploit distinct, les chercheurs ont utilisé des attaques de type « cross-site scripting » ou XSS contre le framework Open Source du cloud privé Eucalyptus. Ils ont également constaté que le service d'Amazon était vulnérable aux attaques de type XSS. « Ce problème ne concerne pas que le service d'Amazon», a déclaré l'un des chercheurs, Juraj Somorovsky. « Ces attaques concernent les architectures cloud en général. Les clouds publics ne sont pas aussi sûrs qu'on le croit. Ces problèmes pourraient très bien se retrouver dans d'autres frameworks cloud, » a-t-il expliqué.
Renforcer la sécurité XML
Juraj Somorovsky a indiqué par ailleurs que les chercheurs travaillaient sur des bibliothèques haute-performance qui pourront être utilisées avec la sécurité XML pour supprimer la vulnérabilité exploitable par des attaques d'encapsulation de signature XML. Celles-ci devraient être prêtes l'année prochaine. Ces bibliothèques s'appuient sur le mécanisme d'attaques de type « signature-wrapping » mis en évidence par les chercheurs de la Ruhr-Universität Bochum dans l'Amazon Web Service qu'ils sont parvenus à corriger. « Aucun client n'a été affecté, » a déclaré par mail un porte-parole d'AWS. « Il est important de noter que cette vulnérabilité potentielle impliquait un très faible pourcentage de tous les appels API AWS authentifiés qui utilisent des points de terminaison non-SSL. Cette vulnérabilité n'est pas disséminée, comme cela a été rapporté. »
AWS a posté une liste des meilleures pratiques en matière de sécurité, laquelle, si elle est suivie, aurait protégé les clients contre les attaques imaginées par l'équipe de chercheurs de l'université allemande, et contre d'autres attaques également.
Crédit photo : D.R.
(...)(27/10/2011 12:04:04)
Checkpoint part en chasse contre les botnets
Checkpoint a profité de son 3D Security Tour à Paris pour faire quelques annonces. Le spécialiste de la sécurité a ainsi présenté une extension de son châssis haut de gamme, le 61000. Dévoilée au mois d'août dernier, cette passerelle peut embarquer jusqu'à 12 serveurs en étant capable de gérer des débits de 200 Gbt/s sur une instance de pare-feu unique, ainsi qu'un IPS avec du trafic jusqu'à 85 Gbt/s. Les extensions annoncées concernent la possibilité d'intégrer des solutions de DLP, mais aussi le serveur lame anti-botnet.
La prévention des botnets
La réelle innovation réside dans ce serveur lame (Blade Software) qui est capable de protèger les entreprises contre les botnets, mais aussi les menaces persistantes avancées (APT). L'appliance comprend un moteur de détection baptisé Multi-tier ThreatSpect. Il analyse le trafic sur chaque passerelle, identifie plusieurs millions de types d'intrusions et démasque les botnets grâce à la corrélation de facteurs. Il propose ensuite des solutions de blackhauling (blocage de la communication et mise en quarantaine des échanges corrompus). Amnon Bar-Lev, PDG de Checkpoint constate que « la plupart des entreprises qui ont essayé notre solution ont trouvé des postes de travail infectés ». Cette aplliance sera intégrée dans les différentes passerelles du spécialiste de la sécurité et sera disponible au 1er trimestre 2012.
(...)(25/10/2011 16:11:05)Des pirates créent un outil DDOS capable de contourner le protocole SSL
L'outil dévoilé par un collectif de pirates allemands baptisés Hackerschoice s'appelle THC-SSL-DOS et s'appuie sur une faille rarement utilisé, mais largement disponible, dans le protocole SSL appelée renégociation SSL. Cette vulnérabilité un peu ancienne (en 2009, un étudiant turc avait utilisé cette faille pour développer une attaque Man In The Middle et détourner des identifiants sur Twitter) permet aux serveurs de modifier la clé de chiffrement utilisé pour sécuriser une session sans avoir besoin d'interrompre la connexion, selon le THC. Elle est activée par défaut sur la plupart des serveurs. « Renégocier une clé physique est une idée stupide du point de vue du chiffrement », explique le groupe de hacker et d'ajouter « si vous n'êtes pas satisfait avec la négociation initiale de la clé, vous devez générer une nouvelle session et non pas renégocier ».
Les attaques par déni de services se traduisent par un volume très important de requêtes pour saturer les serveurs. Habituellement, cela nécessite que les attaquants soient proches de la cible pour une question de bande passante, ce qui explique pourquoi la plupart des attaques DOS sont exécutées de manière distribuée à partir d'un grand nombre d'ordinateurs. Cependant, dans le cas de THC-SSL-DOS, c'est différent car les serveurs SSL consomment beaucoup plus de ressources au cours des négociations SSL que les clients. L'outil présenté peut déclencher des milliers de renégociations via une connexion TCP unique.
Un simple ordinateur portable et une connexion DSL suffisent
The Hackerschoice estime qu'avec un ordinateur portable avec une connexion DSL standard, son outil peut concurrencer un serveur disposant d'un lien de 30 Gbt/s. « Le serveur ne peut gérer en moyenne que 300 sessions par seconde, soit la consommation de 10 à 25% du CPU de votre ordinateur portable», explique le groupe.
Ce type d'attaques n'est pas nouveau. En fait, les constructeurs connaissent le sujet depuis 2003 et, selon le THC, la méthode a été utilisée l'année dernière dans des attaques DOS contre MasterCard. Avec son outil, THC automatise le processus et souhaite que l'industrie prenne conscience du problème pour mieux sécuriser les serveurs.
Le groupe souligne que, même sans renégociation SSL activée, un pirate peut toujours utiliser le THC-SSL-DOS avec succès contre les serveurs. Toutefois, pour de telles attaques, il faudrait plus qu'un simple ordinateur portable.
La sécurité du chiffrement XML compromise
La norme XML Encryption est utilisée par de nombreuses entreprises, dont IBM, Microsoft et Red Hat, pour sécuriser les communications entre les services Internet. L'attaque mise au point par les deux chercheurs leur a permis de décrypter des données normalement sécurisées en DES (Data Encryption Standard) ou en AES (Advanced Encryption Standard), des modalités de cryptage qui utilisent l'enchaînement des blocs ou Cipher Block Chaining (CBC). Ceux-ci ont présenté leurs résultats de manière plus détaillée au cours de la dernière conférence ACM sur la sécurité informatique et les communications (Conference on Computer and Communications Security - CCS 2011) qui a consacré une session à la Cryptographie Appliquée.
Selon Jörg Schwenk qui enseigne le génie électrique et la technologie de l'information à la RUB, tous les algorithmes de cryptage de données préconisés dans la norme XML Encryption sont concernés par cette faiblesse. L'attaque consiste à envoyer des textes chiffrés modifiés au serveur et à analyser les erreurs pour obtenir des indices sur le cryptage. La même technique avait été utilisée par les chercheurs en sécurité Rizzo Juliano et Thai Duong dans leur attaque visant le Framework ASP.NET en utilisant une faille de type Padding Oracles Everywhere (POE). Cette vulnérabilité (CVE-2010-3332) permettait « aux attaquants de déchiffrer les cookies et d'extirper les statistiques, les mots de passe et les données des utilisateurs (comme le numéro de sécurité sociale), en fait tout ce qui est chiffré avec l'API du framework. » Cette faille de chiffrement leur a valu de remporter le Pwnie Award 2011 pour le meilleur bug côté serveur.
Plus récemment, les chercheurs ont fait la démonstration d'une attaque distincte contre les implémentations SSL/TLS (Secure Sockets Layer Security Layer/Transfer) qui utilisent le mode CBC, un peu comme ici. « Tous ces algorithmes sont vulnérables aux attaques, car ils utilisent le mode CBC. Donc toutes les implémentations de la norme devraient être affectées», a déclaré Jörg Schwenk, se référant aux recommandations relatives au XML Encryption.
[[page]]
Les chercheurs de l'université de Bochum ont envoyé une notification aux vendeurs concernés via la liste de diffusion du World Wide Web Consortium (W3C), l'organisation chargée de valider les standards. L'attaque a été testée avec succès contre les nombreuses implémentations utilisées par les entreprises qui ont répondu à l'enquête des chercheurs. « Microsoft est informé de la recherche sur un problème qui concerne toute l'industrie, et affectant certaines implémentations de la norme de chiffrement XML. Nous continuons à évaluer nos produits afin de déterminer les applications qui, le cas échéant, utilisent l'approche en question», a déclaré un porte-parole de Microsoft. Le géant du logiciel n'a pas encore de recommandations à faire à ce sujet. « Nous fournirons des conseils concernant la mise en oeuvre du XML de Microsoft pour les développeurs tiers, si nécessaire, » a-t-il ajouté.
Selon les chercheurs, il n'existe pas de solution simple pour résoudre ce problème et ils estiment que la norme doit être modifiée. Néanmoins, ils ont prévu de faire l'inventaire de contre-mesures possibles dans un futur document.
(...)(24/10/2011 11:00:13)Protection des données : divergences de vue entre Américains et Européens
Le litige opposant le préposé à la protection des données en Suisse (l'équivalent de la Cnil en France) à Google Street View n'est pas un cas isolé. Cette année, des affaires ont éclaté en Espagne à propos de pages indexées par Google contenant des informations personnelles, en Allemagne, à propos (encore) du floutage de Street View et au niveau européen à propos de la reconnaissance automatique des visages dans Facebook. Les gardiens de la sphère privée ne cessent par ailleurs de manifester leur mécontentement et leurs mises en garde envers les grands acteurs du web sur leur manière de collecter et d'exploiter les données de leurs utilisateurs. En mai dernier, Viviane Reding la Commissaire européenne en charge de la justice et des droits fondamentaux soulignait que ces entreprises ne sauraient se soustraire au droit européen sous prétexte qu'ils sont basés aux Etats-Unis ou que leurs données sont dans le cloud: «Un réseau social avec 200 millions d'utilisateurs en Europe doit se plier au droit européen».
Qu'elles soient légales ou verbales, ces tensions ont pour dénominateur commun d'opposer des acteurs du web majoritairement américains à des autorités de protection de la sphère privée européennes. Au point que plusieurs grands médias américains ont thématisé l'antagonisme croissant entre les conceptions de la sphère privée de part et d'autre de l'Atlantique, parlant même de «guerre d'internet à venir en Occident».
Des attitudes opposéesLes problèmes liés à la protection de la sphère privée ne sont l'exclusivité ni du web ni des entreprises américaines. Ces dernières années, le préposé à la protection des données suisse s'est ainsi intéressé à des pratiques aussi diverses que la vidéosurveillance dans les transports publics, les compteurs électriques intelligents et la cybersanté. De plus, la divulgation d'informations personnelles en ligne - contrainte ou intentionnelle, consciente ou non - entre dans les moeurs, y compris en Europe (voir lien).
Il n'empêche que l'attitude des législateurs et des usagers européens est beaucoup plus méfiante à l'égard des acteurs du web, que celle qui prévaut outre-Atlantique. Trois quarts des européens souhaitent par exemple disposer d'un droit à l'oubli, c'est-à-dire de la possibilité de supprimer toutes leurs données personnelles ou d'y attribuer une durée de vie. L'Union Européenne a d'ailleurs annoncé son intention de légiférer en la matière. Aux Etats-Unis, on insiste en revanche sur l'apport positif de l'information et de la transparence - la liberté d'expression du fameux premier amendement. Les dangers de la toile qui font débat concernent avant tout les actes malveillants et la protection des enfants et l'on préfère faire appel à la responsabilité des usagers et des fournisseurs de services, qu'à des lois contraignantes. Quelle est l'origine d'une si profonde divergence de vues? Deux études universitaires permettent d'y voir plus clair.
Crédit photo : D.R.
ICTJournal.ch
[[page]]
La première, intitulée «International Differences in Information Privacy Concern: Implications for the Globalization of Electronic Commerce», s'est intéressée à trois facteurs susceptibles d'expliquer les perceptions différentes à l'égard de la sphère privée: les valeurs culturelles, la pratique d'internet et la volonté des institutions politiques. En sondant 534 usagers dans 38 pays, les chercheurs ont découvert deux éléments d'explication. Tout d'abord, plus la culture d'un pays a une forte dimension individualiste, moins les personnes se sentent concernées par le caractère privé de leurs informations. D'autre part, les citoyens de pays disposant déjà de fortes régulations en matière de protection de la sphère privée sont plus favorables à davantage de régulations.
Dignité vs. liberté
Plutôt que d'interroger les utilisateurs, James Whitman, professeur de droit comparé à l'Université de Yale, s'est penché sur les différences de perception de ce qui est privé de part et d'autre de l'Atlantique. Il constate ainsi qu'il n'existe pas de conception universelle de la privacy. Les Européens s'offusquent par exemple des affaires privées médiatisées aux Etats-Unis - on peut penser à l'affaire récente de l'ancien patron du FMI - ou du fait que les Américains parlent librement de leur salaire. Aux Etats-Unis par contre, la nudité publique ou le fait que des inspecteurs publics puissent pénétrer dans un domicile privé sont vus comme hautement problématiques.
Pour le professeur de droit, ces différences s'expliquent dans la conception de la privacy. Chez les Européens, celle-ci serait avant tout une affaire de protection de la dignité personnelle. Les personnes ont le droit de contrôler leur image publique et donc de décider qui voit quoi et quand sur leur compte, en particulier dans les médias. En revanche, pour les Américains, la privacy serait une question de liberté - de liberté contre l'Etat. La sphère privée étant considérée comme la liberté envers les possibles intrusions des gouvernements dans l'enceinte du domicile. «D'un côté, un vieux continent dans lequel il est fondamentalement important de ne pas perdre la face, de l'autre, un jeune continent dans lequel il est fondamentalement important de préserver le foyer comme une citadelle de souveraineté individuelle.» Une citadelle bien mise à mal par le Patriot Act et les attaques contre le secret bancaire, devrait-on ajouter.
| < Les 10 documents précédents | Les 10 documents suivants > |