Archives de catégorie : Chiffrement

X-Keyscore, l’outil d’analyse des services de renseignements US

Il est logique que la NSA utilise les ambassades américaines basées à l’étranger en tant qu’outil collecteur pour le système d’analyse d’information X-Keyscore, moissonneuse batteuse révélée par le nouveau russe (pour un an, ndlr datasecuritybreach.fr) Snowden. Les ambassades ont toujours été utilisées pour l’espionnage local, pour la « veille » militaire, politique, économique, sociale. Son option cyber était inévitable.

Les ambassades ont de multiples réseaux de communications. Il est intéressant de « suivre » certains « employés » sur LinkedIn et autres médias sociaux. De nombreux militaires et anciens espions cherchant désormais une plus grande rémunération, sont en « awares » pour toutes propositions sonnantes et trébuchantes. Une recherche rapide par Cryptome sur LinkedIn a de quoi faire sourire : AGILEVIEW, AGILITY, AIRGAP/COZEN, AIGHANDLER, ANCHORY/MAUI, ARCANAPUP, ARTEMIS, ASSOCIATION, AUTOSOURCE, BEAMER, BELLVIEW, BLACKPEARL, CADENCE/GAMUT, CHALKFUN, CINEPLEX, CLOUD, COASTLINE, COMMONVIEW, CONTRAOCTAVE, CONVERGENCE, COURIERSKILL, CREEK, CREST, CROSSBONES, CPE, CULTWEAVE, CYBERTRANS, DISHFIRE, DOUBLEARROW, DRAGONFLY, WEALTHYCLUSTER (EWC), ETHEREAL (logiciel open source network d’analyse, ndlr datasecuritybreach.fr), FASCIA, FASTSCOPE, FOREMAN, GAMUT/UTT, GISTQUEUE, GJALLER, GLAVE, GLOBALREACH, GOLDMINER, GOLDPOINT, GOSSAMER, GROWLER, HERCULES (CIA database, ndlr datasecuritybreach.fr) HIGHTIDE/SKYWRITER, HOMEBASE, INFOSHARE, JOLLYROGER, KINGFISH, LIQUIDFIRE, MAINWAY, MARINA, MASTERLINK, MASTERSHAKE, MAUI/ANCHORY, MESSIAH, METTLESOME, NEWHORIZONS, NIGHTSURF, NORMALRUN/CHEWSTICK/FALLENORACLE, NUCLEON, OCTAVE, PATHMASTER/MAILORDER, PINWALE, PANOPTICON, PRESENTER, PROTON, RAVENWING, RENOIR, ROADBED, SCORPIOFORE/CPE, SHARKFINN, SKOPE, SKYWRITER, SNAPE, SPOTBEAM, STINGRAY; SURREY, TAPERLAY, TAROTCARD, TEMPTRESS, TRACFIN, TRAILMAPPER, TREASUREMAP, TRICKLER, TUNINGFORK/SEEKER, TURMOIL, TUSKATTIRE, TWISTEDPATH, UIS/PINWALE, UTT, WEALTHYCLUSTER, WIRESHARK (logiciel open source network d’analyse, ndlr datasecuritybreach.fr) WITCHHUNT, XKEYSCORE, YELLOWSTONE/SPLITGLASS.

Selon un document que Cryptome a diffusé, 150 sites et plus de 700 serveurs seraient employés pour X-Keyscore. Etonnant, un serveur est basé à Moscou, un autre à Pékin. Les ambassades sont donc montrés du doigt. Etonnamment, la station NSA à Hawaï, où Edward Snowden a travaillé, n’apparaît pas sur la carte. 25 points sont affichés le long de la côte Antarctique. La France est affichée, pas la Belgique,  ni la Suisse ou encore le Luxembourg. A noter que des offres d’emplois affichent très clairement les ambitions de XKeyscore… avant la « pseudo » révélation de Snowden.

Sur Saic.com par exemple, le 03 juillet, la recherche d’ingénieurs systèmes familier de « VMware ESXi 3.5, 4.1 et 5.0.« , sachant manipuler « des logiciels avec des langages de script Java, C et Bourne shell » et pythonner dans la joie et la bonne humeur. L’heureux gagnant, qui travaillera à Columbia, dans le Maryland, fournira un soutien technique pour les systèmes qui englobent les systèmes SKIDROWE. Mais qui est donc ce mystérieux Skidrowe qui va obliger notre demandeur d’emploi de passer sous l’égide du « Top Secret » et du « SCI with Polygraph » ?

Pendant ce temps, la NSA, qui a fait parler son boss lors du Black hat de Las Vegas (hué, comme l’explique zataz.com), affiche dans la foulée son commentaire au sujet de XKEYSCORE. « Dire que la NSA collecte arbitrairement des informations est fausse. Les activités de la NSA sont ciblées et spécifiquement déployées contre – et seulement contre – des cibles de renseignement étrangers légitimes en réponse aux exigences de nos dirigeants qui ont besoin d’information pour protéger notre nation et ses intérêts. La publication de ces informations classifiées sur les systèmes de collecte de la NSA ne fait que mettre en péril les sources et les méthodes« . La NSA, qui n’a jamais autant « causé » depuis ces dernières semaines explique ne pas pouvoir en dire beaucoup plus sur X-Keyscore. « Accédez à XKEYSCORE, explique la NSA, ainsi qu’à tous les outils d’analyse de la NSA, est limité aux seuls employés légitimes. Ces personnes doivent suivre une formation appropriée avant de se voir accorder un tel accès – la formation est renouvelée régulièrement. Cette formation couvre non seulement la mécanique de l’outil mais aussi des obligations éthiques et juridiques de chaque analyste. En outre, il existe plusieurs échelons de vérifications afin d’éviter les abus délibérés« . D’après la NSA, depuis 2008, plus de 300 terroristes ont été capturés à l’aide de renseignements provenant de XKEYSCORE. en attendant, la NSA annonce remplacer beaucoup de ses analystes par des machines. Ca évite les fuite !? Pendant ce temps, dans l’Utah, le Data Center de la NSA sort du sol. Du moins le Bing Map de Microsoft est plus prolixe en image que Google map sur le sujet !

Vous voyagez avec vos appareils connectés ? N’oubliez pas de penser à leur/et votre sécurité.

Vous partez en vacances ? Une enquête reçue à la rédaction de DataSecurityBreach.fr, menée par F-Secure, met le doigt sur les moments de vos vies digitales qui nécessitent une attention particulière lors de vos déplacements.

Lorsque l’on voyage, il est pratique d’utiliser les réseaux Wifi public des aéroports ou encore des restaurants. Pourtant, 52% des sondés sont inquiets de la sécurité et la confidentialité de ces réseaux, et avec raison. Sean Sullivan, Security Advisor chez F-Secure Labs, affirme qu’il ne faut pas oublier que ces réseaux  Wifi portent bien leurs noms : ils sont publics. Vous partagez ces réseaux avec des inconnus, et il y a toujours le risque qu’ils puissent utiliser un logiciel pour regarder ce que vous faites en ligne.

Selon Sean Sullivan, « Il est naturel de penser qu’il y a de la confidentialité parce que nous utilisons un appareil personnel… mais en réalité ce n’est pas du tout le cas ». Il conseille de ne pas faire ce que l’on souhaite laisser à l’abri des regards indiscrets, comme des connections à des comptes protégés par des mots de passe. Il ajoute : « J’utilise les réseaux de Wifi public pour des choses dont je parlerais avec un ami dans le métro. Les opérations bancaires, je les fais chez moi ».

Le même raisonnement vaut pour l’utilisation des ordinateurs publics dans les bibliothèques ou les cybercafés. Sean Sullivan conseille une utilisation réfléchie et limitée (par exemple, lire les actualités), parce que des logiciels espions pourraient être installés sur l’ordinateur… et voler vos mots de passe.

Si vous devez utiliser des réseaux publics pour communiquer avec vos proches, M. Sullivan recommande la création d’une adresse mail que vous n’utiliseriez que lorsque vous êtes en vacances, et qui n’a rien à voir avec votre adresse mail habituelle. « De cette façon, si quelqu’un pirate votre adresse mail de vacances, il ne pourra que voir des mails de votre mère ou de la gardienne de votre chat, mais ils n’auront pas accès aux données sensibles qui seraient en mémoire dans votre compte de messagerie principal », dit-il.

Une opération bancaire à faire ? Les précautions à prendre lorsque vous êtes loin de chez vous. 85% des gens disent qu’ils se connectent à leur banque via leurs ordinateurs, et 24% à partir de leurs smartphones. Comment procéder si vous deviez absolument faire une transaction lorsque vous êtes en vacances ? Il est probablement préférable d’utiliser votre forfait data mobile avec l’application mobile de votre banque, même si cela signifie faire du roaming. Cela peut coûter un peu cher, mais c’est toujours moins onéreux que de se faire vider votre compte. Les banques utilisent des connections HTTPS. Sont-elles pour autant sécurisées quand vous y accédez via les réseaux Wifi publics ? 39% des gens utilisent très peu de mots de passe différents pour leurs différents comptes. Et si vous utilisez le même mot de passe sur un site non sécurisé et sur un site sécurisé (comme celui de votre banque), cela signifie qu’un « fouineur » pourrait facilement accéder à votre compte bancaire. Les « fouineurs » utilisent parfois des méthodes plus rudimentaires : jeter discrètement un coup d’œil par-dessus votre épaule quand vous entrez votre mot de passe peut leur suffire pour vous le dérober !

Gardez votre contenu en toute sécurité lorsque vous êtes sur la route des vacances 67% des sondés accordent plus de valeur aux contenus d’un appareil plutôt qu’à l’appareil lui-même, d’un point de vue matériel. Cela illustre l’importance des sauvegardes avant le départ en vacances. Par exemple, en utilisant un service de synchronisation de contenu comme Content Anywhere de F-Secure. Fourni par les opérateurs, il permet aux utilisateurs d’avoir accès aux contenus de l’appareil automatiquement synchronisés sur leur cloud personnel. Grâce à ces services, nous ne somme plus obligés de voyager avec des périphériques de stockage encombrants (comme des disques durs), et il est facile de partager nos photos de vacances, en toute confidentialité et en toute sécurité. Les données que vous mettez dans le « Content Cloud » de F-Secure sont entièrement chiffrées pendant le transfert et le stockage.

La localisation d’un appareil perdu ou volé Perdre ou se faire voler un téléphone portable peut gâcher les vacances. DataSecurityBreach.fr a pu lire qu’avec 61% des personnes qui ont une double utilisation pro/perso de leurs appareils, il y a de bonnes raisons d’être prudent. Un téléphone perdu pourrait avoir un impact non seulement sur vos propres données, mais aussi sur celles de votre entreprise. L’application gratuite Anti-Theft de F-Secure pour smartphones et tablettes vous permet de verrouiller à distance et de localiser votre appareil, et si nécessaire, en effacer toutes les données. Autre recommandation : assurez-vous que le mot de passe de votre téléphone portable verrouillant votre écran se mette en place après un court laps de temps, comme une minute.

D’autres conseils si vous utilisez les Wifi public:

·         Ne laissez pas votre appareil se connecter automatiquement à des réseaux publics.

·         Effacez les points d’accès Wifi que vous avez utilisé lorsque vous rentrez chez vous.

·         Ne soyez pas connecté aux applications dont vous n’avez pas besoin lorsque vous vous déplacez.

·         Vérifiez auprès de l’établissement que le réseau Wifi auquel vous vous connectez est vraiment le leur, et non pas celui qu’un « fouineur » aurait mis en place pour vous tromper.

·         Soyez conscient de votre environnement et de toute personne qui pourrait être en train de jeter un regard par – dessus votre épaule.

·         Utilisez un mot de passe différent pour chaque compte.

·         Pour les ordinateurs portables, désactiver le partage de fichiers, activez le pare-feu et configurer le de sorte qu’il bloque les connexions entrantes.

·         Si possible, utilisez un réseau privé virtuel (Virtual Private Network en anglais, abrégé en VPN) qui sécurise votre connexion même sur le Wifi public.

·         Utilisez un routeur de voyage avec une carte SIM prépayée pour créer votre propre réseau Wifi.

·         A minima, vérifiez la présence du cadenas et du « https » dans la barre d’adresse pour n’importe quel site contenant vos informations personnelles. S’ils ne sont pas là, il est préférable d’éviter le site.

·         En règle générale : considérez que tout ce que vous faites sur un réseau Wifi public est comme une conversation publique.

Le code de sécurité de Porsche piraté

Flavio Garcia, maître de conférences en informatique à l’université de Birmingham, a découvert comment passer outre le système numérique permettant de faire démarrer les Porsches, Audis, Bentleys et autres Lamborghini. La faille se trouve dans l’algorithme qui permet la vérification de la clé de contact.

Le chercheur devait présenter sa trouvaille lors d’une conférence dédiée à la sécurité informatique, à Washington (Symposium Usenix Security – 14/15 août, ndlr). Une injonction de la justice britannique à interdit à l’universitaire de présenter son travail. Volkswagen, propriétaire des quatre marques de luxe citées, s’attaque aux travaux de Garcia et deux autres experts néerlandais en cryptographie de l’Université Raboud, Baris Ege et Roel Verdult.

La vulnérabilité se situerait dans le RFID de la puce Megamos Crypto, une « bestiole » qui n’a pas évolué depuis plus de 20 ans. Un algorithme trop léger et la clé devient aussi bavarde qu’une mouette.

La justice explique sa décision par le fait que cette publication pourrait permettre de cracker la sécurité des clés et voler les voitures. Le calcule mathématique complexe, qui a permis aux chercheurs de trouver la faille, est sur le web depuis… 2009. Les scientifiques ont utilisé une technique appelée « chip slicing » qui consiste à analyser une puce sous un microscope et lancer un processus d’analyse qui coûte plus de 50,000 euros. Dommage que le juge n’a pas imposé dans la foulée à VW de mettre de l’ordre dans ses bits.

Configurer efficacement la double identification Google

 « L’attaque est le secret de la défense, la défense permet de planifier une attaque. », voilà un adage qui plait à l’oreille de l’équipe de DataSecurityBreach.fr. Il colle parfaitement à l’ambiance numérique. Comme celle concernant la sécurité de son compte Google. Dire que la double identification pour un compte webmail, Twitter, Facebook ou tout autres services web devient indispensable est un doux euphémisme. Et ce n’est pas ce pauvre banquier de Dubaï qui dira le contraire. Un pirate informatique a réussi à se faire transférer 15.000 $ sur un compte bancaire basé en Nouvelle-Zélande en communiquant avec le banquier via un compte gMail piraté. Bref, n’attendez pas le passage d’un pirate. Mettez en action la double identification Google, qui, en regardant de plus prêt est en faite une quadruple identification.

Configurer les numéros de téléphones de secours

DataSecurityBreach.fr vous conseille un numéro portable et un numéro fixe. Dans le premier cas, pour recevoir par SMS le code de secours. Dans le second cas, recevoir le précieux secours via un téléphone fixe et une voix humaine.

Codes de secours à imprimer

Il vous permet de disposer de 10 codes si vos téléphones ne sont pas disponibles. 10 séries de 8 chiffres qui vous permettront de vous connecter à votre compte. Mots de passe spécifiques aux applications.

Google Authentificator

Avec les téléphones portables, data security breach vous en parle souvent, les accès malveillants se multiplient. Google propose « Google Autentificator« . Une application pour iOS, Android, … qui donne accès à un code d’identification unique. Code valide durant 1 minutes à rentrer, en plus de votre mot de passe habituel. Bref, voilà une sécurité digne de ce nom qui prend quelques minutes à configurer mais permet de ne pas passer des heures, quand ce ne sont pas des jours à sauver les meubles après le passage d’un pirate informatique.

Près de neuf français sur dix plébisciteraient la biométrie comme moyen de lutte contre la criminalité

Une étude de Steria, que datasecuritybreach.fr a pu consulter, menée auprès de 1 000 français (sur un total de 3 650 personnes interrogées en Europe), révèle que près de 9 français sur 10 (89 %) se disent favorables à l’utilisation de la biométrie pour identifier les criminels. La majorité est pour l’utilisation de la biométrie dans les cartes d’identité et les passeports (81 %), de même que pour contrôler les accès aux zones réglementées (77 %). En revanche, seuls 52 % acceptent que des solutions biométriques viennent remplacer les numéros PIN des cartes bancaires.

La plupart des français (89 %) se disent favorables à l’utilisation des technologies biométriques pour l’identification des criminels. Pourtant seuls 52 % accepteraient de voir la biométrie entrer dans leur vie quotidienne et remplacer les codes PIN des cartes bancaires par exemple. Une majorité de français (70 %) estime en effet que l’usage de la biométrie se limite à la protection contre l’usurpation d’identité, alors que de nombreux domaines de développement sont aujourd’hui envisagés : contrôles automatiques, simplification des procédures administratives, traçabilité des données, lutte contre la fraude ou encore réduction du crime.

Au niveau européen, les français sont plus favorables à l’adoption des technologies biométriques pour l’identification des criminels, que les britanniques (80 %), et les allemands (77 %). Près des trois-quarts (69 %) des sondés en Europe sont pour l’utilisation de la biométrie dans les cartes d’identité et les passeports, ainsi que pour contrôler l’accès aux zones réglementées.

Un marché à fort potentiel Selon de récentes estimations, le marché mondial de la biométrie représentera 8,5 milliards d’euros d’ici 2015. Cela traduit une formidable évolution des usages de la biométrie. Pour Florent Skrabacz, responsable des activités de Sécurité de Steria « les nouvelles applications de la biométrie, notamment pour la mobilité et les applications en ligne, sont une arme indispensable pour lutter contre les nouvelles fraudes à l’identité numérique ».

Ces propos sont renforcés par Ole Marius Steinkjer, expert des technologies biométriques chez Steria qui explique à DataSecurityBreach.fr : « Les applications de la technologie biométrique ne cessent de se diversifier : demandes d’asile, fluidité du trafic transfrontalier, authentification des criminels, contrôle d’accès aux sites militaires, aux dossiers médias, aux comptes bancaires, etc. Pourtant, en raison de préoccupations vis-à-vis de la protection de la vie privée, les citoyens hésitent toujours à adopter cette technologie au quotidien ».

Pour avoir déployé des solutions biométriques lors de projets dans 27 pays, notamment au Royaume-Uni, en Suisse, en France, en Allemagne, en Belgique et en Norvège, Steria jouit d’une grande expérience de la question. Cette année, Steria a notamment été sélectionné par la Police danoise pour un programme biométrique d’identification d’empreintes digitales et a annoncé, aux côtés de la Commission européenne, le déploiement de la seconde génération du système d’information Schengen (SIS II), qui prévoit de rationaliser les procédures de contrôle aux frontières de toute la zone et de faciliter la communication entre les Etats membres grâce aux données biométriques.

Connection VPN, entre 2 clés USB, en 60 secondes

Dans la nouvelle émission de ZATAZWeb.tv, numéro estival, il est proposé plusieurs sujets qui devraient vous intéresser. En plus de découvrir un jouet chinois qui permet de hacker certaines cartes RFID, l’émission ZATAZ Web TV revient aussi sur les livres à emmener avec soit à la plage, dont le dernier du moment des Editions ENI, Malware.

Particulièrement intéressant, les clés USB iTwin. L’émission a testé la version professionnelle de ces clés USB qui permettent de créer un accès VPN, entre deux portables.  iTwin est composé de deux parties. La première clé est insérée dans l’ordinateur de bureau, et le second – à la maison, par exemple. La connexion, en quelques secondes, est automatiquement établie sous la forme d’une connexion VPN sécurisée entre les deux machines.

A noter que l’émission profite des beaux jours pour lancer le grand jeu de l’été. A gagner : deux Playstation 4 de Sony ; des tee-shirts Nuit du hack et ZATAZ.COM et des livres. Lancement de notre grand jeu de l’été, lundi 22 juillet. Les premiers indices se trouvent déjà dans l’émission.

CryptoCat mal sécurisé durant 1 an

L’outil de chiffrement de conversation en temps réel, CryptoCat, fonctionne sous Firefox. Une application que nous vous présentions, il y a peu, sur DataSecurtyBreach.fr. Depuis quelques jours, l’outil est « enfin » sécurisé de manière efficace. Il faut dire aussi que depuis le 17 octobre 2011, l’outil d’anonymisation des conversations avaient des problèmes dans ses clés de chiffrement.

L’information vient de Steve Thomas. Le codeur a découvert comment Cryptocat sécurisait mal les conversations, laissant des potentialités d’interceptions non négligeables. Jusqu’au 15 juin dernier, ou les sécurités et clés de chiffrement ont été renforcées de manière efficace, il était possible, avec plus ou moins de moyen, de cracker les conversations. « Le bug aura duré 347 jours, a pu lire dataSecuritybreach.fr de la main de Steve Thomas. Cela a rendu les clés privées ECC ridiculement petites. Le système de clé publique de Cryptocat est maintenant sécurisé… après avoir été mauvais depuis quasiment le début. » L’auteur de l’analyse suggère tout de même de ne pas utiliser Cryptocat « On ne sait pas combien de temps le système de chiffrement va résister« . Dommage que Steve Thomas n’ait pas apporté son savoir pour aider ce projet open source et gratuit.

VPN Persona non grata pour Visa et MasterCard

Le fondateur d’iPredator, un service de VPN qui permet de sécuriser et anonymiser ses connexions sur la toile, Data Security Breach vous vantait dernièrement l’intérêt des VPN, vient d’annoncer sur son blog que Visa et MasterCard interdisait toutes utilisation d’iPredator. Peter Sunde, propriétaire d’iPredator, et cofondateur de Pirate Bay, explique que les internautes qui souhaitent payer via ses deux solutions de paiement ne peuvent plus le faire. La société PaySon, qui se charge des transactions bancaires lui aurait indiqué que Visa et MasterCard interdisaient dorénavant les paiements pour des services VPN et autres systèmes d’anonymisation.

Le site Torrent freak, qui diffuse le courriel reçu par Payson, montre que les deux sociétés de paiement se sont aussi attaqués aux revenus des sociétés Anonine, Mullvad, VPNTunnel et Privatvpn. Bref, les deux entreprises américaines refont le coup de Wikileaks en bloquant les possibilités d’achats par leur biais. Un moyen pour le FBI et les services de renseignements américains de contrer, encore un peu plus, les fraudes et le black market ; ou est-ce une nouvelle méthode des majors de combattre les contrefacteurs de films, logiciels, albums de musique en les empêchant d’exploiter des moyens de rendre anonymes leurs actions.

C’est malheureusement mal connaitre ce milieu qui peut utiliser d’autres moyens de paiement comme PaySafeCard, des services téléphoniques surtaxés ou encore BitCoin.

Watch dogs : Ubi Soft attaqué par de vrais pirates

Des pirates informatiques ont mis la main, voilà quelques semaines, sur une faille de type injection SQL qui leur aurait permis de consulter la base de données de comptes d’utilisateurs de l’éditeur de jeu. Ubisoft recommande à ses utilisateurs de changer leur mot de passe par sécurité.

Le créateur de « Assassin’s » ou encore du très attendu Watch dogs affirme que la sécurité d’un de ses sites internet (Uplay) avait été compromise. Un audit a permis de démonter que des données de la base de données avaient été consultées. Data Security Breach ne sait pas si les informations (noms d’utilisateurs, adresses courriel et mots de passe [MD5]) ont été copiées et diffusées par le pirate.

Voici le courriel envoyé par UBI Soft. « Cher Membre, Nous avons récemment découvert que la sécurité d’un de nos sites Internet avait été compromise, permettant d’accéder à certains de nos systèmes en ligne sans autorisation. Nous avons immédiatement pris les mesures nécessaires pour supprimer cet accès, enquêter sur cet incident et restaurer la sécurité des systèmes touchés. Pendant cette procédure, nous avons appris que des données avaient été illégalement consultées depuis notre base de données de comptes. Ces données incluent des noms d’utilisateurs, des adresses e-mail ainsi que des mots de passe cryptés. Sachez qu’aucune information de paiement n’est stockée chez Ubisoft : vos informations bancaires ne sont donc pas concernées par cette intrusion. En conséquence, nous vous recommandons de changer le mot de passe de votre compte : datasecuritybreach.fr. Par mesure de précaution, nous vous recommandons aussi de changer vos mots de passe sur les autres sites Internet ou services où vous utilisez un mot de passe identique ou proche. Veuillez accepter nos sincères excuses pour cet incident. Soyez assurés que votre sécurité reste notre priorité. »

Les responsables informatiques aveugles face aux failles de sécurité des réseaux d’entreprise ?

Dimension Data, le fournisseur mondial de services et de solutions informatiques, a déclaré à Data Security Breach que le nombre de périphériques vulnérables sur les réseaux informatiques d’entreprise a chuté entre 2011 et 2012, passant de 75 % à 67 %. Même s’il s’agit du chiffre le plus bas en deux ans, cette tendance met en évidence l’approche laxiste en matière de sécurité actuellement adoptée par les gestionnaires de réseau.

Telle est l’une des conclusions tirées dans le Baromètre des réseaux 2013 publié aujourd’hui par Dimension Data. Depuis son lancement en 2009, le Baromètre des réseaux informe de l’état des réseaux à l’échelle mondiale, en compilant des données en provenance des entreprises et les résultats des audits Technology Lifecycle Management (TLM) réalisés par Dimension Data dans le monde au cours de l’année écoulée. Ce rapport analyse la capacité opérationnelle des réseaux en évaluant la présence de failles de sécurité, le statut en fin de vie et le respect des bonnes pratiques de configuration des périphériques réseau. Aujourd’hui, Dimension Data affiche au compteur plus de 1 200 audits réalisés ces cinq dernières années, grâce à la solution Technology Lifecycle Management (TLM), auprès d’entreprises de toutes tailles et opérant dans tous les secteurs d’activités.

Comme l’explique à datasecuritybreach.fr Raoul Tecala, directeur du développement commercial de l’activité Intégration réseau chez Dimension Data : « Certaines failles de sécurité présentes depuis des années n’ont toujours pas été corrigées — et ce, malgré la proactivité dont font preuve certains fournisseurs comme Cisco Systems avec l’envoi d’alertes en cas de correctifs et les constantes mises à niveaux de leurs logiciels et systèmes. (…) « L’élimination de toutes les failles de sécurité peut constituer un défi de taille dans le cas d’environnements complexes d’envergure. Il convient toutefois de mettre en balance les perturbations subies et les efforts nécessaires, d’une part, avec les répercussions potentielles et les mesures qui s’avèrent indispensables. Bien que les réseaux semblent actuellement moins en proie aux failles de sécurité, la proportion importante de périphériques vulnérables se maintiendra jusqu’à l’application d’un correctif logiciel ou à la mise à niveau vers une nouvelle version plus sécurisée du code. »

Data security breach conseille aux entreprises de concentrer leurs efforts sur les failles de sécurité qui représentent le plus grand danger. « Plus le périphérique est proche d’Internet, plus le risque est important. Par conséquent, les entreprises doivent se montrer vigilantes et nous leur recommandons de mettre en place un système visant à évaluer, à hiérarchiser et à corriger en permanence les failles de sécurité des réseaux. termine Raoul Tecala, Même si les réseaux informatiques paraissent aujourd’hui moins vulnérables, bon nombre des failles de sécurité restantes sont difficiles à supprimer complètement et on en identifie de nouvelles chaque année. Il serait donc malvenu de se reposer sur ses lauriers ».