Archives de catégorie : Chiffrement

Chiffrement, cryptage, Cybersécurité, Entreprise, Justice, loi, RGPD, Securite informatique

Les RSSI craignent les failles de sécurité dans le cloud public

Selon une récente étude, les RSSI craignent les failles de sécurité dans le cloud public, mais seule une entreprise sur six chiffre toutes ses données.

Selon une récente étude publiée par la société Bitdefender, neuf professionnels de l’informatique sur dix se disent inquiets de la sécurité dans le cloud public, et près de 20 % d’entre eux n’ont pas déployé de système de sécurité pour les données sensibles stockées hors de l’infrastructure de l’entreprise. La moitié des personnes interrogées admet que la migration vers le cloud a significativement élargi le nombre de points qu’ils ont à défendre, tandis que seule une sur six chiffre les données déjà migrées. Cette enquête a été menée auprès de 1 051 professionnels en informatique de grandes entreprises comptant plus de 1 000 PC et des datacenters ; aux États-Unis, au Royaume-Uni, en France, en Italie, en Suède, au Danemark et en Allemagne.

Parmi les nouvelles exigences, l’obligation de protéger correctement les données, et en cas de violation, l’obligation pour les entreprises d’avoir en place des systèmes de notification conformes aux critères de la RGPD. L’adoption grandissante du cloud hybride – un mélange de services de cloud public et de datacenters privés, déjà en place dans 70 % des entreprises dans le monde – donne naissance à de nouveaux défis en matière de sécurité et oblige les RSSI à adopter diverses technologies pour contrer les exploits de type Zero-day, les menaces persistantes avancées et autres types de cybercrimes dévastateurs.

Qui dit cloud hybride dit problèmes hybrides
Près de 81 % des RSSI estiment que les logiciels de sécurité sont le dispositif de sécurité le plus efficace pour protéger les données stockées dans le cloud public, suivi de près par le chiffrement (mentionné par 77 % des répondants) et les sauvegardes (jugées fiables par près de la moitié des personnes interrogées).

Selon cette enquête, un grand nombre d’entreprises françaises – quatre sur dix – protègent de 31 à 60 % des données stockées dans le cloud public, tandis que seules 17 % d’entre elles chiffrent l’intégralité de celles-ci. Autre sujet d’inquiétude : 19 % des RSSI ne déploient pas de sécurité dans le cloud public, et le même pourcentage ne chiffre pas les données en transit entre leur propre datacenter et les datacenters externes.

Les spécialistes en cybersécurité de Bitdefender recommandent que tous les transferts de données entre le client et le prestataire de services cloud soient chiffrés pour éviter les attaques de type man-in-the-middle susceptibles d’intercepter et de déchiffrer toutes les données transmises. En outre, toutes les données stockées en local ou dans le cloud doivent être chiffrées pour empêcher les cybercriminels de les lire en cas de violation de données ou d’accès non autorisé.

Pour se conformer à la RGPD, les entreprises doivent identifier les données qui relèvent du règlement – « toute information se rapportant à une personne physique identifiée ou identifiable » –, consigner la manière dont ces données sont protégées et définir des plans d’intervention en cas d’incident.

L’enquête montre également que 73 % des responsables informatiques utilisent une solution de sécurité pour endpoint afin de protéger les infrastructures physiques et virtuelles, mais que 24 % ont mis en place d’autres outils. Parmi ceux-ci, 77 % l’ont fait pour protéger des clients sensibles et des données de clients, 70 % citent la conformité aux exigences internes et réglementaires, et 45 % veulent empêcher les interruptions de service suite à une attaque.

Une sécurité sur mesure face aux cyberarmes les plus élaborées
Les spécialistes Bitdefender conseillent fortement aux RSSI d’utiliser une infrastructure de sécurité centralisée, à la fois pour les environnements physiques et virtuels, mais étant capable de s’adapter à l’environnement sur lequel elle est déployée, et ce pour éviter trois inconvénients majeurs :

– L’augmentation des coûts généraux : l’installation d’une solution pour endpoint sur plusieurs machines virtuelles hébergées sur le même serveur impacte les ressources en exécutant en permanence des applications redondantes telles que les agents de sécurité.

– La réduction significative des performances : celle-ci sera inévitable si des outils de sécurité pour environnements virtualisés ne sont pas déployés. En effet ceux-ci utilisent des agents optimisés intégrés à des appliances virtuelles de sécurité sur le ou les serveurs, pour que les fichiers déjà analysés ne soient pas réanalysés à chaque fois qu’un utilisateur en a besoin.

– L’absence de protection lors du démarrage : les environnements virtuels ont souvent à faire face à des cyberarmes plus sophistiquées que celles observées pour les environnements physiques, telles que les menaces persistantes avancées ou les attaques ciblées, qui visent aussi bien les entreprises que les entités gouvernementales (exemple APT-28, et plus récemment Netrepser). En la matière, une sécurité adaptée aux environnements virtuels est de loin la solution la plus efficace pour détecter et combattre ces menaces complexes.

Ce qui est stocké dans le cloud public ne doit pas être rendu public

Les entreprises françaises sauvegardent principalement dans le cloud public des informations relatives à leurs produits (52 %), à leurs clients (44 %) et à leurs finances (45 %) et évitent de sauvegarder hors site ce qu’elles considèrent comme des données plus sensibles, telles que les recherches sur de nouveaux produits ou la concurrence (respectivement 40 % et 32 %) ou ce qui touche à la propriété intellectuelle (17 %). Elles chiffrent donc plus souvent des informations et caractéristiques de produits (36 %), des informations sur leurs clients (29 %), des informations financières (35 %) que leurs sauvegardes (17 %), leurs recherches sur la concurrence (17 %) et les informations relatives à la propriété intellectuelle (12 %).

« Le risque de ne pas être conforme à la RGPD implique non seulement une mauvaise publicité et une atteinte à la réputation des entreprises, comme c’est déjà le cas, mais également des pénalités qui peuvent atteindre 4 % du chiffre d’affaires annuel d’une entreprise », explique Bogdan Botezatu, Analyste senior des e-menaces chez Bitdefender. « 2017 ayant déjà établi de nouveaux records en termes de magnitude des cyberattaques, les comités de direction doivent réaliser que leur entreprise connaitra sans doute, sous peu, une violation de données, car la plupart d’entre elles ne sont pas correctement protégées. »

Lors de la sélection d’une solution de cloud hybride, les spécialistes Bitdefender recommandent aux entreprises d’analyser le type de données qu’elles traitent et d’en évaluer le caractère sensible – aussi bien pour l’entreprise que pour ses clients. Les données critiques, personnelles et privées touchant à la propriété intellectuelle doivent être enregistrées sur site, et n’être accessibles qu’au personnel autorisé.

Les entreprises qui traitent des données sensibles ou confidentielles, ou des données relatives à la propriété intellectuelle, doivent veiller à ce que leur infrastructure de cloud privé reste privée. Aucune personne hors du réseau local ne devrait être en mesure d’accéder à ces données et seul le personnel autorisé doit avoir les accès nécessaires pour les traiter. Le cloud privé doit être complètement isolé de l’Internet public pour empêcher les pirates d’accéder à distance, aux données via des vulnérabilités.

En ce qui concerne les défis à relever, 32 % des RSSI français considèrent le cloud public comme leur principale priorité, un pourcentage quasiment identique au pourcentage de RSSI préoccupés par le cloud privé (34 %). 16% déclarent accorder une même importance aux deux, et 15 % estiment que le cloud hybride est leur principale source d’inquiétude.

La moitié des entreprises interrogées considère le manque de prédictibilité, le manque de visibilité sur les menaces, ainsi que le manque de plateformes de sécurité multi-environnements, comme étant les principaux défis de sécurité en ce qui concerne l’adoption du cloud.

Chiffrement, cryptage, Cybersécurité, Entreprise, Sauvegarde

Le coffre-fort numérique MemoCloud se charge de votre héritage numérique

La Toussaint est souvent un moment difficile pour ceux qui ont perdu un proche. Comment accéder aux informations de la personne décédée ? Le coffre-fort numérique MemoCloud se charge de cet héritage numérique.

Un proche décède et les implications difficiles administratives rentrent en jeu. Les difficultés lors d’une succession par manque d’informations données par le défunt se font rapidement sentir. Selon un sondage, 37% des Français confient ne pas trouver d’oreille « suffisamment attentive » pour parler de la mort, notamment après celle d’un proche. Cela a, en général, pour conséquence il devient de plus en plus évident qu’il faille réfléchir à ce qui va se passer, après sa mort. À l’ère du numérique, nous effectuons toutes nos démarches en utilisant Internet, que ce soit pour nos factures, nos impôts, nos contrats, nos informations bancaires et même de plus en plus pour notre patrimoine. Nos documents importants se retrouvent alors éparpillés sur des sites divers et variés et sur notre ordinateur sans que quiconque puisse en être informé s’ils nous arrivent quelque chose (incapacité ou décès).

Il est utile de savoir qu’avec 54 millions de contrats, 37 millions de bénéficiaires et un encours de 1 632 milliards d’euros, l’assurance-vie est le premier placement financier des Français et le soutien de premier plan pour le financement des entreprises françaises (Sondage FFA Ipsos Mars 2017). Par contre chaque année, des milliards d’euros ne sont pas reversés par lesdites assurances vies faute d’avoir retrouvé le bénéficiaire ou d’avoir été réclamées. De plus, près de 9 successions sur 10 n’ont pas établi de testament ou de dernières volontés, il est alors difficile de savoir ce que l’être cher veut ou voulait réellement.

Veut-il que l’on s’acharne thérapeutiquement sur lui ? Refuse-t-il le don d’organes ? Qui héritera de la maison qu’il avait achetée ? Quels sont les contrats qu’il a souscrits ? A-t-il une assurance vie ? Veut-il être incinéré ou enterré ? Tant de questions que les personnes confrontées à ce genre d’événements ne peuvent malheureusement pas répondre faute d’informations ou d’en avoir parlé en temps et en heures. Un Français de 67 ans, Robert Bentz, vient de lancer une idée, celle d’ouvrir un cloud dédié à cette problématique. Baptisé MemoCloud, cette idée regroupe un coffre-fort numérique chiffré en ligne qui doit permettre de protéger vos documents confidentiels et d’en organiser la ventilation en cas de décès ou d’incapacité. Seuls les bénéficiaires désignés auront accès au dossier choisi au moment opportun.

Deux solutions sont proposées, un gratuite et un espace de stockage de 100M ; et une payante (40€ l’année). Cette version assure la transmission des données aux bénéficiaires choisis par le souscripteur.

La question est de savoir maintenant comment les bénéficiaires connaitront l’existence de MemoCloud. Autre point, vous avez 20/30/40 ans aujourd’hui, et que dans 40 ans vous décédez, Memocloud existera-t-il encore ?

Base de données, Chiffrement, cryptage, Cybersécurité, Entreprise, Fuite de données, RGPD, Securite informatique

Données personnelles : L’Europe et les États-Unis dans des directions opposées

Depuis l’élection de Donald Trump à la tête des États-Unis, la confidentialité des données personnelles est au cœur des préoccupations des deux côtés de l’Atlantique. Et il semble que les États-Unis et l’Union Européenne aient des idées divergentes sur la direction à suivre.

Nous utilisons tous des outils numériques au quotidien. Souvent, sans même nous en rendre compte, nous échangeons nos données personnelles contre la gratuité des services. En effet, l’ensemble de nos activités sur le web et même l’utilisation d’objets connectés génèrent des données que collectent et monétisent de grandes entreprises. Lorsqu’il s’agit de simples recherches sur le Web ou de la visite de sites et réseaux sociaux, il est rare de se soucier des traces que nous laissons. Mais qu’en est-il lorsqu’il est question de dossiers médicaux, juridiques, ou financiers ? Ceux-ci relèvent non seulement de la vie privée mais plus encore, de l’intimité des individus. Le problème est que la frontière entre ce qui est public et ce qui doit rester privé est relativement flou.

Alors les dispositions mises en place favorisent-elles trop souvent les entreprises ? Les citoyens doivent-ils reprendre la main sur l’exploitation de leurs données ? Jusqu’où les entreprises peuvent-elles utiliser nos données ? Autant de question à soulever et que l’on retrouve en Europe comme aux USA. C’est l’UE qui a choisi de légiférer afin de protéger ses citoyens avec l’entrée en vigueur en mai prochain du Règlement Général sur la Protection des Données (RGPD), mais pas seulement. Un autre règlement de l’UE destiné à protéger les données personnelles lors de communications électroniques va s’appliquer.

Ce projet de loi est à l’opposé de l’ordonnance du président américain qui vient supprimer la nouvelle loi de protection des données privées qui devait s’appliquer d’ici la fin de l’année. Promulguée sous le mandat Obama, elle aurait obligé les fournisseurs d’accès à Internet (FAI) à recueillir clairement le consentement des utilisateurs pour partager des données personnelles. Cela concernait les informations telles que la géolocalisation, les informations financières, de santé, sur les enfants, les numéros de sécurité sociale, l’historique de navigation Web, de l’utilisation d’une application et le contenu des communications. En outre, les FAI se seraient vu contraints de permettre à leurs clients de refuser le partage d’informations moins sensibles, comme une adresse électronique par exemple.

Mais les conflits entre les États-Unis et l’UE portant sur la protection des données, ne reposent pas seulement sur cette ordonnance. Les actualités récentes autour de l’immigration ont quelque peu masqué une autre législation qui remet en cause l’avenir du Privacy Shield. Remplaçant de l’accord « Safe Harbor », Privacy Shields a été imaginé avec le RGPD à l’esprit, ce qui signifie que l’application de l’un sans l’autre rend illégal le traitement de données issues d’entreprises européennes par des entreprises américaines… avec par conséquent un impact important sur les services cloud.

Pour le Royaume-Uni, la situation se compliquera aussi en 2019 car, en quittant l’Union Européenne, il quittera également le Privacy Shield.

La protection de la vie privée est donc intrinsèquement liée aux données et les prestataires doivent pouvoir offrir des garanties à leurs clients. Le Privacy Shield par exemple, permet de chiffrer facilement et de déplacer les données et les charges de travail entre les fournisseurs de cloud. Cela donne une assurance face aux incertitudes actuelles qui touchent les entreprises de l’UE et des États-Unis. Dans le même temps, des acteurs comme Microsoft ou Amazon renforcent leurs capacités de stockage de données en Europe, pour faire face aux demandes éventuelles d’entreprises européennes à déplacer leurs données sur le Vieux Continent au cas où les choses resteraient floues ou empireraient.

Les informations personnelles font partie intégrante de l’activité moderne et l’on ne peut pas ignorer ce fait. LE RGPD va être le nouveau point de référence pour leur protection et le conflit entre ceux qui voudront protéger les données privées et les autres souhaitant les exploiter est bien parti pour durer ! (Par Philippe Decherat, Directeur Technique chez Commvault)

Chiffrement, Cloud, Communiqué de presse, cryptage, Cybersécurité, Entreprise, Sauvegarde, Securite informatique

Vidéosurveillance et Stockage : quel disque choisir ?

Lorsque se produit un événement de grande ampleur, les journalistes du monde entier se mettent en quête d’images de vidéosurveillance de l’incident, aussi isolé puisse-t-il paraître. Avec en moyenne une caméra pour vingt-neuf Terriens, il n’est donc guère surprenant qu’avec un peu de persévérance, un journaliste, un enquêteur, voire un simple particulier, finisse souvent par découvrir ces images. Selon une estimation, ce chiffre atteindrait même une caméra pour onze habitants sur des marchés développés tels que les États-Unis ou le Royaume-Uni. Un nombre aussi élevé de systèmes de vidéosurveillance actifs en permanence, génère une quantité gigantesque de données (brutes). Selon une étude de HIS Inc., en 2015, ce sont quelques 566 pétaoctets de données qui ont été produits en à peine une journée par toutes les caméras de surveillance nouvellement installées à travers le monde.

Avec l’accroissement de la demande de systèmes de vidéosurveillance, les clients rechercheront toujours les « meilleures » caractéristiques qui leur sont familières, à savoir les caméras et les logiciels de surveillance. Mais ils passeront peut-être à côté de l’aspect moins tangible – mais tout aussi important – du stockage des données collectées. De fait, bien que conçus pour l’enregistrement en continu de vidéo HD ou Full HD par des caméras multiples, de nombreux systèmes emploient encore des disques qui n’ont pas été spécifiquement testés pour les besoins particuliers des installations modernes de vidéosurveillance. Un disque optimisé pour des systèmes de vidéosurveillance doit pouvoir supporter la charge liée à ces systèmes afin de limiter les risques d’erreurs et de perte d’images. Un disque optimisé doit consommer un minimum d’énergie, donc dégager moins de chaleur et être moins sujet aux pannes. Une surchauffe pénalise les opérations de lecture-écriture dans un système de vidéosurveillance et réduit par ailleurs la durée de vie du disque. Si le coût d’un disque conçu pour des systèmes de vidéosurveillance peut s’avérer plus élevé au départ, celui-ci sera compensé par des gains de performances et une fiabilité accrue.

Un disque bureautique consomme en moyenne de 6 à 8 W tandis qu’un disque de vidéosurveillance, à l’instar du modèle WD Purple Surveillance, se contente de 3 à 5 W. La solution idéale de stockage pour ce type d’application doit tout à la fois offrir des niveaux élevés de performance, d’efficacité et de capacité pour des environnements difficiles. Mais comment faire la différence ?

Plusieurs critères spécifiques sont à examiner au moment de déterminer si un disque a été conçu dans l’optique de la vidéosurveillance :

* Fonctionnement en continu : un système de vidéosurveillance fonctionne souvent 24 heures sur 24, 7 jours sur 7. Le disque doit donc être conçu et testé pour des cycles d’écriture intensifs. En comparaison, un disque bureautique est typiquement prévu pour n’être actif que 8 heures sur 24 les jours ouvrés.

 Fiabilité des performances : certains disques, tels ceux de la gamme WD Purple Surveillance, intègrent une technologie spéciale (en l’occurrence AllFrame 4K™) qui contribue à améliorer les performances en lecture ainsi qu’à réduire les erreurs et les pertes d’images.  Capacité RAID : pour plus de sérénité, il est aussi préférable de rechercher un disque offrant une capacité RAID. Un système de ce type peut combiner deux disques durs ou plus pour assurer la redondance en cas de défaillance de l’un d’entre eux, de sorte que l’enregistrement puisse se poursuivre. Cela réduit les interruptions et les risques de perte de données.

* Faible consommation : si ce critère n’apparaît pas dans la liste des priorités concernant le choix d’un disque dur, la nécessité d’un fonctionnement en continu le rend crucial. Certains disques sont conçus dans un souci de basse consommation, ce qui est synonyme de plus grande fiabilité et d’économies.

* Prise en charge d’un grand nombre de caméras : un système NVR est conçu pour prendre en charge un nombre élevé de caméras IP et aura probablement besoin d’une plus grande capacité de stockage. La vidéo 4K consomme beaucoup plus d’espace disque que la définition standard, ce qui accroît considérablement la charge de travail et le volume d’écriture de données par seconde. Les disques de vidéosurveillance sont disponibles dans des capacités allant jusqu’à 10 téraoctets pour permettre une plus longue durée de conservation et un travail plus intensif.

* Prise en charge d’un grand nombre de baies système : à mesure que des disques durs sont ajoutés dans un système, les vibrations augmentent dans le châssis, ce qui est inévitable en raison de la rotation des plateaux. Un disque adapté doit intégrer une technologie destinée à compenser les vibrations afin de contribuer à en préserver les performances.

* Compatibilité étendue avec différents systèmes : des différences dans la conception interne du châssis et du logiciel peuvent créer des problèmes d’installation physique du disque dans une baie ou encore de reconnaissance de sa capacité complète. Il faut donc rechercher des disques compatibles avec son fabricant de systèmes DVR et NVR.

Compte tenu de l’importance du stockage dans les systèmes de vidéosurveillance, il peut aussi être utile de faire appel à un calculateur de capacité pour aider à déterminer le disque et la capacité les mieux adaptés à ses besoins.

A mesure que le nombre de caméras de vidéosurveillance continuera d’augmenter, il en ira de même pour la complexité des systèmes associés. Les installateurs doivent veiller à bien connaître les différentes options disponibles et à fournir les meilleurs conseils à leurs clients afin que ceux-ci bénéficient du niveau de fiabilité, de coût et de performances qu’ils attendent.

(Jermaine Campbell, Sales Manager North Europe, Western Digital, est spécialisé dans la gestion du marketing, la planification commerciale, les ventes, la gestion de la relation client (CRM) et la stratégie Go-to-Market.)

Chiffrement, Communiqué de presse, Cybersécurité, Justice, loi, Securite informatique

Admission Post-bac (APB) : mise en demeure pour plusieurs manquements

Un commentaire

La Présidente de la CNIL met en demeure le ministère de l’Enseignement Supérieur, de la Recherche et de l’Innovation de cesser de prendre des décisions concernant des personnes sur le seul fondement d’un algorithme et de faire preuve de plus de transparence dans son utilisation.

Mise en demeure ! En 2016, la CNIL a été saisie d’une plainte à l’encontre du traitement « Admission Post-Bac » (APB) dont l’objet est le recueil et le traitement des vœux des candidats à une admission en première année d’une formation post-baccalauréat.

La Présidente de la CNIL a décidé en mars 2017 de diligenter des contrôles afin de s’assurer de la conformité de ce dispositif à la loi « Informatique et Libertés ». Les investigations menées ont révélé plusieurs manquements aux règles gouvernant la protection des données personnelles.

  • S’agissant des formations non sélectives, seul l’algorithme détermine automatiquement, sans intervention humaine, les propositions d’affectation faites aux candidats, à partir des trois critères issus de l’article L. 612-3 du code de l’éducation : le domicile du candidat, sa situation de famille et l’ordre de préférence des vœux qu’il a formulés. Or, l’article 10 de la loi Informatique et Libertés précise qu’aucune « décision produisant des effets juridiques à l’égard d’une personne ne peut être prise sur le seul fondement d’un traitement automatisé de données destiné à définir le profil de l’intéressé ou à évaluer certains aspects de sa personnalité ».
  • L’information des candidats sur le portail APB est insuffisante, au regard des exigences de l’article 32 de la loi Informatique et Libertés, s’agissant notamment de l’identité du responsable de traitement, de la finalité du traitement et des droits des personnes.
  • La procédure de droit d’accès ne permet pas aux personnes d’obtenir des informations précises relatives à l’algorithme et à son fonctionnement, notamment la logique qui sous-tend le traitement APB ou le score obtenu par le candidat. En effet, l’article 39 de la loi Informatique et Libertés stipule que les personnes qui exercent leur droit d’accès doivent pouvoir obtenir « Les informations permettant de connaître et de contester la logique qui sous-tend le traitement automatisé en cas de décision prise sur le fondement de celui-ci et produisant des effets juridiques à l’égard de l’intéressé ».

La CNIL ne remet pas en cause le principe même de l’utilisation des algorithmes dans la prise de décision, notamment par les administrations. Cependant, compte tenu des enjeux éthiques qu’ils soulèvent, le législateur a prévu que l’utilisation des algorithmes ne pouvait exclure toute intervention humaine et devait s’accompagner d’une information transparente des personnes.

En conséquence, la Présidente de la CNIL a décidé de mettre en demeure le ministère de l’enseignement supérieur, de la recherche et de l’innovation de se mettre en conformité avec la loi  dans un délai de trois mois. La réforme récemment annoncée du dispositif APB devra donc s’inscrire dans l’objectif d’un strict respect, conformément à cette mise en demeure, de la loi Informatique et Libertés.

Il a été décidé par ailleurs de rendre publique cette mise en demeure compte tenu du nombre important de personnes concernées par ce traitement (853 262 élèves de terminale et étudiants ont formulé au moins un vœu d’orientation sur le site Web APB en 2017 selon le ministère) et de l’impact de celui-ci sur leurs parcours.

Elle rappelle en outre que cette mise en demeure n’est pas une sanction. Aucune suite ne sera donnée à cette procédure si le ministère se conforme à la loi dans le délai imparti. Dans ce cas, la clôture de la procédure fera également l’objet d’une publicité.

Si le ministère ne se conforme pas à cette mise en demeure dans le délai imparti, la Présidente pourra désigner un rapporteur qui, le cas échéant, pourra établir un rapport proposant à la formation restreinte de la CNIL, chargée de sanctionner les manquements à la loi Informatique et Libertés, de prononcer une sanction.

Base de données, Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Fuite de données, RGPD, Sauvegarde, Securite informatique

Seconde fuite de données pour Verizon

Découverte d’une nouvelle fuite de données concernant la société Verizon. Encore des données confidentielles et sensibles non protégées.

On prend les mêmes et on recommence pour Verizon et ses données ! Des experts du centre de recherche sur la sécurité de l’entreprise Kromtech/MacKeeper ont découvert une nouvelle fuite de données concernant l’opérateur américain Verizon. Une fois encore, des données confidentielles et sensibles sans protection.

Les données divulguées incluaient 100Mo de journaux de serveurs et d’informations d’identification pour les systèmes internes. Une fois encore, un cloud Amazon AWS S3 protégé avec les pieds ! La sauvegarde mal protégée contenait des informations sur les systèmes internes de Verizon Wireless [Distributed Vision Services].

La découverte date du 20 septembre. Pas de données clients, mais ce n’est pas pour autant rassurant pour les utilisateurs de cette entreprise. Certains documents découverts affichaient des avertissements de type « matériaux confidentiels et exclusifs » [confidential and proprietary materials]. Ils proposaient des informations détaillées sur l’infrastructure interne, y compris les adresses IP du serveur et les hôtes routeurs globaux de Verizon !

Chiffrement, cryptage, Cybersécurité, Mise à jour, Patch, Securite informatique

Le casseur de codes de l’application Gorillaz décroche un poste

Un commentaire

Jaguar Land Rover compte sa première recrue de la nouvelle génération d’ingénieurs électroniciens et informaticiens à la suite du récent défi de recrutement consistant à décrypter un code au sein de l’application Gorillaz.

Gorillaz m’a recruté ! Daniel Dunkley, âgé de 23 ans et originaire de Gloucester (Royaume-Uni), est le premier à rejoindre Jaguar Land Rover après être parvenu à déchiffrer le code. Après avoir quitté l’école à 16 ans, Daniel a travaillé en tant que controls engineer dans une carrière locale. Manifestant très tôt de l’intérêt pour les jeux vidéo chez lui avec son frère aîné, c’est en parfait autodidacte qu’il a acquis des compétences en codage et en logiciels. Le 2 octobre, il prendra ses fonctions de software engineer chez Jaguar Land Rover à Gaydon (Warwickshire).

Les fans intéressés par un emploi chez Jaguar Land Rover peuvent visiter un garage éphémère de Gorillaz et s’essayer à une énigme qui teste les capacités techniques, la réflexion logique et la mémoire. Envie de voir si vous êtes de taille ? Résolvez le casse-tête et vous sauterez la première épreuve de sélection du processus de recrutement de Jaguar Land Rover.

Si vous ne pouvez pas vous rendre au Tech Fest, relevez le défi de décryptage sur l’application de Gorillaz et rendez-vous directement à l’entretien. L’épreuve de décodage teste les aptitudes pratiques et concrètes exigées de la nouvelle génération de talents en logiciels et en ingénierie. Le challenge reste ouvert à l’échelle mondiale.

Noodle, guitariste du groupe virtuel et ambassadrice de Jaguar Land Rover, lance le défi : « Voir les choses en grand et faire mieux, c’est ma devise. Cessez d’utiliser tous ces filtres pour sublimer vos photos de nourriture et téléchargez dès maintenant cette application. Nous comptons notre première recrue, alors participez et décrochez la victoire ! »

Daniel Dunkley a déclaré : « Je n’en reviens pas de tout ce qui s’est passé ces deux derniers mois. J’ai appris sur BBC News que Jaguar Land Rover et Gorillaz lançaient le défi de décryptage et j’ai décidé de tenter ma chance. J’ai passé l’entretien via Google Chat, puis j’ai été convié à Gaydon pour discuter de mon nouvel emploi. J’ai été médusé de ne devoir remplir aucun formulaire de candidature. »

« J’étais aux anges quand on m’a proposé un poste ! Mon père roule en Land Rover Defender, j’ai donc toujours été fan. Je n’arrive pas à croire que j’ai maintenant peut-être la chance de travailler sur la nouvelle génération de Defender ! »

Jusqu’à présent, près de 400 000 personnes ont téléchargé l’application de Gorillaz. Sur les 41 000 qui ont relevé le défi, près de 500 ont décrypté le code.

Alex Heslop, directeur de l’ingénierie électrique chez Jaguar Land Rover, a déclaré : « Daniel correspond exactement au profil de personne dont nous avons besoin. Les entreprises technologiques comme Jaguar Land Rover offrent une opportunité passionnante pour les plus brillants et les meilleurs. Nous souhaitons attirer les meilleurs talents dans les domaines de la programmation, des cyber-systèmes, du développement d’applications et du graphisme. »

« À ce jour, nous avons fait passé plus de 50 entretiens parmi les 500 candidats qui ont décrypté le code et nous avons recruté 13 personnes jusqu’à présent. Nous continuons de faire passer des entretiens à ceux qui cassent le code et qui souhaitent travailler chez Jaguar Land Rover. La quête mondiale pour dénicher les meilleurs talents se poursuit. »

Dans l’esprit d’innovation collaborative, Jaguar Land Rover a invité une pléiade d’intervenants à participer à une série de débats et de conférences tout au long du Tech Fest, sous les yeux d’un public composé de personnes d’influence mondiale et de journalistes issus de quatre continents. L’avenir du diesel, l’électrification, les femmes dans l’industrie et la robotique feront partie des thèmes abordés par un éventail de spécialistes du monde entier en industrie mondiale et en consommation.

La recherche de jeunes talents se poursuit. Les candidats intéressés peuvent télécharger dès maintenant l’app de Gorillaz sur l’iTunes Store  ou Google Play.

Pour plus d’informations sur le recrutement de Jaguar Land Rover, cliquez ici : http://www.jaguarlandrovercareers.com. La procédure classique de dépôt de candidature avec CV reste en vigueur, mais Jaguar Land Rover invite les candidats potentiels à télécharger l’application afin de décrypter les codes et résoudre les problèmes pour accélérer leur recrutement.

Argent, Chiffrement, cryptage, cryptomonnaie, Cyber-attaque, Cybersécurité, Entreprise, escroquerie, hackathon, Particuliers, Piratage, ransomware, ransomware, Securite informatique

Prolifération d’un nouveau Locky agressif

Locky is back ? Les analystes de l’Advanced Technology Group de Barracuda Networks surveillent activement une nouvelle attaque par ransomware très agressive qui semble provenir majoritairement du Vietnam.

Comme j’ai pu vous l’indiquer sur Twitter aux premières minutes de l’attaque, ce nouveau Locky a trouvé le moyen de passer certains filtres antispams et touchés des entreprises et écoles Françaises. Une attaque qui serait parti du Vietnam. D’autres sources significatives de cette attaque comprennent l’Inde, la Colombie, la Turquie et la Grèce.

D’autres pays semblent aussi distribuer le même ransomware mais dans des volumes très faibles. Jusqu’à présent la société Barracuda a identifié environ 20 millions de ces attaques au cours des dernières 24 heures, et ce chiffre augmente rapidement. Chiffre tiré de ses sondes, chez ses clients.

Une variante du ransomware Locky

Les analystes de Barracuda ont confirmé que cette attaque utilise une variante du ransomware Locky avec un identifiant unique. L’identifiant permet à l’attaquant d’identifier la victime de sorte que lorsque cette dernière paie la rançon, l’attaquant peut lui envoyer l’outil permettant de décrypter ses données. Dans cette attaque, toutes les victimes ont le même identifiant, ce qui veut dire que les victimes qui paient la rançon ne recevront pas l’outil de décryptage car il sera impossible pour le criminel de les identifier.

Cette attaque vérifie également la langue employée par l’ordinateur de ses victimes, ce qui peut indiquer le déclenchement d’une version internationale de cette attaque dans l’avenir.

Chiffrement, cryptage, Cybersécurité, IOT, OS X, Securite informatique, VPN

8 Mythes sur les VPNs : Vrai ou Faux ?

Tandis que le grand public adopte les VPNs, passage en revue quelques mythes sur les VPNs.

Les VPNs (Réseaux Privés Virtuels) s’ouvrent au grand public – la société NordVPN a noté une augmentation de 300 % de ses utilisateurs cette année, découlant principalement des nouvelles régulations du net et des restrictions mises en place dans plusieurs pays du monde. Ces nouvelles régulations incluent les techniques de surveillance pratiquées par les gouvernements ainsi que le géo-blocage de certains contenus. Avec l’augmentation du nombre de piratages, les VPNs ont gagné en popularité et se sont fait connaître comme l’un des meilleurs outils de protection en ligne.

L’utilisation d’un VPN permet de chiffrer les données qui circulent sur internet par le biais d’un tunnel sécurisé entre deux entités: l’ordinateur et un serveur VPN. De ce fait, personne ne peut accéder aux informations qui transitent via le tunnel – elles deviennent invisibles aux yeux des FAIs, des gouvernements, des voleurs d’identité et des hackers. Je vous propose de tester (je suis moi même utilisateur) HideMyAss ; VyPrVPN ou encore NordVPN.

Cependant, il subsiste de nombreux mythes autour des VPNs, concernant notamment leur utilité pour l’internaute lambda. Voici la liste des principales idées reçues et lève le voile sur les quelques problèmes que les VPNs posent aux utilisateurs.

1. Quoi qu’ils en disent, tous les VPNs enregistrent les données des utilisateurs. Certains fournisseurs de VPN n’ont en fait pas le choix – ils doivent enregistrer les activités de leurs utilisateurs si la loi les y oblige, selon le pays où ils opèrent. Les fournisseurs de VPN localisés dans l’un des pays des 14 Eyes ou 5 Eyes sont généralement tenus de conserver les données. À partir du moment où ces informations sont enregistrées, il leur est facile de les partager avec le gouvernement ou un tiers. Cependant, les VPNs qui opèrent dans des pays où le gouvernement n’exige pas de logs suppriment le contenu des informations à la fin de chaque session – ceux-là peuvent aisément garantir un service VPN sans enregistrement de données.

2. Les VPNs gratuits offrent le même niveau de protection. Un fournisseur de VPN gratuit doit trouver des moyens de se faire de l’argent. La maintenance des serveurs est coûteuse, et c’est sans compter les salaires des employés et autres dépenses. Un VPN qui fournit gratuitement ses services se fait de l’argent d’une manière ou d’une autre – souvent en revendant les données de ses utilisateurs. Un VPN fiable a son prix. De plus, les VPNs payants offrent généralement une meilleure vitesse de connexion ainsi que d’autres avantages.

3. Les VPNs ralentissent la vitesse de connexion. Parce qu’un VPN chiffre les données qui transitent via un tunnel sécurisé, il peut parfois ralentir la vitesse de connexion. Cependant, dans la plupart des cas, ce ralentissement ne se fait pas sentir. S’il est perceptible, cela peut signifier que le VPN rencontre des problèmes techniques temporaires ou qu’il est temps de changer de fournisseur VPN. Un VPN payant met généralement un plus grand nombre de serveurs à la disposition de ses utilisateurs – lorsqu’un serveur est saturé et lent, l’utilisateur peut très facilement se connecter à un autre. Pour plus de rapidité, il est parfois recommandé de se connecter à un serveur moins éloigné géographiquement.

4. Un VPN fonctionne de la même manière pour tout le monde. En réalité, la qualité de connexion via un VPN dépend d’un grand nombre de facteurs. Les différents environnements de connexion, les FAIs et la manière dont ils gèrent le trafic, la saturation du VPN et la distance géographique entre l’utilisateur et un data center jouent tous un rôle important dans le procédé. Tout cela sans parler des logiciels additionnels installés, des méthodes de configuration et ainsi de suite.

5. Tous les VPNs garantissent le même niveau de chiffrement. Les protocoles de chiffrement VPN peuvent en fait varier, certains étant plus sûrs que d’autres. Les utilisateurs devraient éviter le protocole PPTP, l’un des premiers protocoles de sécurité à avoir vu le jour – en effet, il est aujourd’hui jugé faible et peu fiable. Les protocoles VPN les plus sécurisés sont OpenVPN et IKEv2/IPsec, grâce à leurs algorithmes et clés de chiffrement forts.

6. Un proxy, c’est la même chose qu’un VPN. Certains utilisateurs confondent à tort les proxys et les VPNs – aux dépends de leur sécurité en ligne. Les proxys ne protègent pas les utilisateurs de la surveillance gouvernementale, du traçage des données ni des hackers. Un proxy est recommandé pour ceux qui ne se soucient pas de protéger leur navigation en ligne mais qui veulent simplement voir un film en streaming. Dans les autres cas, pour garantir la protection et la confidentialité, l’utilisation d’un VPN est fortement conseillée.

7. Il fonctionnera sur tous les systèmes. Pas tous les VPNs fonctionnent sur tous les systèmes – certains n’opèrent que sur les produits Apple par exemple. Un VPN bien conçu tourne sur des systèmes variés comme iOS, macOS, Android et Windows.

8. Les VPN ne sont que pour les personnes calées en informatique. Il existe encore des VPNs avec des sites internet compliqués où il est difficile de s’y retrouver. C’est parce que lorsque les VPN ont fait irruption sur le marché, ils s’adressaient avant tout à des geeks informatique. Aujourd’hui, de nombreux VPNs ont optimisé leurs interfaces utilisateur et sont à la portée de tous.

Base de données, Chiffrement, Cloud, Cybersécurité, Entreprise, Fuite de données, Sauvegarde, Securite informatique

600 000 dossiers d’électeurs accessibles sur le web

Près de 600 000 dossiers d’électeurs de l’état d’Alaska ont été laissés sans protection sur le Web, accessibles à tous ceux qui savaient où aller pour les consulter.

Dossiers d’électeurs dans la nature ! Sauvegarder des données sans réfléchir et c’est la porte ouverte à une fuite de données. Des chercheurs de Kromtech Security Center ont mis la main sur 593 328 dossiers appartenant aux électeurs de l’Etats d’Alaska. Chaque dossier contenait les noms, les adresses, les préférences électorales, les dates de naissance, l’état matrimonial et l’origine ethnique. Certains dossiers contenaient aussi des renseignements comme la possession d’armes à feu, l’âge des enfants. Les informations ont été révélées à partir d’une base de données mal configurée. (Zdnet)