Selon le « RSA Fraud Report », la France n’est plus dans le trio de tête des pays les plus attaqués par les campagnes de phishing. Dans l’édition de septembre de son Fraud Report, RSA, la division sécurité d’EMC, constate que les attaques utilisant des techniques de phishing ont diminué de 25% au mois d’août 2013 comparé au mois de juillet, passant de 45232 à 33861. De plus, la France – présente en quatrième position du classement des pays les plus attaqués en juillet – n’est plus dans la compétition au mois d’août, cédant sa place à l’Inde qui a enregistré une augmentation des attaques de 2 points. Le phishing ou hameçonnage est l’une des techniques les plus utilisées par les fraudeurs afin d’obtenir des renseignements personnels et usurper ainsi l’identité de l’internaute. Particulièrement adaptés pour obtenir des renseignements bancaires, ces trojans sont déployés pour présenter aux utilisateurs un site web généré par un programme malveillant qui les incite à rentrer leurs informations personnelles.
Tous les articles par Damien Bancal
Backdoor D-Link
Accéder, sans mot de passe, dans un routeur D Link, facile grâce à une backdoor. Craig, du blog Dev TTys 0, vient d’analyser le routeur DIR-100 REVA de D-Link. Son petit jeu, un reverse engineering, lui a donné l’occasion de découvrir qu’en quelques lignes de code, il était possible d’accéder aux commandes de la machine, en outre passant login et mot de passe.
Bilan, il semble qu’une porte cachée dans le firware permet à celui qui connait le truc de s’inviter dans le – précieux -. « On peut raisonnablement conclure que de nombreux dispositifs D-Link sont susceptibles d’être affectés par cette backdoor » souligne le chercheur. En bref, si votre navigateur est configuré avec comme User-Agent « xmlset_roodkcableoj28840ybtide », vous obtiendrez automatiquement un accès administrateur sur le panneau de contrôle web du routeur, sans la moindre demande d’autorisation.
Les machines concernées par cet étrange firware sont : DIR-100 ; DI-524 ; DI-524UP ; DI-604S ; DI-604UP ; DI-604 + et TM-G5240. « En outre, plusieurs routeurs Planex semblent également utiliser le même firware » termine Craig. Il s’agit de BRL-04UR et BRL-04CW. Une raison de plus pour commencer à adopter openwrt/ddwrt/tomato etc. D-Link n’a pas encore donnée ses explications sur ce sujet.
Portait de pirate : PhenomenalCrew
Qui sont-ils ? Pourquoi agissent-ils ? Interview de jeunes pirates qui signent leurs actions malveillantes sur la toile sous le nom de PhenomenalCrew. Depuis plusieurs mois, le groupe de pirates francophones PhenomenalCrew fait parler de lui en s’attaquant à des dizaines de sites Internet. Ce groupe, formé de quatre jeune internautes, se dit passionné d’informatique et avide de bases de données. Des Universités, des communes, des mutuelles ont été ciblées par ces jeunes gens. Des actes qui pourraient leur couter très cher. La loi française condamne les actes de piratage informatique de 3 à 7 ans de prison et jusqu’à 350.000€ d’amende. Rencontre avec ces bidouilleurs qui pourraient très bien être votre fils ou votre petit frère. Les propos tenus dans cette interview ne reflètent pas les idées de la rédaction mais celles de ces jeunes pirates.
[+] DataSecuriyBreach.fr – Pourquoi PhenomenalCrew ?
Le Nom parle de lui-même, nous sommes Phénoménal, non ?
[+] DataSecuriyBreach.fr – Depuis plusieurs mois vous piratez sites et serveurs, pourquoi ?
Nous nous battons contre la corruption, les informations atténuées par les médias et le contrôle que nous subissons par certaines sociétés secrètes, la guerre en Palestine nous préoccupe aussi beaucoup.
[+] DataSecuriyBreach.fr – Dans vos piratages, des communes, des universités, des constructeurs automobiles. Pourquoi ces cibles ?
Nous visons de grands sites pour faire passer nos messages, quoi de mieux qu’un grand constructeur de voitures, la voiture est un objet que tout le monde possède, donc utile. Pour ce qui est des universités, c’est une autre histoire. Nous avions vu un reportage tantôt sur des élèves travaillant sur des tablettes numériques, pendant que nous, Français, sommes encore sur des ardoises ou support papier, le monde évolue et nous nous restons au même endroit … Les méthodes sont archaïques. Après ces fameux piratages d’Universités, les sites web visés ont mis à jour leurs sites.
[+] DataSecuriyBreach.fr – Vous avez piraté aussi des espaces de mutuelle, pourquoi ?
S’ils protègent leurs clients comme leurs sites Web, où va le monde ! Un certain laxisme a été repéré dans ce genre de système que nous, pays développé, avons la chance d’avoir … et que nous ne sommes pas fichus de sécuriser un minimum.
[+] DataSecuriyBreach.fr – Qu’est-ce que vous aimez dans le « hack » ?
Le Hacking n’est pas un loisir, c’est un devoir pour nous.
[+] DataSecuriyBreach.fr – Y a-t-il vraiment un défi, aujourd’hui, à la vue des outils qui automatisent les attaques ?
Il faut avoir du courage, fouiner, trouver, comprendre et enfin attaquer. C’est vrai que cela efface le côté un peu « Kitch » du piratage informatique à la main ou avec le bon vieux Backtrack. Il faut savoir se modérer dans les attaques automatisées et pratiquer d’autant plus manuellement.
[+] [+] DataSecuriyBreach.fr – et les autorités ?
Nous savons que nos actions sont illégales, mais nous essayons de nous protéger au mieux contre cette justice qui s’acharne sur nous les hackers. Nous voulons faire avancer les choses. Les gouvernements ne sont pas, non plus, très en accord avec la loi, comme nous avons pu le voir très récemment dans l’affaire Snowden. Je pense que nos actions sont minimes à côté de leurs actes.
[+] DataSecuriyBreach.fr – Pourquoi diffuser les bases de données des sites piratés. Les personnes dans les BDD, comme celle de la banque européenne du sperme ne sont pas responsables des failles/bugs/…
Les webmasters prendront plus conscience de ce qu’il leur arrive si leurs utilisateurs sont mis en danger. Ils prendront cela au sérieux, ce qui fera avancer leurs corrections. Ce que nous faisons est en fait bénéfique, regardez certaines universités que nous avions piraté. Ils ont fait une « Version 2.0 » de leur site web. Ce qui montre que notre piratage a été utile. Ils ont pris conscience des choses. Des personnes mal intentionnées auraient pu faire bien pire.
[+] DataSecuriyBreach.fr – Ne pensez-vous pas qu’aujourd’hui, le web est devenu un énorme « merdier » ?
Tout tourne autour des systèmes informatiques. Tout le monde s’y met de plus en plus tôt, ce qui laisse place à des générations très jeunes, comme très âgées. Dans le web, on y met tout et n’importe quoi … et c’est vrai, surtout n’importe quoi.
[+] DataSecuriyBreach.fr – Comment voyez-vous votre avenir dans 5 ans ?
Nous ne pouvons malheureusement pas savoir de ce que demain sera fait, nous espérons tout de même avoir un rôle dans la sécurité informatique, se ranger et être au service des gens, au lieu de les traquer.
[+] DataSecuriyBreach.fr – Vous ciblez vos « hacks » comment ?
Nous décidons en équipe de ce que nous voulons pirater. Nous pesons le pour et le contre et essayons de trouver des raisons valables à ces attaques, ça ne se fait pas comme ça, un matin, en se levant du lit.
[+] DataSecuriyBreach.fr – Avez-vous déjà trouvé des choses que vous n’avez pas osé diffuser ? Oui, des coordonnées bancaires.
[+] DataSecuriyBreach.fr – Pourquoi ?
Ce sont les fichiers les plus sensibles, que l’on peut trouver dans une base de données classiques, tout tourne autour de l’argent, nous pouvons détruire une famille financièrement et nous en sommes conscients, c’est pour cela que nous évitons de les partager.
[+] DataSecuriyBreach.fr – Qu’avez-vous pu trouver d’étonnant ?
Un petit site, peu cacher de très grandes choses comme des gouvernements, une banque nationale. Il est possible de s’attaquer à petit dans la forme, mais gros dans le fond des choses essentielles. C’est cela qui nous a troublé, il y a peu. Pourquoi cacher d’aussi grandes informations, dans un site d’amusement.
[+] DataSecuriyBreach.fr – Comment voyez-vous l’avenir du web ?
Très avancé, et moins kiddies nous l’espérons, et toujours avec nous, PhenomenalCrew, pour le défendre.
Androïck Ver. 2.0 reconnu par l’OWASP
Cocorico ! Androïck version 2.0 vient de sortir. L’outil a été sélectionné par l’OWASP Mobile Security Project. C’est le seul outil français a avoir été sélectionné ! Derrière cette création, Florian Pradines, 20 ans, un étudiant en deuxième année à l’IUT informatique d’Aix-en-Provence (Aix-Marseille Université). En plus de ses études, le chercheur travaille pour la société Phonesec en tant qu’expert sécurité. La rédaction de Data Security Breach a posé quelques questions au jeune informaticien pour découvrir quelques petits secrets sur son outil.
[+] Datasecuritybreach.fr – Qu’est ce qu’Androïck ?
Florian Pradines- Androïck est un outil programmé en python qui permet d’apporter une aide à l’analyse forensic des applications Android stockés sur nos appareils. L’application récupère le fichier apk (en gros, le logiciel), les données qui sont stockées sur votre ordinateur. Ensuite, l’application analyse tous les fichiers récupérés à la recherche de bases de données et lorsqu’elle en trouve, elle les extrait au format csv afin d’en faciliter l’analyse. Un autre point intéressant est le fait qu’Androïck récupère aussi les fichiers et apk stockés sur la carte SD du téléphone. Il est aussi compatible avec les applications systèmes.
[+] Datasecuritybreach.fr – Pourquoi cette idée ?
Florian Pradines – Lorsque j’analysais des applications, une étape qui pouvait être longue était celle de récupérer toutes les données (apk, fichiers, etc…) sur mon ordinateur. Ensuite, il fallait que je trouve les bases de données pour les extraire et voir leur contenu. Sans compter que parfois, je perdais un peu de temps à chercher le nom exact du package pour pouvoir le récupérer. Cette étape n’est pas particulièrement intéressante et c’est là qu’intervient Androïck.
[+] Datasecuritybreach.fr – Etre choisi par Owasp, voilà de quoi être fier ?
Florian Pradines – Bien sûr, c’est une grande satisfaction et fierté. Je consacre du temps à ce projet et être choisi par l’OWASP va me permettre de pouvoir échanger avec d’autres personnes importantes sur la scène Android.
[+] Datasecuritybreach.fr – Evolution de l’outil ?
Florian Pradines – L’outil va bien sûr évoluer encore. Les prochaines fonctionnalités seront sûrement la décompilation automatique de l’application et la conversation au format jar, afin de gagner encore plus de temps sur l’analyse. Dans le futur, si le projet fonctionne aussi bien que je l’espère, une application Android pourrait voir le jour afin de faire certaines opérations directement sur son smartphone.
[+] Datasecuritybreach.fr – Autres projets ?
Florian Pradines – La sécurité iOS et Windows phone qui sont des acteurs importants du marché m’intéressent aussi. J’ai dans l’idée de faire de la recherche sur ces systèmes.
https://www.owasp.org/index.php/OWASP_Mobile_Security_Project#tab=Mobile_Tools https://www.owasp.org/index.php/Projects/OWASP_Androick_Project
La sécurité reste le principal frein à la transformation numérique des entreprises en Europe
Selon une enquête réalisée à l’échelle européenne par Quocirca pour CA Technologies, les problématiques liées à la sécurité des données (propriétés intellectuelles, données personnelles et localisation de stockage) restent la principale barrière qui freine l’adoption du Cloud par les entreprises
1. L’enquête « L’Adoption des Services basés sur le Cloud » révèle qu’une majorité d’entreprises européennes (52%) restent prudentes vis-à-vis du Cloud. Parallèlement, une proportion équivalente (environ 25%) l’adoptent et le rejettent.
2. Le premier vecteur d’adoption du Cloud reste les économies de coût. Mais désormais, les entreprises cherchent également à améliorer leur efficacité en mettant l’informatique réellement au service des métiers. Le Cloud devient ainsi le levier d’accélération des stratégies de transformation que les entreprises appellent de leurs vœux depuis 30 ans.
3. La principale barrière freinant l’adoption du Cloud est la sécurité des données. 78% des entreprises réticentes pensent qu’elles ne disposent pas de ressources suffisantes et 65% considèrent qu’elles manquent des compétences nécessaires à la sécurisation de leurs services de Cloud. Mais les entreprises ayant déjà mis en œuvre des programmes de transformation numérique reposant sur le Cloud ont pris en compte dès le départ les problématiques de sécurité.
4. Pour consulter le rapport complet, « The Adoption of Cloud-Based Services », cliquez ici.
L’adoption des services de Cloud par les entreprises ne cesse d’augmenter. Une récente enquête réalisée par Quocirca pour le compte de CA Technologies révèle que 57% des DSI de grandes entreprises européennes utilisent des services de Cloud dès qu’ils le peuvent ou en complément à leurs propres ressources internes. Selon eux, les services de Cloud accroissent la compétitivité de l’entreprise (la productivité, l’efficacité et la collaboration), le tout pour un coût total de possession inférieur. Près d’une entreprise européenne sur deux est encore réticente à adopter le Cloud, du fait de préoccupations liées à la sécurité de leurs données 43% des entreprises européennes restent encore réticentes au Cloud. Parmi elles, on en compte 23% qui évitent de recourir au Cloud. 17% évaluent leur intérêt au cas par cas et 3% bloquent systématiquement l’accès au Cloud.
La principale barrière freinant l’adoption du Cloud est la sécurité. Plus de 54% de ces entreprises se déclarent préoccupées par les problématiques de sécurité liées à la propriété intellectuelle (vol de brevets, etc.), 43% par les problématiques de respect de la vie privée (exploitation de données personnelles, etc.) et 39% par le stockage de données confidentielles dans le Cloud (l’actualité relate quotidiennement des cas retentissants de vols et de fuites de données critiques).
Plus des trois quarts (78%) de ces entreprises françaises réticentes au Cloud déclarent manquer de ressources pour sécuriser ces services de Cloud et 65% de compétences adéquates. Ces chiffres laissent entendre que si on les aidait à mettre en œuvre et à sécuriser leurs services de Cloud, la plupart pourrait surmonter la principale barrière qui freine leur adoption.
Parmi les autres barrières mentionnées par les dirigeants informatiques interrogés, les législations sont perçues comme d’importants freins, principalement dans le secteur public, l’industrie et les télécommunications. Ceci soulève deux questions fondamentales :
– comment innover dans un contexte de régulation intense ?
– la loi est-elle un obstacle à l’innovation ?
La gestion des identités et des accès pour sécuriser les services de Cloud Les entreprises qui ont adopté le Cloud ont pensé à la sécurité dès le début de leur projet : 93% des entreprises françaises favorables au Cloud disposent d’un système de gestion des identités et des accès, contre seulement 48% des entreprises réticentes. 68% d’entre elles exploitent un modèle SaaS, contre seulement 30% des entreprises réticentes.
« Notre enquête prouve que la gestion des identités et des accès est primordiale pour les entreprises adoptant le Cloud. Les entreprises françaises encore réticentes peuvent surmonter leurs problématiques de sécurité et simplifier leurs processus grâce à des offres SaaS. D’ailleurs l’étude montre que 82% des entreprises favorables au Cloud considèrent que de nombreux services de sécurité – Single Sign On (SSO), gouvernance fédérée des identités et des accès – sont plus efficaces lorsqu’ils sont délivrés via des modèles SaaS ou hybrides », déclare Gaël Kergot, Directeur des Solutions de Sécurité chez CA Technologies.
Outre les gains d’efficacité, de productivité et de satisfaction des clients, les solutions de gestion des identités et des accès en mode SaaS répondent surtout au besoin de réduction de la complexité informatique exprimé par les entreprises européennes dans cette enquête. Qu’elles soient enthousiastes ou réticentes au Cloud, entre 30 et 40% d’entre elles considèrent que la complexité est encore un frein majeur au déploiement de services de Cloud. Ceci est notamment dû au fait qu’elles considèrent manquer des compétences nécessaires pour réussir leurs déploiements.
YesWeHack – Le portail qui permet de recruter un hacker
La sécurité informatique évolue. Les entreprises, petites ou grandes, ont un véritable besoin d’hommes et de femmes compétents dans le domaine de la sécurité informatique. Une étude sortie lors des Assises de la Sécurité 2013 indiquait même que 9 entreprises sur 10 ont connu un problème de sécurité l’année dernière [1]. 91% des entreprises ont vécu au moins un incident de sécurité externe ; 85% un incident interne. Autant dire que la recherche de compétences n’est pas un vain mot. De ce constat est né YesWeHack (http://yeswehack.com), un portail d’offres d’emplois et de services dédiées à la sécurité informatique. Un espace unique en partenariat avec RemixJobs [2].
Sécurité, confidentialité, efficacité, convivialité En 2013, l’offre a dépassé la demande dans le domaine de la sécurité informatique et les bonnes ressources se font rares, car être un hacker, c’est avant tout être un passionné qui souhaite exercer son art pour le compte d’une entreprise au même titre qu’un peintre souhaite exposer des œuvres dans une galerie. Recruter, chercher un emploi, proposer ou trouver un stage dans la sécurité informatique est un parcours du combattant. YesWeHack (http://yeswehack.com) veut faciliter les démarches. En effet, aucun outil ne centralise l’ensemble de ces demandes. Les services existant tentent de s’en approcher mais sont trop généralistes, peu ergonomiques et trop onéreux pour espérer faire gagner du temps lors d’un recrutement ou de la recherche d’un emploi.
L’idée de YesWeHack (http://yeswehack.com), mettre en relation les recruteurs, les chefs d’entreprises et les spécialistes de la sécurité informatique, le tout dans un espace dédié, efficace, sécurisé et convivial. Vous cherchez, vous trouverez avec YesWeHack (http://yeswehack.com).
Dans quelques semaines, un annonceur pourra prendre une option baptisé « challenge ». Elle obligera le candidat à valider une épreuve de sécurité informatique afin de postuler à l’offre. Une recherche qui sera définie dans un cahier des charges décidé par le recruteur. Les challenges seront développés par Hackerzvoice [3]. Une équipe forte de son expérience sur la Nuit du Hack [4]. A noter que pour plus de sécurité, un identifiant PGP [5] du recruteur et/ou d’un candidat sera proposé dans les offres/recherches afin d’identifier parfaitement les parties.
Simplicité, efficacité autour d’un domaine, d’une passion : la sécurité informatique. YesWeHack (http://yeswehack.com) apporte aux recruteurs et aux candidats l’outil ultime qui facilitera le quotidien en termes d’emploi dans le domaine de la sécurité informatique.
[+] Contacts Mail:
Twitter: @yeswehack
Web : http://yeswehack.com
[+] Références [1] Neuf entreprise sur dix ont connu un problème de sécurité en 2013 https://www.datasecuritybreach.fr/9-entreprise-sur-10-ont-connu-un-probleme-de-securite-en-2013/
[2] RemixJobs
[3] HackerzVoice
[4] Nuit du Hack
http://www.nuitduhack.com
[5] Open PGP
Un centre hospitalier mit en demeure par la CNIL
Le 25 septembre dernier, la Présidente de la CNIL a lancé une mise en demeure à l’encontre du Centre hospitalier de Saint-Malo. Tout a débuté en juin 2013, la Commission Informatique et liberté contrôlait le C.H. et découvrait qu’un prestataire avait pu accéder, avec le concours de l’établissement, aux dossiers médicaux de plusieurs centaines de patients. Un acte interdit par le code de la santé publique et la loi Informatique et Libertés. Les établissements de santé publics et privés doivent procéder à l’analyse de leur activité.
Les actes pratiqués à l’occasion de la prise en charge des malades sont ainsi « codés » selon une nomenclature particulière, de sorte qu’à chaque acte possède son code de remboursement par l’assurance maladie. « Afin d’analyser leur activité et de détecter d’éventuelles anomalies de codage, certains établissements ont recours à l’expertise de sociétés extérieures pour procéder à la vérification et à la correction de ces opérations« . Une aide qui permet des remboursements rapides.
Sauf que les entreprises de santé ont oublié qu’en application des dispositions prévues au chapitre X de la loi Informatique et Libertés, les traitements de données à caractère personnel à des fins d’évaluation ou d’analyse des activités de soins et de prévention sont soumis à l’autorisation de la CNIL. De tels actes doivent s’opérer dans le respect du secret médical et des droits des malades. La CNIL veille à ce que ces traitements ne portent pas sur les données nominatives des malades.
Le contrôle au Centre hospitalier de Saint-Malo a permis à la CNIL de relever que le prestataire mandaté par l’hôpital a pu accéder, avec le concours de l’établissement, aux dossiers médicaux de 950 patients (informatisés ou en version papier). La mise en demeure du Centre hospitalier de Saint-Malo indique que l’hôpital doit veiller à ce que les dossiers des malades ne puissent pas être accessibles par des tiers, notamment par les prestataires choisis pour l’optimisation du codage.
La CNIL a décidé de rendre publique cette mise en demeure en raison de la sensibilité des données (à savoir des données de santé), de la gravité des manquements constatés, du nombre de personnes concernées et de la nécessité de prévenir le renouvellement de tels manquements. Pas de sanction prise, aucune suite ne sera donnée à cette procédure si le Centre hospitalier de Saint-Malo se conforme à la loi dans le délai imparti de 10 jours.
Concours de hacking inversé
D’habitude, dans les concours de hacking éthique, les concurrents doivent trouver des failles, des passages numériques, hardware et/ou résoudre des problèmes informatiques afin d’atteindre une autre épreuve et ainsi engranger des points. Chez BT, c’est le contraire via son « Challenge ». Le jeudi 7 novembre, à partir de 18 heures, sera organisé le BT Cyber Défense Challenge. L’idée, vous aurez 3 heures pour défendre votre système et contrer les attaques des experts BT. Ce sympathique challenge consiste en la défense d’une application à l’aide d’équipements de sécurité d’infrastructure (Check Point et SourceFire). L’idée, analyser dans un premier temps les logs pour identifier les vulnérabilités exploitées par les informaticiens de chez BT. Il faudra ensuite construire une défense adaptée à l’aide des technologies proposées par BT. A gagner, un drône Barrot 2.0. [Inscription]
Un ponte Russe du piratage informatique arrêté
Les services secrets Russes mettent la main sur l’un des plus important pirate informatique du pays. Les services secrets russes, le FSB, aurait mis la main sur l’auteur d’un des plus important couteau Suisse pirate du web, Blackhole. Ce logiciel permet d’attaquer des ordinateurs, à distance, à partir d’exploits et sites web piégés. Finalité de ce logiciel, profiter de failles dans des logiciels web (Adobe, Navigateurs, Apache, …) pour voler toutes les données bancaires possibles, Bitcoin compris. Un kit exploit qui a fait de gros dégâts. Si la rumeur fait état que cette arrestation n’en serait pas une, il est très intéressant de constater que le service « chiffrement » proposé par Paunch, crypt.am, a été fermé. Si peu d’informations ont pour le moment fuitées, Paunch (ou encore Punch) a en main des centaines de milliers d’informations qui pourraient faire frémir le black market, le marché noir des données bancaires piratées.
Les dirigeants d’entreprise ne s’inquiètent pas de la sécurité des données sur le Cloud
Peu préoccupés par la sécurité, les hauts dirigeants n’hésitent pas à contourner les règles d’utilisation des applications sur le Cloud. Si la sécurité des applications déployées dans le Cloud est une préoccupation importante pour les utilisateurs professionnels, la plupart d’entre eux n’hésitent pas à recourir au Cloud pour y stocker leurs données personnelles et professionnelles…sans se soucier des risques encourus. C’est l’une des principales conclusions de la récente étude publiée par SafeNet Labs, créateur de la solution SafeMonk, nouveau service de chiffrement des espaces de stockage dans le Cloud « Dropbox » à destination des entreprises.
Lorsque SafeNet Labs – incubateur technologique lancé par SafeNet, Inc. (leader mondial de la protection de données) en faveur du développement de nouvelles technologies – a demandé à des centaines d’utilisateurs professionnels du monde entier s’ils étaient préoccupés par la sécurité des applications ou des données stockées dans le Cloud, 52 % ont répondu « Oui ». Cependant, 64 % des personnes interrogées ont déclaré utiliser fréquemment des applications basées sur le Cloud pour stocker leurs données personnelles et professionnelles. À la question « Est-ce que la sécurité de vos données et informations vous empêche de dormir ?», plus de la moitié ont répondu « Non, je dors comme un bébé. »
Un examen approfondi des résultats de cette étude montre que plus un poste est élevé dans la hiérarchie d’une entreprise, plus son titulaire est susceptible de recourir à des services de partage de fichiers comme Dropbox – et ce, en dépit des règles en vigueur dans l’entreprise. Ainsi, 33 % des dirigeants de niveau corporate (CEO, CFO, COO.) répondent par l’affirmative contre seulement 18 % pour les autres employés. La majorité des personnes interrogées (59 %) a déclaré qu’elle « ne serait pas surprise » d’apprendre que leur patron ou des dirigeants de leur entreprise utilisent des applications de partage de fichiers telles que Dropbox, malgré les règles s’opposant à cette pratique. En général, les dirigeants se sentent moins préoccupés par la sécurité dans le Cloud que leurs collaborateurs (respectivement 39 % et 54 % ont répondu « Oui »).
« Cette étude suggère que l’utilisation d’applications et le stockage de documents dans le Cloud continuent de proliférer, et que les sociétés devraient revoir les attitudes archaïques qui prévalent quant à l’utilisation de ces applications dans l’entreprise », a déclaré à datasecuritybreach.fr Tsion Gonen, Chief Strategy Officer, SafeNet, Inc. « Il ne fait pas de doute que les hauts dirigeants comprennent parfaitement les avantages que peut offrir l’utilisation d’applications dans le Cloud, et qu’ils devraient donner à leur entreprise les moyens d’en tirer parti en adoptant des outils et des pratiques de sécurité modernes ».
Le critère géographique entre également en ligne de compte en matière de sécurité des données dans le Cloud. Par exemple, l’utilisation d’applications basées sur le Cloud est nettement plus courante dans la région EMEA (Europe, Moyen-Orient et Afrique) qu’aux États-Unis et en Asie-Pacifique, de même que les niveaux d’inquiétude concernant la sécurité des données ou l’application de règles contre l’utilisation d’applications dans le Cloud. Toutefois, les personnes interrogées dans la zone EMEA sont davantage susceptibles d’ignorer lesdites règles. L’objet de leur préoccupation varie également en ce qui concerne la confidentialité de leurs données : les personnes interrogées aux États-Unis et dans la région EMEA déclarent se méfier des administrations, tandis qu’en Asie-Pacifique, Google est en ligne de mire. De plus, les personnes consultées en Asie-Pacifique constituent le groupe d’utilisateurs le plus inquiet s’agissant de leurs données et informations, craignant qu’elles soient exploitées à des fins malveillantes.
Au total, 52 % des personnes interrogées se disent inquiètes à l’idée que leurs applications bancaires et financières puissent être piratées. Les systèmes qu’elles utilisent le plus souvent sont Dropbox pour le stockage de fichiers (39 %) et les outils d’organisation personnels (25 %) ; par ailleurs, la messagerie électronique reste le principal outil utilisé pour partager des fichiers (68 %), selon l’enquête.
* SafeNet Labs a mené cette enquête en août 2013. SafeNet Labs est le créateur de SafeMonk, seule solution de chiffrement au monde contre les interceptions, spécialement conçue pour les utilisateurs du service de partage de fichiers Dropbox.