Archives quotidiennes :

Identité numérique, Particuliers, Vie privée

Microsoft met à jour sa déclaration de confidentialité

Microsoft vient d’annoncer, sans trop de bruit, la modification de ses conditions d’utilisation et sa déclaration de confidentialité.

« Dans tout ce que nous faisons, indique le géant américain, nous avons à cœur de tenir compte des besoins de nos utilisateurs. C’est pourquoi nous avons décidé de mettre à jour le Contrat de services Microsoft et d’élaborer une Déclaration de confidentialité pour les services Windows. » Dans les principales modifications, et sur ce qu’elles impliquent pour les utilisateurs, une modification de la « Confidentialité ».

Microsoft indique s’engager à respecter la vie privée de ses utilisateyrs en toutes circonstances. « C’est pourquoi nous n’utiliserons jamais à des fins de ciblage publicitaire vos documents, photos ou autres fichiers personnels, ni ce que vous pouvez être amené à dire dans vos e-mails, conversations instantanées, appels vidéo ou messages vocaux« . Dans ses modifications, la firme de Redmond stipule aussi qu’elle allait avoir un peu plus de transparence. « Nous avons mis à jour notre Code de conduite afin de mieux vous faire comprendre les types de comportement susceptibles d’avoir des conséquences sur votre compte. »

Microsoft en profite pour rappeler que les parents sont responsables de l’usage que leurs enfants mineurs font de leur compte et des services Microsoft, y compris des achats effectués par ce biais. Bilan, un peu plus de responsabilité des parents ne fera pas de mal… surtout si Microsoft rabat ses avocats sur des parents pensant que le petit dernier de la famille joue aux Pokémons sur la toile.

Les nouvelles conditions prendront effet le 31 juillet 2014. Si vous continuez à utiliser les services après le 31 juillet 2014, cela signifie que vous avez accepté ces nouvelles conditions. Dans le cas contraire, vous pouvez annuler votre service à tout moment.

Cybersécurité, Fuite de données, Mise à jour, Patch

OPEN SSL : 49% des serveurs vulnérables et 14% exploitables

OpenSSL a publié un avis consultatif détaillant un certain nombre de difficultés sérieuses.

La vulnérabilité CVE-2014-0224 sera la plus problématique pour la plupart des déploiements car elle peut être exploitée par l’intermédiaire d’une attaque réseau active de type « Man the Middle ». Cette vulnérabilité permet à un attaquant actif sur un réseau d’injecter des messages ChangeCipherSpec (CCS) des deux côtés d’une connexion et de forcer les deux parties à se mettre d’accord sur les clés à utiliser avant que tous les éléments relatifs à la clé ne soient disponibles. Ce qui entraîne la négociation de clés faibles. (Pour en savoir plus sur le sujet, voir l’analyse technique pertinente d’Adam Langley).

Bien que pratiquement toutes les versions d’OpenSSL soient vulnérables, ce problème est exploitable seulement si les deux parties utilisent OpenSSL et (2) si le serveur utilise une version vulnérable d’OpenSSL de la branche 1.0.1. La bonne nouvelle est que la plupart des navigateurs ne s’appuient pas sur OpenSSL, ce qui signifie que la plupart des internautes ne seront pas affectés. Cependant, les navigateurs Android utilisent OpenSSL et sont donc vulnérables à cette attaque. De plus, de nombreux outils en mode ligne de commande et assimilés utilisent OpenSSL. En outre, les produits pour réseaux VPN seront une cible particulièrement intéressante s’ils reposent sur OpenSSL comme c’est le cas pour OpenVPN.

Qualys teste une vérification à distance pour CVE-2014-0224 via SSL Labs. Suite au test qui a permis d’identifier correctement les serveurs vulnérables, Qualys a lancé une analyse sur l’ensemble des données du tableau de bord SSL Pulse. Les résultats indiquent que près de 49% des serveurs sont vulnérables. Environ 14% (de l’ensemble des serveurs) peuvent être victimes d’un exploit parce qu’ils exécutent une version plus récente d’OpenSSL. Les autres systèmes ne sont probablement pas exploitables, mais leur mise à niveau s’impose car il existe probablement d’autres moyens d’exploiter cette vulnérabilité.

Si vous souhaitez tester vos serveurs, la toute dernière version de SSL Labs propose un test de vérification pour la vulnérabilité CVE-2014-0224.

Arnaque, Cybersécurité, escroquerie, Fuite de données, Phishing, pourriel, Social engineering, spam, Vie privée

1800 fonctionnaires piégés par un phishing

Un commentaire

S’il existe bien un secteur qui mériterait d’être un peu plus regardant sur sa sécurité informatique, c’est bien celui concernant les fonctionnaires. Ils gèrent les informations locales, régionales, nationales, donc des milliers, quand cela ne se chiffre pas en millions de données privées et sensibles. seulement, la sécurité informatique, faudrait-il encore qu’il en entende parler sous forme de formation, de réunion, et autrement que par des professionnels qui ne connaissent du terrain que les rapports chiffrés qu’ils lisent et recopient à longueur de journée.

Un exemple en date, chez nos cousins canadiens. Un sondage interne lancé par le ministère fédéral de la Justice annonce qu’environ 2000 membres du personnel ont cliqué sur un courriel piégé. De l’hameçonnage facile via un faux courriel traitant… de la sécurité des informations confidentielles du ministère. Un tiers des personnes ciblées a répondu à la missive, soit 1850 fonctionnaires sur 5000. Les prochains essais auront lieu en août et au mois d’octobre avec un degré de sophistication supérieure.

Selon le gouvernement canadien environ 10 % des 156 millions de filoutages diffusés chaque jour réussissent à contrer les logiciels et autres filtres antipourriels. Huit millions sont executés par le lecteur, 10% cliquent sur le lien. 80.000 se font piéger. (La presse)

Android, Smartphone, Virus

Un outil Ransomware Removal supprime Simplocker

L’éditeur de solution de sécurité informatique AVAST annonce la sortie d’avast! Ransomware Removal, une nouvelle application gratuite qui élimine les logiciels de rançon Android et déchiffre les fichiers verrouillés et pris en otages.

Avec la nouvelle application pour smartphones et tablettes Android, AVAST propose une solution rapide et gratuite à la menace Simplocker détectée début juin. Simplocker est un nouveau virus Android qui chiffre les photos, les vidéos et les documents stockés sur les smartphones et les tablettes, et exige ensuite un paiement pour les déchiffrer. « Simplocker bloque l’accès aux fichiers stockés sur des appareils mobiles. Sans notre outil gratuit de suppression de logiciel de rançon, les utilisateurs infectés doivent payer 21 $ pour récupérer l’accès à leurs fichiers personnels, déclare à Data Security Breach Ondrej Vlcek, directeur technique d’AVAST Software. Même si nous voyons une croissance exponentielle des logiciels de rançon sur les appareils mobiles, la plupart des menaces de chiffrement des fichiers personnels sont fictives. Simplocker étant le premier logiciel de rançon qui chiffre véritablement ces fichiers, nous avons développé un outil gratuit pour que les utilisateurs puissent les restaurer. »

Toute personne infectée par Simplocker ou tout autre type de logiciel de rançon peut télécharger l’outil gratuit avast! Ransomware Removal en visitant la version web du Google Play Store et en installant ensuite l’application à distance sur son appareil infecté. Une fois celle-ci installée, l’utilisateur peut lancer facilement l’application et éliminer la menace. L’outil analysera ensuite l’appareil, supprimera le virus et déchiffrera les fichiers de l’utilisateur.

Justice, Logiciels, Propriété Industrielle

27.000€ de dommages pour avoir perturbé Deezer

Un commentaire

Le site de diffusion de musique en mode streaming, Deezer, vient de faire condamner un internaute français à 15.000€ d’amende (avec sursis) et 27.000€ de dommages-intérêts.

Comme le stipule le site juridique Legalis, les juges ont estimé qu’il avait porté atteinte à une mesure technique efficace de protection et proposé sciemment à autrui des moyens conçus pour porter atteinte à une telle mesure, en violation des articles L. 335-3-1, I et II du CPI, qu’il avait développé et diffusé auprès du public un logiciel manifestement destiné à la mise à disposition du public non autorisé d’œuvres protégées, en violation de l’article L 335-2-1 du CPI. Bref, le jeune français avait créé le logiciel Tubemaster++ qui permettait, en profitant d’une faille de Deezer, pour copier les musiques proposés par le site web.

L’étudiant s’est retrouvé face à l’article L 331-5 du code de la propriété intellectuelle, introduit par la loi Hadopi du 12 juin 2009. Il a du créer un outil pour contourner la sécurité de Deezer et s’est retrouvé face aux « mesures techniques efficaces destinées à empêcher ou à limiter les utilisations non autorisées par les titulaires d’un droit d’auteur ou d’un droit voisin du droit d’auteur d’une œuvre, autre qu’un logiciel, d’une interprétation, d’un phonogramme, d’un vidéogramme ou d’un programme sont protégées dans les conditions prévues au présent titre. ».

Arnaque, escroquerie, Facebook, Phishing

Mise en garde contre ce que l’on trouve « Sous les jupes des filles »

L’éditeur de solutions de sécurité informatique, McAfee, alerte les internautes sur le téléchargement gratuit de film sur internet.

De nombreux sites frauduleux ont profité de cette tendance pour se développer et piéger les internautes. Traditionnellement, afin d’accéder à des liens de téléchargements, l’apprenti pirate effectue sa recherche via un  moteur de recherche en ajoutant par exemple le terme « torrent » (terme désorma is générique faisant référence  au protocole BiTorrent pour le transfert de données en mode P2P). Comme avec l’exemple du film «  Sous les jupes des filles », film français  récemment sorti dans les salles, de nombreuses pages s’offrent à lui.

Ces liens se révèleront pour la plupart être  frauduleux. Ces mêmes liens sont accessibles via Facebook, par le biais d’invitation d’amis ou de pages populaires, faisant  baisser la vigilance des internautes. Après avoir cliqué sur ces liens frauduleux, l’internaute se retrouve face à 2 situations différentes : Soit, il doit télécharger des fichiers compressés, censés contenir le film, mais qui finalement le dirige sur un autre lien afin de récupérer un mot de passe pour ouvrir un second fichier archivé.

Processus compliqué qui multiplie les téléchargements inutilement, mais ajoute des pages vues, donc des publicités, aux pirates diffuseurs. Soit, il est dirigé vers un site de téléchargement, où un clic doit suffire à télécharger le film. Mais la finalité est la même, l’internaute se retrouve devant une offre préalable, qu’il doit accepter avant de pouvoir poursuivre. Par exemple, le site incite l’internaute à télécharger   une application (Lampe Torche, espionne tes amis, …).

Pour cela, il doit rentrer ses coordonnées téléphoniques. Ce que l’internaute ignore c’est que son numéro de téléphone mobile servira à payer un droit d’accès, par débit direct, directement sur la facture de son opérateur mobile.  L’escroquerie va plus loin : une phrase écrit en petit indique à l’internaute qu’il ne fait pas un paiement unique mais s’engage à verser un abonnement hebdomadaire. Il est important de noter que, dans ce cas précis, la société se décharge des modalités de résiliation, qui sont à effectuer exclusivement auprès de l’opérateur mobile, dans l’espace client web. Ainsi, l’internaute n’aura ainsi jamais accès à son film et sera la cible d’entreprises malhonnêtes qui profitent de la bienveillance des gens pour intégrer des pratiques  douteuses mais légales.

Entreprise, Fuite de données

Protection des données personnelles : 5 étapes d’un plan de mise en conformité

Pour Elizabeth Maxwell, directrice technique EMEA chez CompuwareLes, la question se pose : les entreprises se sentent-elles concernées par les législations européennes ? En matière de protection des données personnelles, l’impact risque d’être plus retentissant que ne le laisse penser l’éloignement géographique d’institutions dont les objectifs sont parfois obscurs. Transferts des données encadrés, amendes réévaluées à la hausse, profilage sous condition, l’ensemble du cadre législatif européen aura des conséquences sur les investissements IT des entreprises. Protection des données personnelles, voici les 5 étapes d’un plan de mise en conformité.

·        Comprendre les implications de la législation
Cela va sans dire mais il appartient aux entreprises de comprendre les conséquences du nouveau cadre législatif européen sur leurs opérations quotidiennes et récurrentes. Cette première étape est essentielle à l’identification des processus de collecte et de transferts applicables chez elles. L’erreur à ne pas commettre est de minimiser l’impact et le coût. Il faudra s’attendre, au contraire, à d’importantes dépenses, compte tenu des pratiques généralisées de développement et de test qui s’appuyaient jusque-là sur des données non anonymisées.

·        Auditer et localiser les données sensibles
La deuxième étape consiste à réaliser un audit global de localisation des données personnelles et sensibles. Qui a accès à quoi, où et comment ces données sont-elles recoupées ? Quels sont les points d’achoppement, où sont les risques de violation ?  Encore une fois, le temps nécessaire à cette analyse ne doit pas être sous-estimé.

·        Adapter ses processus aux nouvelles contraintes
Une fois la localisation et l’identification des données et des risques associés réalisées, il devient plus aisé d’introduire à ses processus de traitement existants l’anonymisation de la donnée. Il est également envisageable de créer de nouveaux flux de travail qu’il sera plus facile et plus rapide d’adapter aux exigences à venir de la législation européenne.

·        Développer une solution conforme aux exigences
En fonction des résultats de l’audit, du niveau préalable de conformité, du business model choisi ou encore de la démarche retenue par l’entreprise, la solution globale définie pourra porter par exemple sur une révision des droits d’accès aux données, sur le choix d’une nouvelle solution de MDM, sur la refonte des clauses contractuelles relatives aux transferts ou (et très certainement) une combinaison de ces différents sujets.

·        Donner de l’air à la  DSI
L’ensemble de ces étapes représente un processus long et fastidieux, dont la réussite repose sur une parfaite maîtrise du cadre législatif. Le délai de deux ans laissé aux entreprises n’est pas de trop au regard des très nombreux paramètres à prendre en compte. Le volume de données, leur interaction complexe, leur qualité et leur intégrité ne sont qu’une étape d’un plan plus général de révision des processus afin de répondre rigoureusement aux obligations européennes.

Les DSI européennes travaillent aujourd’hui, bien malgré elles, à flux tendu. La charge de travail qu’implique le dispositif européen de protection des données personnelles peut être supportée en s’appuyant sur une expertise extérieure, afin de réduire à la fois le risque d’erreur, les délais d’initiation à la législation et donc le coût global.