Tous les articles par Damien Bancal

Damien Bancal, expert reconnu en cybersécurité Damien Bancal est une figure incontournable de la cybersécurité, reconnu à l’international pour son expertise et son engagement depuis plus de 30 ans. Fondateur de ZATAZ.com en 1989 (et DataSecurityBreach.fr en 2015), il a fait de ce média une référence majeure en matière de veille, d’alertes et d’analyses sur les cybermenaces. Auteur de 17 ouvrages et de plusieurs centaines d’articles pour des médias comme Le Monde, France Info ou 01net, il vulgarise les enjeux du piratage informatique et de la protection des données personnelles. Lauréat du prix spécial du livre au FIC/InCyber 2022, finaliste du premier CTF Social Engineering nord-américain (2023), et vainqueur du CTF Social Engineering du HackFest Canada (2024), il est reconnu pour sa capacité à allier pratique du terrain et transmission pédagogique. Le New York Times ou encore Le Big Data ont salué son parcours, et l’agence Tyto PR l’a classé parmi les 500 personnalités tech les plus influentes en 2023. Il est aujourd’hui 9ᵉ influenceur cyber en Europe. Chroniqueur à la radio et à la télévision (France Info, RTL, M6, Medi1...), il est également réserviste citoyen au sein de la Gendarmerie Nationale (Lieutenant-Colonel - Unité Nationale Cyber) et de l'Éducation Nationale (Hauts-de-France). Médaillé de la Défense Nationale (Marine) et des réservistes volontaires, il poursuit son engagement au travers de son entreprise veillezataz.com, lancée en 2022.
Hacking

Votre enfant confronté à du porno, sur le web ?

Un sondage réalisé par Profil Technology et Mafamillezen, que Data Security Breach a pu consulter, révèle que les parents ont conscience des dangers d’Internet, mais ne protègent pas pour autant leurs enfants. Profil Technology, division de la société française Editions Profil, spécialisée en filtrage de contenus numériques, a effectué un sondage en partenariat avec Mafamillezen auprès de 300 parents. Les résultats de ce sondage confirment les craintes de DataSecurityBreach.fr.

Votre enfant a-t-il été confronté à des contenus inappropriés sur Internet (pornographie, violence, piratage, drogue…) ?

Selon vous, pour votre enfant, surfer sur Internet est :

Avez-vous discuté avec votre enfant des dangers d’Internet ?

Utilisez-vous un logiciel de contrôle parental ?

 

« Ce sondage révèle qu’une majorité de parents (71%) est consciente des dangers qui circulent sur Internet et en parle avec leurs enfants (80%). En revanche, on peut se demander s’ils posent les bonnes questions, car seulement 38% des parents interrogés savent si leurs enfants ont été confrontés à des contenus inappropriés. Ce sondage nous confirme malheureusement, malgré les recommandations de nombreuses associations de protection des enfants, que les parents ne sont pas à proximité des jeunes enfants lorsque ces derniers surfent sur Internet alors même que les médias relaient régulièrement des histoires sordides où tout commence avec un enfant laissé sans surveillance devant un ordinateur », déclare à DataSecurityBreach.fr Nicolas Lacourte, Chef de produits Profil Technology.

Si les parents sont conscients des risques engendrés par Internet, ils semblent ne pas s’astreindre à faire le minimum requis pour s’assurer de la bonne utilisation d’Internet par leurs enfants. Y-aurait-il une forme de découragement voire de renoncement de la part des parents face à la multiplication des sources d’accès à Internet ? Voici donc trois recommandations essentielles, faciles à appliquer et évidemment très efficaces pour accompagner les parents et protéger leurs enfants : Placer l’ordinateur de la maison dans un lieu de passage, de manière à garder un œil sur l’écran ; discuter ouvertement avec les enfants des rencontres mal intentionnées que l’on peut faire sur la toile et les accompagner dans leurs premiers surfs sur Internet ; installer sur les ordinateurs de la maison accessibles aux enfants, une solution de contrôle parental capable de filtrer les sites Internet par catégorie de contenus et de personnaliser le niveau de filtrage par enfant sans omettre de leur expliquer l’objectif de ce filtrage. Ne pas oublier les smartphones et les tablettes qui facilitent l’accès à Internet, mais qui rendent la tâche des parents encore plus difficile en raison de la transportabilité aisée de ces appareils.

Particuliers

Les failles fatales de la neutralité du Net selon le CNNum

Un commentaire

Dans son avis [1] rendu le 12 mars 2013, le Conseil National du Numérique (CNNum) invite le gouvernement à faire reconnaître le principe de neutralité du Net « comme un principe fondamental nécessaire à l’exercice de la liberté de communication et de la liberté d’expression ». Que les autorités publiques semblent prendre conscience de la nécessité de consacrer ce principe essentiel apparait comme une bonne nouvelle, toutefois la proposition de mise en œuvre formulée par le CNNum, via la loi de 1986 concernant la télévision, semble vouée à l’échec. ***

La neutralité du Net « au plus haut niveau de la hiérarchie des normes » ?

Afin de protéger la neutralité du Net, le CNNum propose d’intégrer un « principe de neutralité » dans la loi de 1986, ce qui le placerait, prétend-il, « au plus haut niveau de la hiérarchie des normes ». Une telle proposition se fonde sur le postulat selon lequel « la liberté d’expression n’est pas suffisamment protégée dans la loi française ». En se focalisant sur l’édifice législatif, le CNNum semble oublier l’article 11 [2] de la Déclaration des droits de l’homme et du citoyen, tout comme son appartenance au bloc de constitutionnalité. Le CNNum semble oublier aussi que la liberté d’expression est d’ores et déjà sollicitée par le juge, qu’il soit européen, administratif, judiciaire ou constitutionnel, notamment pour faire contrepoids à des mesures disproportionnées visant à la protection de la propriété intellectuelle.

La loi de 1986 [3] est une loi ordinaire qui n’a jamais fait partie du bloc de constitutionnalité [4] – le seul et unique « plus haut niveau de la hiérarchie des normes ». Il est donc faux de prétendre qu’y inscrire le principe de neutralité du Net suffise à hisser ce dernier au dessus des lois. Le législateur ne pourrait parvenir à ce résultat qu’en enclenchant la lourde procédure de révision de la Constitution, ce qui serait peu probable en la matière, et ce que l’avis n’envisage de toute façon pas.

Chercher à introduire un principe général de neutralité dans une loi ne suffit pas à répondre au problème posé, qui est celui de la sanction des atteintes à la liberté d’expression. C’est avant tout en établissant une définition claire d’infractions et de sanctions dissuasives que la neutralité du Net pourrait être garantie, ce que le CNNum s’abstient de proposer [5], préférant placer ce principe au sein d’une loi datée qui n’a pas été conçue pour le recevoir.

La neutralité du Net bridée par les règles inadaptées taillées pour la télévision

Dans son avis, le CNNum propose d’insérer le principe de neutralité dans le premier article [6] de la loi de 1986. Si le CNNum a précisément choisi cet article de cette loi, c’est parce qu’il y est établi que « la communication au public par voie électronique est libre », et que la neutralité du Net devrait devenir une composante de cette liberté. Or, dans sa conception, l’objet de la loi de 1986 ne fut pas de garantir cette liberté mais, au contraire, d’encadrer le secteur de l’audiovisuel qu’elle libéralisait en le soumettant à des règles strictes et en le plaçant sous le contrôle du CSA. Ainsi, dès son premier article et à peine le principe de liberté de communication proclamé, la loi s’empresse de dresser la liste exhaustive des valeurs pouvant justifier qu’elle soit limitée.

Parmi ces exceptions, on retrouve « le respect de la dignité de la personne humaine, […] de la propriété d’autrui [et] la protection de l’enfance », autant de valeurs qui, bien qu’exigeant une attention certaine, sont constamment invoquées afin de justifier toutes les atteintes portées aux libertés fondamentales sur Internet. Et la loi de 1986 les définit si largement que les opérateurs télécom et autre acteurs industriels n’auraient aucun mal à les exploiter devant le juge, afin de justifier n’importe quelle restriction d’accès à Internet. Ainsi, l’exception pour « protection de la propriété d’autrui » sera inévitablement utilisée par les industries du divertissement, au nom de leurs droits d’auteur, pour déroger à la neutralité du Net.

Plus grave encore, l’article prévoit que la liberté de communication peut être limitée par « les contraintes techniques inhérentes aux moyens de communication ». Nul doute que les opérateurs sauraient parfaitement se saisir de ce concept particulièrement flou, qu’ils sont les premiers à pouvoir définir, afin de porter atteinte à la neutralité des réseaux, à la liberté d’expression, à l’innovation et à l’équité au nom de contraintes techniques et économiques. Bref, tout est déjà dans la loi de 1986 pour permettre aux opérateurs de maintenir le statu quo actuel justifiant toutes les restrictions d’accès par de plus ou moins fumeuses raisons techniques.

Et il n’est en rien surprenant que cette loi soit parfaitement inadaptée à accueillir le principe de neutralité lorsque l’on sait combien le secteur auquel elle est destinée – la télévision – se distingue, par sa nature centralisée et par la rareté des canaux de communication, du fonctionnement même de l’Internet – ce que le CNNum reconnaît [7] lui-même dans son rapport.

L’audiovisuel ne se compose que de communications unilatérales en nombre fini, auxquelles le concept de neutralité n’a pas lieu de s’appliquer, quand Internet est la somme de communications multilatérales et illimitées. Imposer les règles de la gestion de la rareté des communications télévisuelles comme limitation de l’organisation de l’abondance des communications Internet serait un contre-sens historique.

La définition de la mise en œuvre de la neutralité du Net abandonnée au pouvoir judiciaire

L’inscription de la neutralité du Net dans une loi pré-existante souligne la volonté du CNNum de ne pas créer un cadre juridique nouveau, spécifique et adapté, afin de protéger la neutralité du Net. L’avis l’explique d’ailleurs clairement : « le principe de neutralité doit venir compléter et éclairer les dispositions juridiques existantes » et n’a donc pas vocation à être protégé en tant que tel.

Or, la neutralité du Net est un enjeu majeur pour notre société, un enjeu politique, qui dépasse de loin le cadre des procédures judiciaires, individuelles et isolées. C’est au législateur seul de définir les infractions et sanctions – avant tout dissuasives -, en fonction d’exceptions précises et limitées permettant de déroger à la neutralité du Net et de rendre légitime une restriction d’accès à Internet.

En abandonnant ces choix politiques au pouvoir judiciaire, une mise en œuvre des proposition du CNNum laisserait les puissants avocats des opérateurs obtenir par la jurisprudence la liberté de s’engouffrer dans les larges exceptions que leur offre la loi de 1986 et de justifier tous les abus. D’ailleurs, le CNNum ne laisse encore une fois pas de place au doute. Pour lui, « il convient de mettre en place des indicateurs pour mesurer le niveau de neutralité des réseaux et des services ouverts au public ». Que l’on ne s’y trompe pas. Un opérateur s’abstient ou non de contrôler et de prioriser le contenu qu’il véhicule. Il ne peut s’abstenir à moitié. L’idée qu’il y aurait une échelle de neutralité est inconciliable avec l’idée même de neutralité.

Il faut espérer que le gouvernement fasse preuve de courage en allant plus loin que le Conseil national du numérique ne l’y invite : qu’il ne se contente pas d’inscrire le principe de neutralité dans une loi inadaptée qui le priverait de tout effet, mais propose un cadre juridique nouveau qui le protégerait spécifiquement, en sanctionnant sévèrement les entorses [8].

Si cet avis marque le début d’une prise en compte des enjeux de la neutralité du Net par les pouvoirs publics, les citoyens doivent plus que jamais rester vigilants, pour que ce principe essentiel ne soit pas vidé de sa substance par le législateur, résultat qui serait bien pire que de n’avoir aucune loi sur la question. Les travaux à venir entre les différents ministères (Ayrault, Pellerin, Taubira, Valls), et l’examen d’un éventuel projet de loi au Parlement devront faire l’objet d’une attention toute particulière, afin que nos libertés en ligne soient efficacement protégées.

Références

1. https://www.laquadrature.net/files/CNNum-avis-sur-la-neutralite-du-net.pdf

2. Article XI de la Déclaration universelle des droits de l’homme : « La libre communication des pensées et des opinions est un des droits les plus précieux de l’Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté, dans les cas déterminés par la Loi. »

3. La « loi du 30 septembre 1986 relative à la liberté de communication », dite « loi Léotard », libéralisa le secteur de la téléphonie mobile et de la télévision par câble, ce qui permit notamment la privatisation de TF1 l’année suivante. Afin d’encadrer ce nouveau secteur privé, elle institua une Commission nationale de la communication et des libertés, qui deviendra rapidement le Conseil supérieur de l’audiovisuel (CSA).

Dans son premier article, la loi proclame que « la communication au public par voie électronique est libre », reprenant la jurisprudence du Conseil constitutionnel qui reconnaissait, dès 1982, la valeur constitutionnelle du principe de « liberté de communication des pensées et des opinions par les moyens audiovisuels », directement tiré de l’article 11 de la Déclaration universelle des droits de l’homme et du citoyen.

4. Le bloc de constitutionnalité réunit l’ensemble des normes placées au sommet de l’ordre juridique français – auxquelles aucune loi ni traité international ne peut déroger. Ces normes sont celles de la Constitution de 1958, de son préambule, du préambule de la Constitution de 1946, de la Déclaration des droits de l’homme et du citoyen de 1789 et de la charte de l’environnement, ainsi que les « principes fondamentaux reconnus par les lois de la République » dégagés par le Conseil constitutionnel et le Conseil d’État et les principes et objectifs reconnus de valeur constitutionnelle par le Conseil constitutionnel.

5. Le CNNum s’abstient de proposer toute sanction alors même qu’il regrette, dans son rapport, que la résolution du Parlement européen adoptée en 2011 en faveur du principe de neutralité « se refus[e] à demander une action législative immédiate ou des sanctions à l’encontre des opérateurs qui restreignent l’accès à Internet de leurs abonnés ».

6. Article 1 de la loi de 1986 : « La communication au public par voie électronique est libre.

L’exercice de cette liberté ne peut être limité que dans la mesure requise, d’une part, par le respect de la dignité de la personne humaine, de la liberté et de la propriété d’autrui, du caractère pluraliste de l’expression des courants de pensée et d’opinion et, d’autre part, par la protection de l’enfance et de l’adolescence, par la sauvegarde de l’ordre public, par les besoins de la défense nationale, par les exigences de service public, par les contraintes techniques inhérentes aux moyens de communication, ainsi que par la nécessité, pour les services audiovisuels, de développer la production audiovisuelle.

Les services audiovisuels comprennent les services de communication audiovisuelle telle que définie à l’article 2 ainsi que l’ensemble des services mettant à disposition du public ou d’une catégorie de public des œuvres audiovisuelles, cinématographiques ou sonores, quelles que soient les modalités techniques de cette mise à disposition. »

7. Le CNNum reconnaît dans son rapport que « en matière de droit de la communication et de l’expression sur les réseaux numériques[,] la bidirectionnalité intrinsèque diffère radicalement des réseaux de communication analogiques que régule, entre autres, la loi de 1986 sur la liberté de communication ».

8. Paradoxalement, le rapport admet que, quant à la définition du principe de neutralité, « l’objectif à atteindre est toujours clairement décrit comme le contrôle des pratiques de filtrage, de blocage, de censure ou de ralentissement de l’accès à l’information par le public », mais que cet objectif « implique toujours un grand nombre d’exceptions tels quel l’intérêt économique des acteurs, la lutte contre le spam ou le maintien de la qualité du réseau ».

Pour échapper à cette approche qui, bien qu’ayant « l’avantage de la simplicité,[…] a l’inconvénient d’être pratiquement inopérante », le rapport reconnaît qu’il faut « définir le principe de neutralité de façon positive ». Or, il ne propose aucune mesure pour y parvenir : l’insertion du principe dans la loi de 1986 est l’approche simple et inefficace, et la définition positive aurait été la création d’un cadre nouveau, accompagné de sanctions efficaces.

Assez étrangement, le CNNum semble inviter le gouvernement à aller plus loin que ce qu’il ne lui propose, et intitule l’un des titres de son rapport « Un cadre juridique nouveau posant un principe fort de neutralité […] » alors qu’il ne propose, dans son avis, que d’inscrire ce principe dans un cadre juridique ancien et inadaptée.

Cybersécurité, Livres

A lire : les livres du mois de Mars

La rédaction a lu pour vous quatre livres sortis en ce mois de mars, dédiés à la sécurité des données. Des livres qui ont attiré notre attention et qui, nous le pensons, méritent de finir dans votre bibliothèque de part leurs contenus et les informations qu’ils peuvent vous apporter dans votre vie numérique. A noter que nous vous proposons l’accès à ces livres, via Amazon.

Nous commencerons « notre revue de livre » par « Traitement des données personnelles » de Fabrice Mattatia. Un guide juridique indispensable aux éditions Eyrolles. L’entreprise qui protège les données personnelles de ses clients bénéficie d’un avantage concurrentiel, notamment pour son image de marque. Cet excellent écrit revient sur le droit des individus à voir leurs données personnelles protégées, sur les obligations des organisations et des entreprises en la matière, et sur les sanctions encourues en cas de manquement. Cet ouvrage initie à la culture juridique des données personnelles les directeurs des systèmes d’informations, responsables de traitements de données, et plus largement tous les techniciens confrontés à la problématique de la gestion des données personnelles, avec un luxe de détail concernant les différentes jurisprudences. Il présente notamment des cas concrets de cyber-attaques et les réponses pénales ou administratives associées. Ainsi, si une entreprise est victime d’un phishing utilisant une copie de sa page web, que doit-elle faire ? Que risque pénalement une entreprise victime d’un vol de base de données ? Comment faire respecter le droit français par des entreprises étrangères ? Clairement un livre de chevet, documenté, précis et vivant avec son époque.

Chez Lavoisier, un ancien de la Direction de la Surveillance du Territoire (DST), Patrick Le Guyader, revient sur « La protection des données sur Internet« . Un ouvrage qui expose les menaces de confidentialité liées à la cybercriminalité, au niveau des technologies fixes ou mobiles. Avec des exemples, il renseigne sur les législations nationales et internationales et les règles à respecter destinées à protéger l’internaute lorsqu’il navigue sur le Web. Un peu lourd à lire, il faut dire aussi que l’ouvrage propose de très nombreux articles de loi, ce document est parfait dans sa déclinaison des législations nationales et internationales.


<A HREF= »http://ws.amazon.fr/widgets/q?rt=tf_ssw&ServiceVersion=20070822&MarketPlace=FR&ID=V20070822%2FFR%2Fzataznet-21%2F8003%2F27946433-deac-4674-8b98-5864c25e4868&Operation=NoScript »>Widgets Amazon.fr</A>

Dans un autre genre, « Plan de continuité d’activité » chez ENI Editions. Ce livre s’adresse principalement aux Responsables des risques et de la continuité (RPCA, Risks Managers, RSSI), aux Directeurs de Systèmes d’Information (DSI) aux Consultants ou encore aux Chefs de projet sécurité, pour les accompagner dans leur démarche de mise en œuvre d’un Plan de Continuité d’Activité (PCA). 310 pages d’astuces et de bonnes conduites à tenir en cas de panne, piratage, … Très accessible, l’écrit de Bernard CARREZ, Antonio PESSOA et Alexandre PLANCHE propose de nombreux schémas et tableaux.

Nous terminerons notre lecture mensuelle par « Internet sans danger – Le guide du bon sens numérique » édité par Bayard, sous l’impulsion de l’assureur AXA. Un livret qui devrait trouver son public, surtout du côté des parents avec le chapitre « Permettre à son enfant d’acquérir un usage responsable d’Internet« . Le reste du contenu, sous forme de fiches pratiques, n’est pas désagréable à lire, mais recèle quelques erreurs ou « vieilleries » qui pourraient perdre les surfeurs pas vraiment habitué à se sécuriser. A noter quelques sites web classiques ou très « parisiens », en édulcorant totalement ceux qui sont sur le terrain depuis des années, comme zataz.com, qui côté aides aux particuliers et entreprises a fait ses preuves depuis plus de 16 ans (et sans rien à vendre, ndlr datasecuritybreach.fr). Le guide s’inscrit dans une démarche de prévention des risques numériques initiée par AXA et AXA Prévention depuis 2010. Durant l’été 2011 un projet de sensibilisation et d’échange avait déjà impliqué les 15 000 collaborateurs d’AXA. 500 collaborateurs avaient ensuite partagé leurs témoignages et expériences sur le bon usage des médias et des réseaux sociaux à travers une plateforme collaborative en ligne, puis participé à l’écriture de 20 conseils indispensables pour prévenir les risques numériques. Un premier Guide du bon sens numérique avait alors été produit, d’abord pour l’interne puis dès décembre 2011 en téléchargement gratuit pour tous sur le site d’AXA Prévention.

Cyber-attaque

Le site des FEMEN piraté

4 commentaires

Le site des FEMEN, des féministes, se fait pirater, coup sur coup, depuis mercredi soir. Les messages ne sont pas des plus sympathiques pour les adeptes des manifestations « coup de poing » les seins nus. Jeudi soir, des messages très violents  traités les FEMEN de Truie : « Venez en Tunisie ! Nous couperons vos seins et les donnerons à manger à nos chiens ! » ; Ce Vendredi, Le logo d’un Anonymous avec un turban s’affichait sur un fond vert. Une attaque intéressante. Le pirate tente de faire croire qu’il est Tunisien, Arabe, anti femme, …

Le Facebook des FEMEN avait été piraté en milieu de semaine. Autant dire que les pirates ont accès à d’autres éléments (comme les emails, ndlr datasecurityreach.fr) pour agir autant et aussi rapidement. L’affaire aurait débuté après que l’association diffuse, sur son Facebook, deux photos de deux jeunes Tunisiennes aux seins nus dans une opération que FEMEN a baptisé Free Amina.

Entreprise

Au boulot, trop surfer est une faute grave

La justice Française décide que l’usage personnel et excessif de l’internet au travail est une faute grave. Le site Internet (indispensable, ndlr datasecuritybreach.fr) Legalise.net revient sur un jugement rendu voilà quelques jours. Il concerne l’utilisation de l’Internet « privé » au bureau. On y apprend que le nombre important de connexions à internet pour un usage personnel pendant le temps de travail peut justifier un licenciement pour faute grave. La Cour de cassation, dans un arrêt du 23 février 2013, l’a décidé. Le jugement visait une responsable juridique qui signait 10 000 connexions à des sites de voyages, de comparaison de prix, de sorties, des réseaux sociaux pendant deux courtes périodes. Des connexions durant son temps de travail. Ce n’est pas la première fois que la Cour de cassation se prononce sur l’usage personnel excessif de l’internet au travail. Dans un arrêt du 18 mars 2009, elle avait considéré que le fait de se connecter de façon importante à internet sur son lieu de travail, et à des fins non professionnelles, constituait une faute grave.

Entreprise, Sauvegarde

Sauvegarde de données : ça coinçe encore

D’après une récente étude auprès de ses clients, Kroll Ontrack, leader sur le marché de la récupération de données, de la recherche d’informations et de preuves informatiques, a découvert que même si 60 % des personnes interrogées avaient une solution de sauvegarde en place au moment de la perte de données, la sauvegarde n’était pas à jour ou ne fonctionnait pas correctement. À l’approche de la journée mondiale de la sauvegarde, le 31 mars 2013, ces résultats, ainsi que DataSecurityBreach.fr, rappellent qu’il est important de vérifier qu’une sauvegarde fonctionne correctement et capture un ensemble de données actuel et précis. De plus, les résultats de l’étude indiquent que le disque dur externe reste le mode de  sauvegarde le plus utilisé pour les données personnelles et professionnelles. En fait, 60 % des personnes interrogées ont eu recours à une solution de disque dur externe, 15 % au cloud computing et 15 % à la sauvegarde sur bande. Quelle que soit la solution, plusieurs scénarios courants peuvent donner lieu à des pertes de données :

·         un disque externe connecté de manière occasionnelle et une sauvegarde non automatisée et effectuée à la demande ;

·         un ordinateur éteint au moment d’une sauvegarde programmée et non configuré pour l’effectuer à un autre moment ;

·         la défaillance d’un logiciel de sauvegarde ;

·         une sauvegarde dont l’espace de destination est plein ;

·         un profil de sauvegarde ne couvrant pas l’intégralité du périphérique à sauvegarder ;

·         un fichier perdu avant la sauvegarde programmée.

« L’utilisation d’une solution de sauvegarde est essentielle pour tout professionnel ou particulier qui veut se protéger contre la perte de données », estime à Data Security Breach Magazine Paul Dujancourt, directeur général de Kroll Ontrack France. « Cependant, comme les résultats de notre récente étude mondiale le démontrent, même une solution de type disque externe ou cloud computing réputée ne donne pas toujours les résultats escomptés. Une solution de sauvegarde n’est efficace que si l’utilisateur ou l’administrateur informatique s’assure que la solution fonctionne comme prévu et que la sauvegarde est complète. »

Sur 600 clients interrogés, dont un tiers ont subi une perte de données personnelles et deux tiers ont perdu des données professionnelles. Après avoir subi une perte de données, 87 % des personnes interrogées ont indiqué qu’il était extrêmement probable ou assez probable qu’elles recherchent une solution de sauvegarde. Parmi elles, près de 60 % recherchent une solution de type disque dur externe et environ un quart envisage le cloud computing pour protéger leurs données. Les 13 % restants qui ne prévoient pas de rechercher une solution de sauvegarde ont cité le temps et les dépenses associés à la recherche et à l’administration comme principal obstacle à sa prise en compte.

DataSecuritybreach.fr vous propose les conseils pour une sauvegarde réussie

·         Prenez le temps d’investir dans une solution de sauvegarde et d’établir un calendrier de sauvegarde.

·         Vérifiez que les sauvegardes s’exécutent régulièrement, conformément au calendrier établi.

·         Consultez les rapports de sauvegarde pour identifier les erreurs ou les échecs.

·         Testez régulièrement les sauvegardes pour vous assurer que les données ont été correctement capturées et que les fichiers sont intacts.

Arnaque, escroquerie, Particuliers, Scam

Les scammeurs lancent leurs campagnes de malwares sur le thème des vacances

Le secteur du tourisme ayant déjà commencé à communiquer sur leurs offres d’été, les scammeurs suivent la tendance et mettent en place des campagnes de spam contenant des malwares sur le thème des vacances. Ce sont les e-mails de confirmation de vol qui sont les plus utilisés cette année, suivis des offres d’hôtel, des offres de croisières somptueuses et de prêts divers pour les vacances. BitDefender s’en fait l’écho auprès de DataSecurityBreach.fr et alerte les internautes.

Pendant la saison, 6% de l’ensemble du spam concerne le thème des vacances. Et si l’on comptabilise 1.8 million de spams standards par jour, environ 108 000 messages sont sur le thème des vacances au plus fort de la saison, parmi lesquels les fausses confirmations de vol qui sont les plus répandues. Les e-mails de confirmation ou les reçus issus de compagnies aériennes constituent environ 60% de l’ensemble du spam sur le thème des vacances d’été cette année. Ces messages délivrent généralement des malwares dans une pièce jointe ou comportent un lien vers des pages Web malveillantes.

Le second type de scam saisonnier le plus fréquent est la fausse newsletter présentant de fausses bonnes affaires pour les réservations à l’avance de séjours de luxe dans le monde entier. Ces messages sont rédigés dans différentes langues selon les destinations qu’ils proposent. Les croisières, les offres d’assurance de voyage et les prêts vacances sont également utilisés pour séduire tous ceux qui préparent la parfaite escapade estivale.

Bitdefender a également découvert que Delta Air Lines et US Airways étaient les entreprises les plus ciblées, puisqu’elles comptent parmi les plus grandes compagnies aériennes aux États-Unis, offrant leurs services à des millions de clients à travers le monde. Il est en effet logique que plus les clients sont nombreux à utiliser un service, plus il y a de chances que les scams fonctionnent. Pour vous protéger, suivez les conseils de DataSecurityBreach.fr qui vous permettront d’organiser et de profiter de vos vacances en toute sécurité :

Renseignez-vous sur le site Web que vous utilisez avant de réserver un vol ou un hôtel.

Consultez les opinions des autres utilisateurs sur les sites Web de vente de billets/de réservation. Lisez leurs commentaires et leurs avis au sujet des services de ces sites.

Essayez d’entrer en contact avec un représentant de l’entreprise afin d’obtenir autant d’informations que possible sur le lieu de vacances.

Ne cliquez pas sur les liens inclus dans les e-mails, surtout si vous n’avez pas expressément demandé des renseignements sur des offres de voyage ou réalisé des réservations de vol/hôtel et n’ouvrez jamais les fichiers joints à ce type d’e-mails.

Lorsque vous partez en vacances, ne l’annoncez pas sur les réseaux sociaux. Une maison vide peut être extrêmement tentante pour des cambrioleurs. En effet, sécuriser les informations que vous mettez en ligne  peut aussi contribuer à protéger votre environnement physique.

Évitez de réaliser des achats en ligne ou de consulter des comptes bancaires lorsque vous utilisez des hotspots Wifi tels que ceux des aéroports, des cafés ou des centres commerciaux. Ne le faites pas non plus dans un hôtel.

Entreprise, Fuite de données

Sécurité des impressions : 63% des entreprises déplorent avoir subi une perte de données

L’étude européenne menée par Quocirca, société de recherche et d’édition, à la demande de Nuance, révèle que, malgré l’importance croissante que les entreprises accordent aux systèmes d’impression multifonctions dans le cycle de vie des documents, elles restent exposées à des risques de fuites des données confidentielles. En effet, Data Security Breach a pu découvrir que seules 22 % des entreprises interrogées par Quocirca ont sécurisé leur environnement d’impression et 63 % d’entre elles reconnaissent avoir subi un ou plusieurs cas de pertes de données, alors même qu’elles sont sans cesse plus nombreuses à mesurer les dommages potentiels de l’utilisation abusive ou du vol de données sensibles pour leur réputation et la confiance de leurs clients.

Les résultats de cette étude sont consultables dans le dernier livre blanc de Nuance, intitulé Impression de documents : un faux sentiment de sécurité ?, qui explique aux entreprises et administrations pourquoi et comment s’assurer que leurs activités d’impression sont sécurisées afin de protéger leurs informations confidentielles et celles de leurs clients. Le livre blanc rend également compte que de simples pratiques de sécurisation de l’impression permettent de réduire l’exposition aux risques de fuites de données et de satisfaire aux exigences réglementaires en matière de protection des informations. Nuance recommande même aux entreprises d’inscrire la sécurité des impressions dans sa stratégie plus globale de sécurité de l’information. Afin d’illustrer ces recommandations, le livre blanc comporte deux études de cas d’entreprises du secteur public (le conseil du Comté du Lancashire au Royaume-Uni) et du secteur financier (la banque suisse Graubündner Kantonalbank) utilisant les solutions Equitrac et SafeCom de Nuance pour mieux protéger leurs impressions.

Ce document intervient alors que les entreprises s’efforcent de rationaliser leurs flux de gestion des documents papier (pour gagner en efficacité ou pour se conformer aux obligations légales ou environnementales) et qu’elles se dotent de plus en plus d’imprimantes multifonctions (MFP) et en réseau.

Cyber-attaque, DDoS, Entreprise

Un DDoS géant perturbe Internet

10 commentaires

Une attaque informatique à l’encontre d’un spécialiste de la lutte contre les spams perturbe l’Internet. Spamhaus, une entité basée en Suisse qui s’est donnée pour mission de publier des « listes noires » de serveurs utilisés dans des diffusions massives de spams, des courriels non sollicités. 80% des blocages des pourriels seraient réussis grace à SpamHaus. Depuis quelques jours, une attaque de type DDoS (Dénis Distribués de Service) perturbe le fonctionnement de SpamHaus… et du réseau des réseaux. Matthew Prince, de chez CloudFlare, indique n’avoir jamais vue une attaque prendre une telle ampleur. Tout a débuté la semaine derniére, les Suisses ont placé dans la liste noire du moment le site internet néerlandais Cyberbunker. Motif, le portail serait un repére de pirates et autres spammeurs. « Spamhaus n’a pas été en mesure de prouver ses allégations » indique CyberBunker.

Le New York Times fait parler un « porte-parole » des pirates assaillants. Sven Olaf Kamphuis indique que l’attaque est en représaille contre Spamhaus, qui « abuse de son influence« . L’attaque DDoS a une telle impacte qu’elle aurait « freinée » le débit web, en Europe. A l’AFP Johannes Ullrich, de l’institut de technologie américain SANS, explique que cette attaque est dix fois plus puissantes que les derniérs DDoS enregistrés. Il est vrai que se manger 300 gigabytes de données par seconde, ca à de quoi bloquer des serveurs ! Data Security Breach trouve que le plus inquiétant n’est pas l’attaque en elle même, mais sa facilité de mise en place. Les pirates ont tout simplement profité des vulnérabilités des serveurs DNS. Bilan, chaque attaque est multipliée par 100. Voir Open Resolver Project pour en savoir plus.

Internet a-t-il failli être coupé par une attaque de grande ampleur ?

A cette question que tout le monde se pose en ce moment, la réponse est oui. Avec les attaques qui ont eu lieu récemment et on encore lieu à certaines échelles, Internet a été, tout au moins, déstabilisé pendant plusieurs heures. Que vous ayez un téléphone portable en 3G, un ordinateur pour surfer sur votre site préféré ou voulu recevoir des mails d’outre atlantique, vous avez peut être tous senti à plus ou moins grande échelle des ralentissements.

L’attaque informatique derrière cette déstabilisation est connue, mais n’avait jamais été menée à cette ampleur. Les DDOS et plus spécifiquement les DrDOS sont des attaques par amplification de trafic, ou pour faire simple, les attaquants utilisent des serveurs et des réseaux mal configurés comme des amplificateurs. Ils transforment une ou plusieurs connexions de tailles honorables (mais que tout le monde peut s’offrir pour quelques dizaines d’euros par mois) en canons à trafic de très grande ampleur. Pour prendre une image plus parlante, cela revient à transformer une balle de pistolet en une pluie de munitions. Avec une telle arme, pour chaque « balle » tirée à l’origine, plusieurs centaines de milliers de projectiles arrivent à destination…

Il est important de comprendre cependant qu’aussi puissantes soient ces attaques, elles sont temporaires par essence. Leurs durées de vie se comptent en heures, en dizaines d’heures au maximum, Internet n’est donc pas en risque d’être définitivement « cassé » mais en risque d’être très embouteillé, pendant un long moment. Une question de fond demeure, ces embouteillages dureront-ils très longtemps et seront-ils fréquents ou bien les autorités vont-elles réagir et forcer la prise de mesures concrètes ?

Le laxisme et l’avidité au cœur du problème

Car ce qui rend possible ces attaques, ce sont deux problèmes fondamentaux, tous deux possibles à régler. En effet, ces attaques sont rendues possibles par des serveurs mal configurés. Cette fois-ci ce sont les serveurs DNS qui sont concernés, l’un des services indispensable au fonctionnement d’Internet, qui convertit les noms (comme www.datasecuritybreach.fr) en adresse numériques (dites IP) compréhensibles par les ordinateurs et serveurs. En l’occurrence, ces DNS « ouverts » étaient parfois laissés accessibles en tant que service à la communauté, souvent laissés ouverts par d’autres administrateurs moins compétents par manque de connaissance ou de temps.  Mais auparavant, c’était les protocoles utilisés par les serveurs de jeux sur Internet et d’autres sources sont également possibles à exploiter par les pirates. Le point commun à tous ces supports d’attaques est que les personnes ayant soit développé soit déployé ces services ont mal configuré leurs serveurs et permis à ces attaques d’avoir lieu.

Le second problème est lui très matériel. Il y a des grands bénéficiaires à ces flux démesurés. Pour commencer par le point important, ces attaques ne devraient pas exister et sont simplissimes à bloquer. Il suffit à chaque entité participant au réseau Internet de n’acheminer que les paquets légitimes, provenant réellement de son réseau. Actuellement ce n’est pas le cas. En effet, de très nombreux opérateurs (dont les plus grands Français, Allemands et US) ne filtrent pas les paquets transitant par leurs réseaux et acheminent des paquets qu’ils savent illégitimes.

Ces attaques reposent sur un mécanisme central clé : le fait que l’adresse source, l’identité numérique de l’attaquant est faussée. Cette méthode, appelée le spoofing, est laissée libre à l’utilisation de chacun alors qu’il n’est que normal et logique que chacun ne transporte que les paquets réellement issus de son réseau. Cela revient exactement au même que de transporter des valises d’inconnus que l’on vous aurait remis à l’aéroport. Pourquoi le font-ils ? Car les opérateurs de niveau 2 se facturent le trafic envoyés entres eux. En résumé, plus ils envoient de trafic, plus ils facturent le voisin qui reçoit ce trafic. DataSecurityBreach.fr le confirme, c’est donc une raison très monétaire qui les motive plus qu’une très théorique impossibilité technique derrière laquelle ils se cachent pour ne pas résoudre le problème.

La guerre des boutons 2.0

Cette attaque est par bien des aspects uniques. Unique car elle a visé les plus gros « tuyaux » d’Internet (les tiers 1), ce qui est atypique et à bien failli couper tout le réseau pendant quelques heures. Elle est aussi unique par la violence et son ampleur. A notre connaissance, aucune attaque n’avait encore atteint une telle ampleur, avec près de 300 Gbps de trafic vu par les grands opérateurs par moment. Les plus gros points d’échange d’Internet n’acceptent que 100 Gbps, là où cette attaque a dépassé les 300 Gbps par endroits dans le réseau mondial…

Cela représente, disons 1 million de voitures circulant sur une route où l’on en attend 100 000 en général au grand maximum. C’est l’équivalent de plusieurs dizaines de milliers de connexions ADSL classiques qu’il faudrait réunir à plein débit à un instant donné pour atteindre un tel volume. Un très gros canon à paquet donc et cela n’est encore qu’une partie du trafic maximal généré par cette attaque. Unique enfin par sa cible et son origine. Pour une cause qui ne nécessite très probablement pas une telle Vendetta, le spam, Internet a été déstabilisé quelques heures. On ne règle pas les bagarres de gamins dans une cours de récré à coup de taser et de flashball, on ne règle pas un différend avec Spamhaus avec une DDOS de cette taille, cela est déraisonnable.

Unique, cette attaque à malheureusement de grande chance de ne pas le rester car rien n’est fait à l’heure actuelle par les autorités pour forcer des configurations plus efficaces des réseaux opérateurs et des services clef d’Internet. Les solutions sont connues, la volonté de les appliquer manque. Elle ne restera pas unique car mener une telle attaque n’est pas extrêmement complexe, les méthodes sont connues et les personnes capables de les mener se comptent en dizaines de milliers dans le monde, à minima. Bien sûr la très grande majorité d’entre elles sont des personnes raisonnables, mais il suffit d’une seule en l’occurrence pour atteindre un tel résultat…

La structure de base d’internet la rend résiliente à beaucoup de dangers différents, mais d’un autre côté,  certains points clés sont toujours très fragiles et les milieux underground le savent …

Moi vouloir tuer Internet L’architecture principale du DNS peut être mise à terre. Ce n’est pas chose aisée mais un DDOS massif peut la faire plier et donc casser le système de résolution de nom et le processus de diffusion, entrainant ainsi un situation très inconfortable. Le second point que je voulais souligner est que la faille dévoilée par Dan Kaminsky durant l’été 2008 est encore présente sur presque un quart des DNS mondiaux et permet une attaque par cache poisoning, aussi simple que redoutablement efficace.

BGP. Cette partie est aussi sensible et fragile. Les membres de la DFZ (Default Free Zone) sont supposés se faire confiance les uns aux autres les yeux fermés. Nous prenons des routes depuis d’autre AS et diffusons notre routage aux autres membres…Mais si des paquets étranges sont envoyés dans le pré-carré, ils peuvent faire chuter l’ensemble, comme par exemple ce fameux mois d’août 2010, durant lequel le Ripe à mener une expérience qui tourna mal, brisant ainsi beaucoup de routes et dérangeant une partie du trafic Internet pour plusieurs minutes. Les Chinois ont aussi commis leur « erreur », générant un des plus spectaculaires détournements de trafic de l’histoire d’Internet. Il est dit que c’était une erreur (par ceux qui l’ont commise 🙂 ) mais il apparait tout de même comme rien de moins que le plus large et important piratage jamais réalisé sur internet, montrant une fois encore que les piliers d’Internet peuvent encore facilement « trembler sur leurs bases.

L’IPV4 est le plus fondamental des protocoles d’Internet. Il est présent depuis des décennies et à été attaqué de tellement de façon différentes que je ne peux imaginer donner un chiffre pertinent à fournir dans cet article. Quelques points sont cependant sûr concernant IPV4, le protocole est utilisé partout (moins de 8% d’internet est prêt pour IPV6), il comporte de nombreuse erreurs de conceptions, il permet de nombreuse attaque par DDOS, spoofing, sniffing et chacun l’implémente « à sa sauce ». Tout cela fait d’IPV4 le plus utilisé des protocoles de niveau 3 du monde et, bien entendu, le plus connu, testé, reversé et attaqué…

Une lutte de pouvoirs ?

CloudFlare après sa méga panne plongeant des centaines de milliers de sites dans le noir le plus total avait bien besoins d’une énorme publicité. En aidant cette fois des « gentils », c’est pour eux l’occasion rêvée pour redorer cette image ternie. Il n’y a pas que les attaques qui peuvent être amplifiées, il y a aussi les paroles. Oui, car contrairement à ce que raconte certains ahuris, le trafic Internet en Europe n’a pas bougé d’un pouce : chiffres à l’appui. Quant aux évènements, il s’agit bien d’un règlement de compte entre Spamhauss et de véritables cybercriminels aguerris qu’il vaut mieux éviter de chicaner, même pour plaisanter.

Spamhauss est sauvé, CloudFlare devient un super-héros auprès des gentils mais laisse une ouverture béante aux whitecollars du CB-31337 qui ne se font pas prier pour récupérer habillement l’histoire en diabolisant à nouveau Spamhauss (ouvertement critiqué pour avoir le cul entre deux chaises et pour ses méthodes de cowboys) et gagnant ainsi de nouveaux clients. Si vous n’avez pas encore compris, Internet va bien, très bien même. Business is business… Cependant ça démontre une nouvelle fois les faiblesses connues qui peuvent (mais ça ce n’est pas nouveau, disons « qu’ils osent ») être utilisées dans d’autres types d’attaques. Avec ces escarmouches, ils ne font que frapper du poing, peut être un avertissement comme tu le soulignes,… ou simplement une évaluation. Ces gens là ont largement la capacité de mener des offensives nettement supérieures (avec dégâts). A mon sens, il faut se souvenir d’une chose très importante : il n’est pas possible d’évaluer les capacités offensives avec certitude de l’ensemble des acteurs en présence car ils sont connectés indirectement avec divers milieux, autres que l’underground traditionnel. Ils peuvent changer de facette l’espace d’un instant et devenir un bras armé. Mettez une dose d’agences de renseignements, une pincée de politiques… et très franchement, je doute que les moyens déployés, même extra-ordinaires, depuis les claques Estoniennes, Géorgiennes,… suffisent à contre-carrer des attaques disons.. hors normes. Quoiqu’ils pourront certainement mener des investigations, compter les morceaux et tenter de recoller ce puzzle bordélique mais ça sera définitivement trop tard. Rassurez-vous, tant qu’il y aura des enjeux financiers, rien de tout cela n’arrivera. (Avec NBS-SYSTEM)

Chiffrement, cryptage

Deux solutions de Prim’X inscrites au catalogue produits de l’OTAN

Deux solutions de Prim’X inscrites au catalogue produits de l’OTAN Zed! et ZoneCentral de Prim’X ont obtenu l’approbation du laboratoire d’évaluation de produits de l’OTAN. Prim’X, éditeur de solutions de chiffrement pour la sécurité des données, annonce que ses solutions Zed! et ZoneCentral ont passé avec succès l’évaluation opérationnelle (OpEval) du laboratoire d’évaluation de produits de l’OTAN. Cela leur permet de figurer dès à présent au Nato Information Assurance Product Catalog avec le statut « green ».

« C’est avec une grande satisfaction que nous avons appris que nos produits avaient reçu une évaluation positive de la part de l’OTAN », déclare José Lavancier, Directeur des projets de Certification de Prim’X. « Cela vient récompenser l’implication de nos équipes et la qualité de leur travail pour fournir des solutions fiables, efficaces, et répondant au plus hautes exigences en matière de sécurité. »

ZoneCentral est un logiciel de chiffrement des données qui en réserve l’accès aux seuls utilisateurs autorisés et identifiés. Sans contrainte d’organisation, il protège les fichiers et les dossiers là où ils résident, sur un poste de travail ou sur un serveur de données. Zed! permet d’utiliser des conteneurs chiffrés pour protéger les transports de fichiers indépendamment du canal utilisé (email, support amovible, file transfert, etc.). Les conteneurs .zed sont comparables à une « valise diplomatique » contenant des fichiers sensibles que seuls les destinataires identifiés ont le droit de lire.

Après avoir reçu l’agrément de l’ANSSI, le succès de cette évaluation opérationnelle permet au NIATC (Nato Information Assurance Technical Center) d’attester de l’adéquation de ces deux produits aux besoins de l’OTAN et de leur interopérabilité avec les systèmes de l’Alliance pour la protection d’informations jusqu’au niveau Diffusion Restreinte OTAN.

« Soumettre nos solutions aux évaluations des organismes de certification les plus rigoureux est un gage de qualité supplémentaire qui démontre leur robustesse à nos clients, partenaires et l’ensemble de l’écosystème de la sécurité informatique », conclut Michel Souque, Président de Prim’X. C’est cette qualité de développement qui a fait notre succès et que nous comptons poursuivre dans l’avenir. »

Prim’X peut s’enorgueillir de quatre certifications récentes et une cinquième qui vient d’être lancée auprès de l’ANSSI pour ZonePoint 3.0, logiciel qui assure le chiffrement des documents déposés dans les bibliothèques SharePoint apportant ainsi la couche de confidentialité indispensable à tout projet de partage de document ou d’externalisation des données d’entreprise.