Archives de catégorie : Chiffrement

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Securite informatique

Fuite de données pour l’enseigne de prêt-à-porter Forever 21

L’enseigne de prêt-à-porter Forever 21 annonce le piratage de plusieurs millions de données bancaires. Des Francophones parmi les victimes.

Un conseil, si vous êtes un client ou une cliente de l’enseigne de prêt-à-porter Forever 21, vérifiez votre compte bancaire et alertez votre conseiller financier. La société américaine vient d’annoncer dans un communiqué de presse avoir été la victime d’un piratage informatique. Elle ne s’en est jamais rendu compte. C’est une source anonyme qui lui a indiqué le piratage. Des pirates se servaient dans les données bancaires de ses clients, depuis plusieurs mois.

Une cyberattaque qui a été déclenchée en mars 2017. Elle a été stoppée en octobre 2017. Huit mois d’une ponction malveillante via des terminaux de paiement ! « Notre enquête se focalise sur des transactions effectuées par cartes bancaires dans des magasins Forever 21 entre mars 2017 et octobre 2017, explique le communiqué de presse, Il est trop tôt pour fournir davantage de détails sur l’enquête. Nous vous conseillons d’examiner de près leurs relevés de comptes bancaires ».

Une nouvelle fuite de données massive. Comme l’explique dans le ZATAZ Web Tv tourné à New York, les fuites sont de plus en plus importantes avec des incidences qui sont cachées aux victimes, comme ce fût le cas pour Yahoo!, Equifax, ….

Forever 21 indique que de nombreux clients ont été impactés. Des boutiques basées en Inde, Israël, Corée du sud, Canada, Australie, Philippines, Mexique, Hong Kong, Brésil, Argentine sont touchées.

Inquiétant ? F21 indique que l’attaque n’a touché que certaines boutiques : « En raison des solutions de chiffrement et de tokenisation implémentées par Forever 21 en 2015, il semble que seuls certains terminaux de vente dans certains magasins Forever 21 ont été affectés lorsque le chiffrement des appareils n’était pas opérationnel.« 

Argent, BYOD, Chiffrement, cryptage, Cybersécurité, Entreprise, Paiement en ligne, Particuliers, RFID, Securite informatique

Des gants, des autocollants et des Pin’s NFC pour les Jeux Olympiques d’hiver

La société Visa a créé des gants, des autocollants et des pin’s NFC sur le thème des Jeux Olympiques. L’idée, effectuer des paiements rapides sur n’importe quel terminal de paiement équipé en sans contact.

Le sans contact dit NFC gagne du terrain. Visa, le fabriquant de cartes bancaires, vient de lancer trois produits NFC, paiement sans contact, pour les Jeux Olympiques d’Hiver. Des JO qui se dérouleront en Corée du Sud. L’entreprise s’est associée à Lotte Card, le pôle financier du géant de la grande distribution Lotte Department Store. Mission, créer de nouveaux accessoires de paiement. Ils sont disponibles depuis le 9 novembre partout en Corée. Parmi les produits, quatre pin’s au prix unitaire de 5 000 KRW (4€). Il faut ajouter un montant prépayé intégré d’une valeur de 30 000 (23€) ou 50 000 (38€) Won coréen (KRW).

Qui dit hiver, dit gant. Visa propose des gants… de paiement. Ils sont équipés d’une puce à double interface munie d’une antenne sans contact permettant d’effectuer des achats sur les sites officiels des Jeux Olympiques et sur les terminaux compatibles partout dans le monde. Les gants seront pré-chargés avec un montant prépayé d’une valeur de 30 000 ou 50 000 Won coréen (KRW).

Pour finir, des autocollants. Ici aussi, une puce et une antenne NFC à double interface. Ces micro-étiquettes peuvent être collées sur n’importe quel support, afin d’effectuer facilement et rapidement des paiements à tout moment. Les autocollants de paiement seront pré-chargés avec des montants prépayés s’élevant à 30 000, 50 000, 100 000 ou 200 000 Won coréen (KRW).

Pour rappel, la société LotteCard avait été victime d’un piratage massif de ses données en décembre 2013. Les données personnelles d’environ 20 millions de clients de Citi Bank Korea, Kookmin Bank, NongHyup Bank, KB Kookmin Card et Lotte Card avaient été touchées par cette fuite massive.

Protection des moyens de paiement sans contact

Pour la première fois, un moyen de protection active proposé sous forme de carte plastique empêche toute utilisation frauduleuse d’une carte de paiement sans contact ou d’un moyen de paiement utilisant le NFC sur un smartphone. C’est la promesse du laboratoire de design dirigé par Tomasz Pomorski, Omnichip et ISRA Cards, un fabricant français de cartes plastiques avec ou sans puce et avec ou sans contact. Les deux entreprises ont réfléchi à la création de cartes intégrant la technologie Active Blocker.

Alors que les systèmes de protection actuels se contentent de proposer un « bouclier » physique censé arrêter les ondes de façon aussi passive qu’imparfaite, Active Blocker va plus loin que la simple perturbation de la communication : il l’empêche en la brouillant. En effet, si un fraudeur tente de se connecter à une carte NFC via un lecteur pirate, ActiveBlocker empêchera toute communication en émettant des signaux qui « couvriront » ceux de la carte NFC. Le procédé de brouillage est vieux comme les ondes mais s’avère compliqué à mettre en œuvre dans une communication en champ proche car son effet perturbateur doit rester circonscrit à des distancent à la fois relativement courtes et suffisamment longues pour être parfaitement efficace.

C’est pourquoi ISRA a réfléchi à la création d’une carte dédiée à la protection des moyens de paiements, mais aussi des documents d’identités utilisant la technologie sans contact tels que les e-passeports. Cette carte se glisse simplement dans le portefeuille ou le porte-carte avec les cartes de paiement et agit immédiatement, sans batterie. Dès que l’utilisateur sort sa carte de sans contact pour effectuer un paiement chez un commerçant, elle quitte le champ d’action d’ActiveBlocker, son signal n’est donc plus brouillé et le paiement peut s’effectuer tout à fait normalement.

ISRA Cards et Omnichip proposeront leur produit commun à tous les acteurs susceptibles d’être confrontés à des problématiques de sécurité liés au NFC tels que banques, sociétés d’assurance ou d’assistance, distributeurs, fabricants ; dans des formes adaptées aux besoins des utilisateurs finaux : carte de protection, carte de fidélité, carte d’authentification, etc.

La rédaction a demandé une version pour test, nous n’avons pas encore reçu de réponse.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Securite informatique

Chiffrement : mais que se passe t-il chez nos voisins anglais ?

Suite aux récentes déclarations de madame Amber Rudd, ministre de l’Intérieur britannique, sur la question du chiffrement, Craig Stewart, VP EMEA chez Venafi, donne quelques enseignements de sécurité au gouvernement.

Le chiffrement est clairement à l’ordre du jour au Royaume Uni. Depuis quelques mois, le Ministre de l’Intérieur, Amber Rudd ne fait aucun secret sur ce qu’elle pense des entreprises technologiques comme WhatsApp, qui ne vont pas assez loin lorsqu’il s’agit d’arrêter des groupes extrémistes qui utilise la technologie à des fins néfastes. Lors d’un entretien assez controversé, Amber Rudd a prétendu qu’elle n’avait pas besoin de comprendre le chiffrement pour le combattre : une déclaration qui a choqué tous les acteurs de la sécurité.

Amber Rudd est sans aucun doute bien intentionnée. En tant que ministre de l’Intérieur, elle est responsable de la sécurité nationale et ce n’est donc pas étonnant, qu’elle agisse en pensant au devoir de préserver la sécurité publique. Cependant, ses récents propos indiquent un manque de compréhension des fondamentaux sur le chiffrement, même les plus élémentaires. Elle montre aussi un mépris inquiétant sur l’importance de la sécurité de notre économie numérique.

Obtenir des informations réalistes

Les citoyens devraient s’inquiéter par la vision d’Amber Rudd, qui semble voir le chiffrement comme une partie du problème, alors qu’il est en fait, l’un des moyens de défense incontournable dont nous disposons collectivement. Quand il est mis en place correctement, il préserve la sécurité de nos données, qu’il s’agisse de données sensibles sur « NHS Trust », où des informations sur l’enregistrement des votes (73% des sites de la police s’appuie là-dessus pour sécuriser les informations vulnérables) .

D’une façon plus générale, il est incontournable pour le succès de l’économie britannique dans le secteur bancaire, le commerce ou le e-commerce. Les logiciels de chiffrement, dans le viseur de Madame Rudd, ne sont que la partie visible de l’iceberg. Elle doit comprendre que le chiffrement ne peut pas s’appliquer ou se supprimer sur un simple coup de tête. Un chiffrement efficace exige que son infiltration soit impossible et que les portes dérobées de n’importe quel gouvernement ne puissent rendre les systèmes numériques accessibles ni aux cybercriminels ni aux gouvernements eux-mêmes. Amber Rudd a suggéré, à tort, qu’il s’agissait d’une théorie mais c’est un fait mathématique.

Etant donné le niveau de chiffrement, sur lequel le secteur public compte, pour préserver ses données publiques sensibles, il serait bon de conseiller à madame Rudd d’examiner de plus près, la fonction des entreprises technologiques, avant de tirer des conclusions trop rapides – particulièrement tant qu’il n’y a pas de preuve que l’affaiblissement du chiffrement par l’utilisation des « Backdoors » augmenterait notre sécurité.

Les citoyens face à l’accessibilité de leurs données personnelles

Dans le cadre d’un article pour The Telepgraph plus tôt dans l’année, Madame Rudd écrivait : « Qui utilise WhatsApp parce qu’il est crypté de bout en bout, plutôt que parce qu’il s’agit de la meilleure manière, la plus conviviale et bon marché, de rester en contact avec sa famille et ses amis ? », elle disait également : « Les entreprises font souvent des compromis entre sécurité et utilisation. C’est sur ce point, que nos experts croient pouvoir trouver des solutions. Les gens préfèrent souvent la facilité d’utilisation et une multitude de fonctions pour améliorer une sécurité inviolable ».

Pourtant, une étude récente la contredit. En se basant, sur les avis de plus de 1 000 citoyens britanniques, l’étude a examiné les initiatives qui accorderaient aux gouvernements plus d’accès aux données personnelles. Elle met en évidence, qu’une très large majorité d’entre eux, n’est pas d’accord sur l’utilisation de portes dérobées cryptées – avec une totale compréhension des menaces que ces portes dérobées présenteraient pour leur vie privée et leurs données personnelles-.

Dans cette étude, moins d’un quart (24%) des consommateurs britanniques croient en réalité que le gouvernement, devrait être capable d’obliger les citoyens, à communiquer leurs données personnelles. Par contre, à peine 1 sur 5 (19%), accepterait que le gouvernement puisse contraindre les entreprises technologiques à partager les données sans consentement préalable des consommateurs. La moitié des répondants, estime qu’elle serait plus en sécurité contre le terrorisme si le gouvernement avait accès aux données cryptées. Le manque total de soutien sur la position du gouvernement en matière de chiffrement, montre que le public estime clairement les avantages du cryptage, plus d’ailleurs que ne le font nos dirigeants.

Il est nécessaire d’avoir une vision globale

Malheureusement, le débat se poursuit. Madame Rudd ne sera pas la dernière à viser WhatsApp et d’autres sociétés technologiques, qui utilisent le chiffrement pour protéger la vie privée des consommateurs. Avec chaque attaque terroriste, la pression de ces sociétés va augmenter tant que nos dirigeants continueront à tirer des conclusions hâtives sans comprendre les faits.

Cela doit s’arrêter. Le chiffrement n’est pas un ennemi et le gouvernement devrait arrêter de l’encadrer comme si c’était le cas. Même si nous devions laisser de côté les priorités publiques sur cette question, la diminution du chiffrement nous rend plus vulnérables, et affaiblit notre économie, qui dépend d’une vaste gamme de transactions numériques sécurisées. Madame Rudd, de son côté, devrait bien apprendre les fondamentaux du chiffrement avant de commenter encore ce sujet.

Chiffrement, Cybersécurité, double authentification, Securite informatique

La mauvaise gestion des comptes et des accès à privilèges

Une étude mondiale auprès de plus de 900 professionnels de la sécurité informatique lève le voile sur une mauvaise gestion à grande échelle des comptes à privilèges. Neuf répondants sur dix reconnaissent des difficultés dans la gestion des comptes à privilèges. Un professionnel de la sécurité informatique sur cinq (18 pourcents) procède encore à une journalisation en format papier pour gérer les comptes à privilèges.

Une nouvelle étude mondiale, éditée par la société de One Identity, met en lumière de mauvaises pratiques généralisées en termes de gestion des comptes à privilèges. Dimensional Research a récemment interrogé 913 professionnels de la sécurité informatique sur les difficultés, les habitudes et les tendances en matière de gestion des accès aux données de l’entreprise. Parmi les conclusions les plus éloquentes, neuf répondants sur dix (88 pourcents) admettent rencontrer des problèmes pour gérer les mots de passe à privilèges, alors qu’un sur cinq (18 pourcents) effectue toujours une journalisation en format papier pour gérer les comptes à privilèges.

Ces conclusions sont significatives dans la mesure où les comptes à privilège octroient un accès littéralement illimité à quasiment tous les composants de l’infrastructure IT d’une entreprise et donnent en substance la clé des systèmes et données de l’entreprise les plus stratégiques et les plus sensibles. Cette étude révèle également trois domaines majeurs sujets à d’inquiétantes pratiques lacunaires pour gérer les comptes à privilèges.

Outils et plateformes d’administration

outre le fait que 18 pourcents des répondants admettent utiliser des journaux en format papier, il est surprenant que 36 pourcents utilisent des tableurs tout aussi inappropriés pour faire le suivi des comptes à privilèges. L’étude a également découvert que deux tiers (67 pourcents) des entreprises s’appuient sur deux outils ou davantage pour gérer ces comptes – ce qui révèle une incohérence généralisée dans la gestion des comptes à privilèges.

Supervision et visibilité : la majorité des professionnels de la sécurité informatique (57 pourcents) admet faire la supervision de certains comptes à privilèges uniquement, voire ne pas du tout superviser les accès à privilèges. Pire, 21 pourcents des répondants avouent être incapables de superviser ou d’enregistrer l’activité associée à des identifiants d’administration, alors que 32 pourcents indiquent qu’ils ne peuvent pas identifier de manière cohérente les personnes à l’origine de ces activités.

Gestion et modification des mots de passe : une impressionnante proportion de 86 pourcents des entreprises ne change pas régulièrement le mot de passe de leurs comptes administrateurs après chaque utilisation. De plus, 40 pourcents des professionnels de la sécurité informatique n’appliquent pas la meilleure pratique fondamentale consistant à modifier le mot de passe administrateur par défaut. En contournant ces meilleures pratiques, les comptes à privilèges deviennent une vulnérabilité et ouvrent la porte à une exfiltration de données ou pire en cas de compromission.

Quand une entreprise n’applique pas les processus les plus élémentaires de sécurité et de gestion des comptes à privilèges, elle s’expose à un risque considérable. Encore et toujours, les brèches ouvertes par le piratage de comptes à privilèges résultent en coûts de mitigation astronomiques ainsi qu’en vol de données et en marques écornées,” note John Milburn, président et directeur général de One Identity. “Les résultats de cette étude indiquent qu’il existe une vaste et inquiétante proportion d’entreprises n’ayant pas de procédures appropriées en place. Il est capital que les organisations implémentent les meilleures pratiques en matière de comptes à privilèges sans créer de nouvelles entraves à la réalisation du travail.”

Éviter une gestion archaïque

Un récent rapport de Forrester indique que huit brèches sur dix impliquent des identifiants à privilèges et met en lumière combien les pirates ciblent les comptes à privilèges. Les cybercriminels savent qu’obtenir l’accès à des comptes à privilèges est le moyen le plus rapide et le plus simple de mettre la main sur les données et les systèmes sensibles d’une entreprise. C’est pourquoi les organisations ne peuvent plus se contenter de pratiques dépassées, comme des registres en format papier ou une journalisation sous Excel pour gérer ces comptes prioritaires.

Base de données, Chiffrement, Cloud, Communiqué de presse, cryptage, Cybersécurité, double authentification, Entreprise, Fuite de données, Sauvegarde, Securite informatique

La sécurité reste l’un des freins les plus importants à l’adoption du Cloud

Selon une récente enquête, la sécurité informatique reste l’un des freins les plus importants à l’adoption du Cloud pour les entreprises.

Les entreprises de la zone EMEA se tournent de plus en plus vers Office 365 de Microsoft, même si compte tenu de toutes les cyber attaques récentes, les inquiétudes concernant la sécurité restent l’un des freins les plus importants à l’adoption du cloud. Telle est une des principales conclusions d’une enquête internationale conduite auprès de plus de 1.100 organisations par Barracuda Networks, Inc., un éditeur de solutions de sécurité et de protection de données basées sur le cloud.

L’enquête, intitulée “Office 365 Adoption Survey: Drivers, Risks, and Opportunities” avait pour but de mesurer les tendances autour de l’adoption et de l’utilisation de Microsoft Office 365, y compris les facteurs contribuant à la décision pour ou contre la migration vers cette plate-forme. L’étude a également permis de rassembler des informations sur l’utilisation par les entreprises de solutions tierces de sécurité et de protection de données avec Office 365, et leur engagement vis à vis de revendeurs à valeur ajoutée (VARs) et de fournisseurs de services managés.

Commentant ces résultats, Chris Ross, SVP International chez Barracuda Networks, a déclaré : “L’adoption d’Office 365 continuant d’augmenter d’une année sur l’autre en Europe, il est naturel d’assumer que les inquiétudes concernant les cyber menaces vont persister. Mais il est encourageant de constater que les entreprises s’éveillent à l’importance d’une approche de protection multi-couches, ce qui suggère une meilleure compréhension de leurs obligations lors de l’adoption du cloud.

Un domaine où l’Europe a encore du chemin à faire pour atteindre les niveaux constatés aux États-Unis est l’adoption de solutions tierces pour ajouter une couche supplémentaire de sécurité contre les attaques de spear phishing, d’usurpation d’identité et de ‘social engineering.

Seules 14% des organisations de la zone EMEA ont déjà quelque chose en place, à comparer à 36 pour cent aux États-Unis. Nous pensons que cette situation devrait évoluer au cours de l’année qui vient, et nous incitons les entreprises européennes à y prêter attention.

Nous constatons que les cyber criminels changent de cibles, passant du top management à des employés plus bas dans la hierarchie, et de grandes entreprises à des organisations plus petites disposant de moins de ressources.”

Principales conclusions dans la zone EMEA

* Près des deux tiers (62%) des entreprises de la zone EMEA utilisent désormais Office 365, en augmentation de 50 pour cent par rapport à une enquête similaire réalisée par Barracuda en 2016.

* Parmi celles qui n’utilisent pas aujourd’hui Office 365, un peu moins de 40% indiquent qu’elles prévoient de migrer dans l’avenir – une proportion moindre qu’aux États-Unis, où près de 49% déclarent prévoir cette migration.

* La plus grande inquiétude visant la sécurité pour plus de 90% des entreprises européennes concerne les ransomwares. Près la moitié d’entre elles (48%) avouent avoir déjà été frappée par une infection de ce type, même si seulement 3% d’entre elles ont finalement payé la rançon.

* Pour les entreprises ayant déjà été frappées, le mail a été de loin le principal vecteur d’attaque pour les cyber criminels, près des trois quarts (70%) des attaques par ransomware arrivant via email. Les trafic web (18%) et le trafic réseau (12%) n’ont représenté qu’un nombre relativement faible d’infections.

* La raison la plus couramment invoquée pour ne pas migrer vers Office 365 a changé depuis l’étude de l’année dernière, les entreprises européennes rejoignant les américaines en plaçant en tête les inquiétudes concernant la sécurité (32%). Mais à la différence des États-Unis, les entreprises européennes citent toujours une politique “no cloud” comme une raison significative de ne pas migrer (28%).

* Malgré ces inquiétudes, plus de 85 pour cent des entreprises européennes interrogées ont indiqué ne pas utiliser la fonction Advanced Threat Protection (ATP) de Microsoft Office 365 – s’appuyant plutôt sur des solutions tierces pour accroître la protection de leurs environnements Office 365. Plus de deux cinquièmes d’entre elles (43%) utilisent des solutions tierces de sécurité, d’archivage ou de sauvegarde, ce chiffre étant encore plus important (68%) parmi celles qui prévoient de migrer.

* A côté de cela, 41% des organisations interrogées ont déclaré redouter des attaques de phishing, de spear phishing, d’usurpation d’identité ou de ‘social engineering’. Toutefois, seules 14% des organisations européennes ont indiqué disposer d’une solution tierce pour adresser ces menaces.

Ces résultats confirment la prise de conscience croissante des besoins de sécurité que nous constatons chez nos clients, et la nécessité d’adopter une approche multi-couches pour progresser,” a ajouté Sanjay Ramnath, Vice President of Security Products and Business Strategy chez Barracuda. “Nos clients et nos partenaires indirects qui déploient Barracuda Sentinel et Barracuda Essentials for Office 365 peuvent migrer certains de leurs processus de gestion stratégiques dans le cloud, tout en étant certains d’être protégés contre les ransomwares, les attaques de spear phishing et d’autres menaces avancées.

Chiffrement, Communiqué de presse, Cybersécurité, Leak, Mise à jour, Patch, Piratage, Securite informatique

Trafic des Code Signing Certificates

Sur le dark web, le trafic illicite des « Code Signing Certificates » se révèle plus lucratif que le trafic de passeports et d’armes. Une étude révèle le commerce florissant des certificats de signature de code.

Le business des Code Signing Certificates prend de l’ampleur. C’est du moins ce qu’a constaté Venafi, éditeur de solutions axées sur la protection des identités machines. La société annonce les conclusions d’une enquête menée pendant six mois, sur les ventes de certificats numériques de signature de code réalisées sur le darkweb.

Menée par le CSRI (Cyber Security Research Institute), cette enquête a mis en évidence l’abondance de certificats de signature de code sur le darkweb, qui peuvent se négocier jusqu’à 1 200 dollars – rendant ces articles plus onéreux que des passeports contrefaits, des cartes bancaires dérobées et même des armes de poing aux États-Unis.

« Nous savons depuis plusieurs années que les cybercriminels recherchent activement des certificats de signature de code pour diffuser des logiciels malveillants sur ordinateurs », indique Peter Warren, président du CSRI. « La preuve de l’existence d’un marché de la criminalité aussi conséquent pour les certificats remet en question l’ensemble de notre système d’authentification sur Internet et témoigne de l’urgente nécessité de déployer des systèmes technologiques capables de faire obstacle à l’utilisation abusive des certificats numériques. »

Les certificats de signature de code servent à vérifier l’authenticité et l’intégrité des logiciels et applications informatiques, et constituent un élément essentiel de la sécurité sur Internet et en entreprise. Néanmoins, les cybercriminels peuvent mettre à profit des certificats de signature de code compromis pour introduire des malwares sur des réseaux d’entreprise et équipements grand public.

« Notre étude révèle que les certificats de signature de code constituent des cibles lucratives pour les cybercriminels », souligne Kevin Bocek, stratège sécurité chez Venafi.

Les certificats de signature de code dérobés rendent la détection de logiciels malveillants quasiment impossible pour les entreprises. N’importe quel cybercriminel peut s’en servir pour fiabiliser et mener à bien des attaques de malwares, de ransomware et aussi des attaques cinétiques.

De plus, les certificats de signature de code pouvant être revendus plusieurs fois avant que leur valeur ne commence à décroître, ils s’avèrent très profitables aux pirates et aux négociants présents sur le darkweb. Autant de facteurs qui alimentent la demande en leur faveur.

« Bien que notre enquête ait mis au jour un trafic florissant au niveau des certificats de signature de code, nous avons uniquement fait apparaître la partie émergée de l’iceberg. Ironie du sort, nos chercheurs n’ont pu, bien souvent, approfondir leurs investigations, les opérateurs du darkweb se montrant méfiants à leur égard. Nous soupçonnons un négoce de certificats et de clés TLS, VPN et SSH tout aussi prospère, en marge du trafic de certificats de signature de code que nous avons mis au jour », conclut Peter Warren.

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, Sauvegarde, Securite informatique

Chiffrement : une clé USB sensible trouvée dans la rue

Chiffrement : un homme trouve une clé USB avec les plans de sécurité d’un aéroport Londonien. Des informations qui n’étaient pas chiffrées !

Un Londonien sans emploi a découvert une clé USB dans la rue alors qu’il se dirigeait vers la bibliothèque pour vérifier sur Internet les offres d’emploi. Quand il est arrivé à la bibliothèque, il l’a branché et a découvert que cette dernière était remplie de nombreux détails de sécurité au sujet de l’aéroport international de Londres Heathrow. On pouvait également y trouver les mesures de sécurité et les détails de voyage de la reine Elizabeth II. L’homme a remis immédiatement le disque à un journaliste du Sunday Mirror.

Les informations ainsi disponibles comprenaient l’emplacement de chaque caméra de télévision en circuit fermé (CCTV), les itinéraires et mesures de protection de la sécurité pour la Reine, les ministres du Cabinet et les dignitaires étrangers en visite, mais aussi des cartes des tunnels de l’aéroport.

Une fuite, des fuites !

« Cette histoire est tout ce qui est de plus vraie hélas » indique Romain Cohen-Gonsaud, responsable des ventes et du marketing en Europe pour Origin Storage, il poursuit en indiquant « de tels faits sont très graves et il faut que tout le monde prennent conscience au niveau des entreprises, gouvernements et agences gouvernementales que les données que nous stockons sont ultra sensibles ».

Il existe de nombreux moyens de protéger nos données où qu’elles se trouvent. Si l’on reprend l’exemple de cette clé USB perdue, une telle histoire n’aurait pas vu le jour si le propriétaire des données avait mis en place un système de gestion des périphériques mobiles. En effet avec la solution SafeConsole, il est possible d’administrer à distance un disque dur ou encore une clé USB, changer le mot de passe utilisateur et même effacer la totalité du contenu stocké ! Et ceci à distance sas effort.

A l’heure où nous parlons de plus en plus de la fameuse GRPD, cette loi qui va obliger les entreprises de toute taille à mettre en œuvre des systèmes afin de sécuriser leurs données, il faut bien avouer que cette histoire doit tous nous motiver à prendre les bonnes décisions, plutôt que de les subir, et ce dans l’intérêt de tous.

Chiffrement, Communiqué de presse, cryptage, Justice, loi, RGPD, Securite informatique

RGPD : choisir entre l’anonymisation ou la pseudonymisation des données personnelles

Un commentaire

Anonymisation ou pseudonymisation ? Le Règlement Général sur la Protection des Données (RGPD) entrera en vigueur dans quelques mois, le 25 mai 2018. Avec la digitalisation et l’augmentation accrue du nombre de données, cette nouvelle réglementation européenne demande à toute entreprise manipulant des données personnelles et toute information permettant d’identifier une personne, de mettre en place les moyens techniques adéquats pour assurer la sécurité des données des citoyens européens.

Anonymisation ou pseudonymisation ? Deux grandes techniques très distinctes mises en avant dans la réglementation RGPD / RDPG mais qui sont pourtant souvent confondues dans le monde de la sécurité informatique : l’anonymisation des données et la pseudonymisation des données. Pour être conforme à la RGPD, il est important de pouvoir faire la différence, afin de s’assurer d’être bien préparé et de protéger correctement les données des citoyens.

Data anonymization (anonymisation) ou comment anonymiser l’information

La technique de l’anonymisation des données détruit toute possibilité de pouvoir identifier à quel individu appartiennent les données personnelles. Ce processus consiste à modifier le contenu ou la structure des données en question afin de rendre la « ré-identification » des personnes quasi impossible, même après traitement.

Cette méthode, intéressante au départ, reste pourtant difficile à mettre en œuvre dans la mesure où plus le volume de données croît, plus les risques de ré-identification par recoupement sont importants. En effet, des informations totalement anonymisées peuvent conduire à l’identification d’une personne en fonction du comportement relevé dans les informations, comme les habitudes de navigation sur internet, les historiques d’achats en ligne. Par exemple, si une entreprise garde les données de l’employée Sophie, même en les rendant anonymes (plus de nom, prénom, date de naissance et adresse), l’humain ayant des habitudes, il reste tout de même possible de déterminer un comportement spécifique : L’entreprise saura par exemple que Sophie se rend sur le même site d’information tous les matins, consulte ses mails quatre fois par jours et aime visiblement commander tous les jeudis son déjeuner au restaurant au coin de la rue. Au final, même anonymisées, les habitudes de comportement de Sophie permettent de la ré-identifier.

Or, la CNIL rappelle que « pour qu’une solution d’anonymisation soit efficace, elle doit empêcher toutes les parties d’isoler un individu dans un ensemble de données, de relier entre eux deux enregistrements dans un ensemble de données (ou dans deux ensembles de données séparés) et de déduire des informations de cet ensemble de données. »

Pour de nombreuses entreprises donc, l’anonymisation totale des données personnelles reste difficile à mettre en œuvre. Ces dernières se tournent alors vers une autre technique qui apparait comme un bon compromis : la pseudonymisation.

La pseudonymisation ou l’anonymisation des données

La réglementation RGPD introduit un nouveau concept de protection des données à échelle européenne, la pseudonymisation, un « entre deux » qui ne rend pas les données complètement anonymes ni complètement identifiables non plus. La pseudonymisation consiste à séparer les données de leurs propriétaires respectifs pour que tout lien avec une identité ne soit possible sans une information supplémentaire. En résumé, il s’agit d’une technique d’amélioration de la vie privée où les données d’identification directes sont conservées séparément et en toute sécurité à partir des données traitées, afin de garantir la non-attribution. Ainsi, dans le contexte de la pseudonymisation, les données ne sont pas complètement anonymes sans être identifiables pour autant.

L’unique point faible de la pseudonymisation est qu’elle génère une clé d’identification, une pièce maîtresse qui permet d’établir un lien entre les différentes informations des personnes. Pour assurer la sécurité des données, ces clés d’identification doivent être stockées avec un contrôle d’accès performant. En effet, une clé d’identification mal protégée permet à un attaquant de retrouver les informations originales avant que ces dernières ne soient traitées. L’utilisation du chiffrement des données sensibles fait partie des solutions robustes de protection des informations confidentielles en matière de pseudonymisation. Et il est du devoir de l’entreprise de mettre en place les solutions de sécurité adéquates et raisonnables permettant de limiter les risques de vols de ces précieuses clés par des personnes mal attentionnées.

Les entreprises ont le choix entre les techniques d’anonymisation et de pseudonymisation des données personnelles pour être conformes au RGPD. Leur choix dépendra de leurs besoins mais aussi de la nature des informations collectées. Si l’anonymisation est une technique qui peut être difficile à mettre en place, la pseudonymisation permet de simplifier le processus de protection des données personnelles tout en restant conformes à la nouvelle réglementation européenne. (Jan Smets, pre-sales manager chez Gemaltode)

Chiffrement, Communiqué de presse, Cybersécurité, IOT

La sécurité de l’IoT et de l’OT est une véritable bombe à retardement pour les entreprises

Les décideurs métiers et IT sont anxieux par rapport à la sécurité de l’IoT, notamment en raison des dommages possibles liés à une faille de sécurité.

ForeScout Technologies, Inc., spécialiste de la sécurité de l’Internet of Things (l’IoT), dévoile les résultats de sa dernière étude portant sur l’impact de l’IoT et des technologies opérationnelles (Operation Technology – OT) sur les entreprises. Elle se penche notamment sur les dilemmes de cybersécurité, inhérents à l’IoT et à l’OT, causés au sein des équipes de sécurité et métiers.

L’étude, conduite par le cabinet d’analystes indépendant Forrester Consulting, révèle que ces mêmes équipes sont soumises à de fortes pressions en matière de sécurité de l’IoT et des technologies opérationnelles. Ce stress est notamment dû aux répercussions négatives qu’une faille de sécurité pourrait avoir sur le business de l’entreprise. De plus, la majorité des entreprises (82 %) peinent à identifier l’ensemble des objets connectés à leur réseau. Quant à la désignation d’un responsable de la sécurité de l’IoT, les décideurs IT comme métiers ne peuvent s’accorder sur une réponse précise.

« Les résultats de cette enquête démontrent un changement dynamique dans la manière dont les entreprises abordent la sécurité et les risques liés à l’IoT. Chaque nouvel appareil connecté représente un vecteur supplémentaire d’attaque. Il suffit d’un seul périphérique pour compromettre un réseau entier et perturber les activités de l’entreprise », explique Michael DeCesare, Président et CEO de ForeScout. « La sécurisation de l’IoT n’est pas seulement un enjeu de cybersécurité mais un également un enjeu business. Une personne malveillante exploitera le maillon le plus faible, qui opéré à un niveau de risque même minime, représente déjà un danger. Pour se prémunir, les entreprises ont donc besoin d’une visibilité complète. »

D’après les résultats de l’étude, 77 % des entreprises interrogées reconnaissent que l’utilisation accrue des appareils connectés génère d’importants challenges en matière de sécurité. De plus, 76 % des responsables interrogés ont déclaré que leurs doutes quant à l’IoT les obligeaient à repenser leurs stratégies de sécurité informatique.

Selon Forrester Research, « l’IoT et l’OT apportent des avantages significatifs aux entreprises à travers le monde. Elles vont dans la bonne direction en ce qui concerne les investissements en matière de sécurité de l’IoT. Nous entendons davantage sensibiliser aux défis et aux best pratices à mener en la matière. Car les conclusions de l’enquête révèlent qu’il faut renforcer les actions autour de la sécurité l’IoT. »

Selon l’étude de Forrester Consulting, « Fail to plan, plan to fail », les entreprises voient déjà les avantages d’une nouvelle connexion de périphériques. Mission améliorer les processus/fonctions métier.

Les progrès technologiques ont donné lieu à un déluge de nouveaux types de dispositifs connectés. Des IoT qui, à leur tour, introduisent de nouvelles menaces de sécurité.

Les entreprises sont mal équipées pour les combattre et les reconnaître.

Avec un financement accru et une nouvelle stratégie de sécurité axée sur la visibilité et la conformité, les entreprises peuvent commencer à faire des progrès. In fine, elles réduiront leur anxiété au sujet de l’IoT et regagneront confiance en leur réseau.

L’angoisse autour de la sécurité IoT paralyse l’entreprise

L’IoT engendre un nouveau niveau de complexité et un potentiel impact négatif sur les activités de l’entreprise en cas de défaillance de la sécurité. Plus de la moitié des répondants (54 %) reconnaissent que la sécurité de l’IoT les rend anxieux. Les responsables métiers le sont notamment plus (58 %) que leurs homologues de l’informatique (51 %). En effet, ils comprennent l’ampleur qu’une violation peut avoir sur le fonctionnement de l’entreprise. De plus, ils n’ont parfois pas l’assurance que leurs dispositifs soient totalement sécurisés. Sans compter que ce sentiment de détresse est dû aux coûts supplémentaires et au temps nécessaire pour gérer ces dispositifs, ainsi qu’au manque de compétences en matière de sécurité.

Les obstacles et les complications de la conformité mènent au risque

Pour près de la moitié des informaticiens (45 %) les contraintes budgétaires constituent le principal obstacle à davantage d’investissements dans le domaine de la sécurité IoT. Le scepticisme de la Direction entre également en ligne de compte. Or, sans investissement supplémentaire, 40 % des professionnels de la sécurité continuent de s’appuyer sur une approche de sécurité traditionnelle pour protéger l’IoT et l’OT. Cette stratégie empêche les entreprises de détecter tous les périphériques connectés au réseau. In fine, cela ouvre la porte à un plus grand risque de sécurité ainsi qu’à des complications potentielles de conformité. D’autant plus que 82 % des entreprises reconnaissent ne pas être en mesure d’identifier l’intégralité des appareils connectés à leur réseau, courant ainsi un véritable risque. De plus, 59 % s’avouent même prêtes à tolérer un niveau de risque moyen voir élevé par rapport aux exigences de conformité de la sécurité de l’IoT. Une telle approche est préoccupante quand 90 % des entreprises s’attendent à voir le volume d’appareils connectés augmenter au cours des prochaines années.

Prolifération de l’IoT et de l’OT et les nouveaux challenges inhérents à la responsabilité de leur sécurité

L’étude soutient une déconnexion claire entre les responsables IT et métiers. Elle met en évidence les problèmes potentiels de responsabilité liés à la sécurisation des dispositifs IoT/OT.

Qui est le principal responsable de la sécurisation des appareils IoT/OT sur un réseau d’entreprise ? 44% des responsables IT, contre 36 % des répondants métiers, déclarent qu’elle tient de la responsabilité de professionnels au sein des centres d’opérations de sécurité.

Les responsables métiers sont plus favorables à l’idée qu’un responsable informatique spécialisé métiers puisse en assurer la gestion. Voire un responsable métier directement. Alors que la plupart des entreprises ont tendance à conserver la gestion de la sécurité sous la responsabilité du service informatique, la collaboration entre les gestionnaires d’actifs, les équipes métiers et les équipes réseau, qui adoptent et déploient ces périphériques connectés, devient de plus en plus critique. Ce point est important pour établir une stratégie de sécurité IoT harmonieuse, d’autant plus lors de la gestion des configurations de sécurité par défaut et la visibilité correcte de tous les périphériques.

Relever les défis de sécurité inhérents à l’IoT/OT, savoir prendre les bonnes mesures pour progresser
Un ensemble de mesures émanant de la part de la Direction (usage d’outils de sécurité appropriés et réalisation d’audits) suffit à renforcer la confiance d’appareil sur le réseau.

En effet, pour 48 % des répondants l’amélioration de la prise en compte et de la visibilité des appareils IoT est LA priorité. Ainsi, 82 % des répondants s’attendent à ce que leurs dépenses IoT/OT augmentent au cours des deux prochaines années.

Cependant, pour plus de la moitié d’entre eux (55 %), l’intégration de nouvelles solutions de sécurité IoT avec les existants constitut le critère le plus important.

Méthodologie de l’étude

Cette étude, commanditée par ForeScout, a été réalisé par Forrester en aout 2017 auprès de 603 responsables informatiques et métiers impliqués dans les processus de sécurité réseau. Les participants ont été interrogés sur les défis liés à la sécurité de l’IoT. Sur leur niveau de conscience de la sécurité des dispositifs sur leur réseau. Des entreprises implantées aux États-Unis, au Royaume-Uni, en Allemagne, en France, en Australie et en Nouvelle-Zélande. Toutes comptant 2 500 employés ou plus, ont été interrogées pour cette étude.

Chiffrement, Communiqué de presse, cryptage, Cybersécurité, Justice, loi, Securite informatique, Tor

Le cabinet d’avocats Desmarais en direct dans le Dark Web

Dark Web, deux mots qui font fantasmer… et renvoient souvent aux hackers, crackers et autres pirates informatiques. Un espace qui pourtant n’est pas à négliger. Le cabinet d’avocats Desmarais vient d’y implanter un espace numérique.

Ce Dark Web, appelé officiellement « Internet Clandestin » par la Commission d’Enrichissement de la Langue Française n’est pas une zone de non droit pour Pierre Desmarais du Cabinet Desmarais Avocats. « Le Dark Web est d’abord et avant tout un espace chiffré permettant des échanges et des connexions sécurisées et plus anonymes. Comme sur tout espace public, le droit y a pleinement sa place ».

De l’autre côté du miroir

En amont de l’ouverture du Hackfest de Québec et à l’occasion du lancement de son nouveau site Internet (www.desmarais-avocats.fr), le Cabinet, spécialisé notamment en droit de l’innovation, des données et du numérique, a décidé de se présenter également sur TOR (The Onion Router) via l’adresse pxpalw3plncz4umm.onion (Uniquement via TOR).

« Aujourd’hui, c’est une simple transposition de note site classique. Demain, nous irons plus loin. En effet, les utilisateurs du Dark Web, de TOR, se posent de nombreuses questions sur l’usage crypté / anonymisé permis pour cet espace. C’est pourquoi nous allons rapidement leurs proposer une FAQ sur les points principaux » précise Mr Pierre Desmarais.

De plus, et pour aller encore plus loin, le cabinet Desmarais Avocats envisage déjà de réaliser des webinars dédiés sur TOR. Pour construire ceux-ci et préparer la FAQ, chaque internaute présent sur le Dark Web et s’interrogeant sur une question juridique liée à son usage est invité à transmettre celle-ci via le formulaire de contact présent sur le site.

Dark Web, un nouvel espace de sécurité pour les usagers et les entreprises

À l’heure où la sécurisation des données, leur anonymisation sont au centre de tous les débats, aussi bien dans le monde de la santé, du e-commerce, de la banque-assurance ou de l’information, le Dark Web est de plus en plus porteur de solutions.

OpenBazzar est un exemple révélateur de cette évolution, de ces nouveaux usages issus du Dark Web. Non seulement cette plateforme de e-commerce permet de limiter le prix de biens vendus (absence de commission, chaque utilisateur ou entreprise étant sa propre plateforme de e-commerce) mais elle permet également de rester maître de ses données personnelles, de ses habitudes d’achat qui ne sont transmises à personne.

« Les technologies blockchain, dont on parle de plus en plus et dont les usages commencent à émerger pour sécuriser des transactions financières, des échanges de données…, sont nées du Dark Web » indique Mr Pierre Desmarais avant de poursuivre « Il est nécessaire de s’immerger dans cet espace si l’on souhaite accompagner au mieux les usages. Cela fait partie de l’ADN du cabinet ».