Archives quotidiennes :

Chiffrement, Cybersécurité, Espionnae, Fuite de données, Identité numérique, Vie privée

Un Monsieur sécurité pour protéger les données des électeurs

Le gouvernement Canadien a décidé, voilà quelques jours, de mandater une équipe de sécurité informatique qui aura comme mission de trouver la moindre faille et fuite de données concernant les électeurs du pays. Une décision politique qui fait suite au jugement d’une entreprise de généalogie qui a commercialisé durant 6 ans les données de plusieurs millions d’élécteurs via ses services oueb.

L’Institut Drouin, spécialisé dans la généalogie, avait copié une liste électorale datant de 2003. Le jugement de cour du Québec a ordonné à Drouin de détruire les données appartenant à 5,5 millions de Québécois : nom, adresse, sexe et date de naissance. « L’État a le droit d’en interdire la diffusion pour protéger la vie privée des électeurs », a indiqué le tribunal.

En France, il suffit de regarder les seconds tours d’éléctions pour appercevoir les candidats et leurs équipes décortiquer les listes électorales afin d’inciter les abstansionnistes à voter, voir certains élus analyser les employés municipaux n’ayant pas pris le temps de voter !

Entreprise, Fuite de données, Propriété Industrielle

Guide de la charte informatique

2 commentaires

La charte informatique permet d’encadrer les risques liés à l’utilisation du système d’information par les salariés et de limiter les responsabilités pénales et civiles de l’entreprise et de ses dirigeants.

Toutefois sa mise en place doit se faire dans certaines conditions pour qu’elle soit juridiquement opposable, c’est pourquoi Olfeo propose un guide pour accompagner les entreprises sur ce point.

Olfeo, éditeur français d’une solution de proxy et filtrage de contenus Internet, dévoile son « Guide de la charte Informatique » co-écrit avec le cabinet d’avocats Alain Bensoussan spécialisé dans le domaine du droit de l’informatique. Ce document a pour objectif d’aider les directions informatiques dans l’élaboration de leur Charte des systèmes d’information, souvent appelée de manière générique « Charte informatique ».

« Une grande partie des DSI et des RSSI sont conscients de l’importance de mettre en place une charte informatique dans leur entreprise pour définir les conditions générales d’utilisation du système d’information et notamment des accès Internet, des réseaux et des services multimédias », explique à DataSecurityBreach.fr Alexandre Souillé, président et fondateur d’Olfeo. « Toutefois, la démarche de charte n’est pas toujours évidente à mettre en œuvre, c’est pourquoi nous avons conçu ce guide qui permet à nos clients de mieux comprendre les facteurs clés de succès lors de la conception et le déploiement de leur charte. »

Le guide de la charte informatique Olfeo co-écrit avec le cabinet d’avocats Alain Bensoussan aborde ainsi, de manière pédagogique, les différents aspects relatifs au document :

–             Comprendre les fondements juridiques d’une charte
–             Pourquoi mettre en œuvre une charte
–             Comment aborder le contenu d’une charte tout en préservant l’équilibre entre vie privée résiduelle et droit du travail
–             Comment déployer une charte opposable aux salariés et quelles sont les autres guides ou livrets à mettre en œuvre en parallèle…

Concernant le déploiement d’une charte opposable aux employés, le guide présente les étapes indispensables à respecter
La charte doit être déployée de la même manière qu’un règlement intérieur. La jurisprudence établit clairement qu’une charte déployée comme un règlement intérieur s’impose à tous les utilisateurs soumis à ce règlement. Son déploiement doit être effectué conformément à certains fondamentaux. Le premier consiste à de soumettre la Charte aux instances représentatives du personnel, c’est le principe de discussion collective. Le second est le principe de transparence qui consiste à diffuser la Charte auprès des utilisateurs, à la fois individuellement mais également collectivement, à une place facilement accessible sur le lieu de travail.

Pour les entreprises privées et les administrations qui disposent d’agents de droit privé deux étapes supplémentaires sont également nécessaires : déposer cette charte au conseil des prud’hommes ainsi qu’à l’inspection du travail en deux exemplaires. Enfin, à chaque modification de la Charte, l’ensemble de cette procédure doit être à nouveau déployée.

« Une Charte s’inscrit dans une démarche d’explication et de sensibilisation quant aux enjeux et aux risques. L’objectif est de faire adhérer les utilisateurs. Il faut donc que la Charte soit claire et à la portée de tous », ajoute à Data Security Breach Alexandre Souillé. « >Il ne faut d’ailleurs pas hésiter à se faire accompagner de professionnels qualifiés en cas de besoin car l’utilisation de la charte peut prévenir l’entreprise, les dirigeants et mêmes les employés de bien des désagréments. »

Identité numérique, Particuliers, Phishing, Vie privée

Identity Leak Checker

Est-ce que des cybercriminels ont volé mes données personnelles et les ont rendues librement disponibles en ligne de sorte que d’autres personnes puissent également y accéder et les utiliser de manière abusive ?

Les utilisateurs d’Internet du monde entier peuvent désormais répondre à cette question en utilisant un service gratuit de l’Institut Hasso Plattner pour l’ingénierie des systèmes informatiques de l’université de Potsdam, en Allemagne. Pour cela, il leur suffit de consulter le site sec.hpi.de et de saisir leur adresse e-mail. Le système recherche alors sur Internet les données personnelles librement disponibles qui leur sont associées.

Si des noms, des mots de passe, des détails de compte ou d’autres données personnelles associées à l’adresse e-mail s’avèrent circuler sur la toile, l’institut HPI avertit l’utilisateur par e-mail et lui donne des conseils sur la façon de procéder. Pour des raisons de sécurité, l’institut ne divulguera pas la nature précise des données.

Les informaticiens qui ont développé ce service ont baptisé leur innovation  » Identity Leak Checker « . À ce jour, les chercheurs de cet institut universitaire, qui est financé par Hasso Plattner, le cofondateur de SAP, ont identifié et analysé plus de 170 millions d’ensembles de données personnelles sur Internet. Quelque 667 000 vérifications gratuites ont été effectuées depuis le lancement du service en Allemagne. Dans 80 000 de ces cas, les utilisateurs ont dû être informés qu’ils avaient été victimes d’un vol d’identité.

« Ce type de système d’avertissement pour les données personnelles volées circulant sur Internet vise à permettre aux utilisateurs de comprendre comment ils traitent leurs données personnelles « , a déclaré le Prof. Christoph Meinel, directeur de l’institut HPI. Son département a également mis au point une base de données pour l’analyse des vulnérabilités informatiques (https://hpi-vdb.de). Cette dernière intègre et combine de grandes quantités de données déjà disponibles en ligne à propos des vulnérabilités de logiciels et d’autres problèmes de sécurité. La base de données contient actuellement pas moins de 61 000 éléments d’information concernant des points faibles qui existent dans près de 160 000 programmes logiciels de plus de 13 000 fabricants.

La base de données de l’institut HPI a récemment commencé à aider les utilisateurs à effectuer des vérifications gratuites de leurs ordinateurs à la recherche de points faibles identifiables qui sont souvent exploités habilement par les cybercriminels pour leurs attaques. Le système reconnaît le navigateur de l’utilisateur – y compris les plugins fréquemment utilisés – et affiche une liste de vulnérabilités connues. Des plans visant à étendre le système d’auto-diagnostic pour couvrir d’autres logiciels installés sur un ordinateur sont en cours de préparation.

Chiffrement, cryptage, Cybersécurité

Et si le Cloud aidait à sécuriser Internet

Les fournisseurs de services de cloud computing sont aujourd’hui sur la sellette : ils vont devoir améliorer la sécurité d’Internet ! Les clients du cloud manifestent de plus en plus leur intérêt pour des services d’accès à Internet sécurisés, exempts de menaces malveillantes comme Heartbleed ou l’amplification DDoS, pour ne prendre que ces deux exemples. A chaque attaque, en effet, les pertes commerciales sont de plus en plus importantes. Les attaques qui impactent les clients non protégés compromettent leur sécurité et dégradent l’image de l’entreprise ou de ses marques. Les fournisseurs d’accès ont aidé à filtrer les activités malveillantes provenant des réseaux clients depuis des années dans le but de permettre aux équipes internes des entreprises et des administrations de se concentrer sur les attaques les plus avancées, mais est-ce désormais suffisant ?

Pour une plus grande sécurité des réseaux
Dès 2005, plusieurs experts de la sécurité Internet se posaient la question de savoir si le Cloud pouvait aider à sécuriser Internet. Quelques articles publiés à cette époque en témoignent, réclamant que les fournisseurs de services Internet, d’hébergement, de services cloud et de bande passante s’impliquent, dans leur propre intérêt, pour aider à sécuriser Internet. Certains affirmaient que le temps était venu d’agir, demandant pourquoi les FAI n’étaient pas tenus de livrer des données sûres et sans danger. Dans la récente Loi de Programmation Militaire qui a fait l’objet d’un large débat autour de la sécurité informatique, les fournisseurs de services Internet semblent désignés comme ceux qui peuvent contribuer à l’amélioration rapide de la cybersécurité, grâce à leur possibilité d’agir en temps réel. De même que l’abonné au réseau d’eau potable exige que l’eau qui arrive chez lui soit saine, le trafic qui passe par les tuyaux des ISP doit être sûr et exempt de menaces, positivant la technologie déployée dans le Cloud et protégeant l’utilisateur final contre les attaques par DDoS et les cybermenaces de tous ordres. Quel intérêt en effet de disposer d’un énorme réservoir (le Cloud) et de l’alimenter en eau contaminée (malwares et autres menaces) ?

Quelques exemples de dangers…
Comme les récents événements l’ont encore confirmé, aucune entreprise ni aucune administration n’est à l’abri des risques de sécurité sur Internet. La découverte de Heartbleed a ébranlé les entreprises bien au-delà du monde de la sécurité. Cette vulnérabilité laissant lire la mémoire d’un serveur par un attaquant, concerne de nombreux services Internet. A l’évidence, la sécurité et la confidentialité de nombreux serveurs Web étaient un leurre. Il ne fait aucun doute que Heartbleed a permis la fuite d’innombrables secrets et données sensibles au profit de pirates, et les conséquences sont à terme encore incalculables. Cette attaque restera sans conteste le hacking le plus répandu de l’histoire du Web parce que le nombre de communications « sécurisées » SSL, concernées directement, est sans précédent. Malheureusement, les problèmes de cybersécurité ne disparaissent pas lorsqu’ils qu’ils sont découverts. La mise à disposition de correctifs n’empêche pas que les vulnérabilités continuent à exister dans d’innombrables systèmes accessibles via Internet. L’amplification de Heartbleed risque d’être plus rapide que la mise en place des mises à jour. Autre tendance actuelle : le détournement de l’utilisation de services Internet standard tels que DNS (Domain Name System) et NTP (Network Time Protocol) par des robots lors d’attaques par déni de service distribué. Heartbleed et les attaques DDoS par amplification sont deux exemples des problèmes de cybersécurité posés par un Internet non sécurisé. Le trafic malveillant portant ces menaces circule librement sur la plupart des réseaux de fournisseurs de services. Les hébergeurs accueillent des clients dont le système d’information mal sécurisé fait du Cloud public une plate-forme de services vulnérables. Comble de l’ironie, la plupart des clients dépensent de l’argent et paient  leur fournisseur pour une bande passante véhiculant un contenu Internet potentiellement dangereux.

Les technologies existent
Les fournisseurs de cloud doivent se doter de technologies qui permettent de répondre à quatre exigences de management des attaques et du réseau. Tout abord se défendre contre les menaces du réseau. La majorité des attaques DDoS se produit au niveau des couches L3 et L4. En conséquence, il convient de -serveur. Ensuite se défendre contre les menaces applicatives ; de nombreuses applications, y compris celles qui sont basées sur des communications chiffrées à l’aide de Secure Sockets Layer (SSL), sont vulnérables face aux attaques par DDoS de la couche applicative qui utilisent L7 comme vecteur analyse analyser les incidents de sécurité sur le réseau. Enfin, il faut assurer le Bypass du réseau ; Il est en effet essentiel de maintenir la disponibilité permanente du une technologie intelligente de dérivation du réseau de faible alimentation pour éliminer les interruptions de service en cas de panne de courant ou d’équipement ou lors de la maintenance de routine et lors des  mises à jour de la configuration.

Tous les marchés reposent sur l’offre et la demande. Les entreprises (et on parle là des dirigeants, pas seulement des responsables de la sécurité) ont pris conscience qu’elles pouvaient tomber, ou au moins leurs activités connectées, victimes d’une cyber-attaque. De nombreux DSI et RSSI sont aujourd’hui disposés à acheter de la bande passante Internet ‘propre’. Et la tendance va aller majoritairement dans ce sens. Alors ils commencent à chercher activement des solutions. Si les fournisseurs de services empêchent les DDoS et autres cybermenaces de traverser leurs réseaux, leurs clients sont d’ores et déjà prêts à acheter de la bande passante plus sûre, avec de meilleures garanties pour leurs données sur le cloud et sur leurs réseaux. Pourquoi, dans ces conditions, les fournisseurs de services du cloud ne développent-ils pas une offre adaptée ? Leurs parts de marché sont en risque de se réduire, au bénéfice d’autres acteurs, s’ils ne répondent pas à cette exigence. (Par Adrian Bisaz, Vice President Sales EMEA de Corero Network Security)