Archives de catégorie : Mise à jour

Argent, Base de données, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Patch

Sécurité en ligne : la méfiance des Français est-elle mère de sûreté ?

La cybercriminalité se développe aussi vite que les technologies et il n’est pas surprenant que cela rende les consommateurs méfiants lorsqu’on leur demande de saisir des données personnelles en ligne. C’est le cas pour 63% des Français selon une étude récente Dashlane menée par Opinionway. Il est plus étonnant de constater le décalage avec les Américains, qui, s’ils ne sont pas moins touchés par les piratages, sont beaucoup moins méfiants lorsqu’ils doivent saisir des informations personnelles sur internet (seulement 35%).

L’explication est bien sûr en partie culturelle. La France est un pays où, depuis Descartes, on considère que l’intelligence s’illustre par la capacité à douter. En face d’un phénomène nouveau, les consommateurs doutent donc tant qu’ils ne disposent pas des garanties permettant de lever leurs interrogations. Aux Etats-Unis, l’optimisme est une valeur. C’est lui qui permet la « poursuite du bonheur » inscrite dans la déclaration d’indépendance, et la foi en un futur meilleur, « l’American Dream ». Si la sécurité en ligne était un verre d’eau, ou de Coca Cola, les Américains auraient ainsi tendance le voir à moitié plein. Les dangers du web ne sont pas pour eux une raison de ne pas profiter des formidables innovations qu’il apporte. On n’aurait en effet pas conquis l’ouest américain si l’on s’était focalisé sur les risques. Pour les Français, le verre est souvent à moitié vide. Ils sont plus réticent à adopter un service qui risque de perturber leur quotidien, de remettre en cause leur statut…

Pour rassurer les consommateurs, les éléments à leur fournir sont également différents. Selon la même étude, c’est d’abord la réputation de la marque qui met en confiance les Américains (47%), alors que les Français sont 68% à citer le petit cadenas vert, symbole d’une connexion sécurisée, comme facteur de confiance numéro 1. Là encore, le scepticisme des Français les conduit à chercher des preuves concrètes de sécurité plutôt que de faire confiance a priori aux marques.

On serait tenté de donner raison aux Français, tant sont nombreuses les grandes marques qui connaissent des failles de sécurité sur leur site web. En s’intéressant d’abord à un élément factuel de sécurité, la connexion https et son symbole, le petit cadenas vert, les Français ne seraient-ils pas des précurseurs ? Quand ils naviguent sur le web, souris en main, ils souhaitent des signaux clairs pour les rassurer ou leur indiquer les dangers, comme lorsqu’ils sont au volant de leur voiture. Le cadenas https est pour eux la même chose qu’un panneau route prioritaire qui leur dit « C’est bon vous pouvez rouler à 90. ».

La conduite sur route est aujourd’hui énormément guidée par la signalisation (panneaux, lignes, ralentisseurs etc….) au point qu’on y prête à peine attention. Grâce aux efforts de standardisation, on s’y retrouve même lorsqu’on circule loin de chez soi à l’étranger. Mais qu’en est-il du web ? N’est-il pas nécessaire de définir, au-delà du chiffrement de la connexion (https) d’autres standards de sécurité, ou de confidentialité, qui pourraient être vérifiés par des tiers indépendants et illustrés par une signalisation uniforme ?

Au cours des deux dernières décennies, on a vu se développer les « autoroutes de l’information ». Nous sommes bien sur la « route du futur » que Bill Gates annonçait par son livre en 1997. Nous avons juste oublié de tracer les lignes blanches et de poser les panneaux. (Par Guillaume Desnoes, Responsable des marchés européens de Dashlane)

Chiffrement, Cloud, cryptage, Cybersécurité, Entreprise, Mise à jour, Patch

Quelles sont les nouvelles missions de la DSI à l’ère du cloud ?

Ce n’est plus une surprise aujourd’hui que le recours au cloud représente une transformation importante et stratégique pour les entreprises et va parfois de pair avec certaines inquiétudes concernant la place de la DSI. Les questions qui découlent de cette stratégie technologiques sont nombreuses : la DSI a-t-elle encore un rôle à jouer à l’ère du cloud ? Ce rôle doit-il évoluer et si oui, dans quelle(s) direction(s) ?

Dans de nombreuses entreprises, la DSI cherche avant tout à créer un socle informatique commun à l’ensemble des salariés : ce dernier doit être stable, afin d’éviter les interruptions de l’activité et permettre à chacun d’acquérir une excellente maîtrise des outils ; il doit aussi être sécurisé, afin de garantir une confidentialité optimale des données. De ces impératifs résultent des cycles informatiques longs, pouvant durer entre 3 et 5 ans avant que l’on n’envisage de changements significatifs des outils utilisés. Aujourd’hui, ce cycle long montre ses limites face à une économie toujours plus réactive où le time-to-market se réduit et où l’on recherche une plus grande agilité. Les entreprises doivent souvent faire preuve de rapidité pour répondre aux besoins du marché, une rapidité à laquelle leur infrastructure n’est pas toujours adaptée.

La DSI est donc confrontée à un paradoxe : d’un côté, offrir à l’entreprise de la stabilité afin qu’elle gagne en productivité et en sécurité ; de l’autre, s’adapter à de nouveaux usages dans un contexte où tout concorde pour que l’environnement soit instable. Un paradoxe d’autant plus présent dans les secteurs où les entreprises traditionnelles sont concurrencées par des start-up très agiles.

Mais alors, quelles craintes font naître ces évolutions ?
Tout d’abord il y a le « shadow IT ». La DSI y est confrontée de manière quasi récurrente : les salariés souhaitent décider eux-mêmes des outils les plus appropriés pour accomplir leurs missions ; il leur arrive ainsi d’en adopter certains sans l’aval des services informatiques, créant alors une véritable «informatique de l’ombre». Par conséquent, la DSI hérite souvent de la maintenance de ces dispositifs qu’elle n’a pas choisis et de la gestion des problèmes de compatibilité.

Puis vient la perte d’influence. Pendant longtemps, seule la DSI a eu le pouvoir sur les outils utilisés dans l’entreprise lui permettant de s’opposer à l’utilisation d’un logiciel si elle estimait qu’il ne répondait pas aux critères établis. Aujourd’hui, comme l’illustre la présence du shadow IT, les entreprises sont beaucoup plus ouvertes sur l’extérieur. Les directions métier, par exemple, ont accès à un large panel d’applications web qu’elles peuvent mettre en place en quelques clics. Le processus de décision est donc souvent plus rapide que la chronologie traditionnelle (évaluation des ressources techniques et budgétaires nécessaires, étude des risques, prise de décision, planification, déploiement) qui exigeait souvent plusieurs semaines voire plusieurs mois. En conséquence, la DSI peut craindre une certaine perte d’influence.

Enfin, reste l’automatisation. La plupart du temps, les logiciels basés sur le cloud hébergent les données au sein d’un datacenter extérieur à l’entreprise, dont la gestion est donc assurée par des tiers. De même, ces logiciels permettent souvent d’automatiser ou de simplifier des tâches autrefois placées sous le contrôle de la DSI : l’allocation des ressources, la configuration de chaque poste, le déploiement de nouvelles applications, etc. Ainsi, bien souvent, la DSI n’est plus la seule à impulser des décisions quant aux choix technologiques de l’entreprise. Les directions métier s’invitent aussi dans le débat, suggérant l’adoption de nouveaux outils. C’est sur ce type de projet que la DSI est la plus susceptible de ressentir une perte d’influence. Le risque est moindre lorsque les projets concernent l’entreprise dans son ensemble car la DSI conserve alors son pouvoir de prescription et de décision.

DSI, métiers, vers un juste équilibre ?
La situation actuelle entre DSI et directions métier n’est pas si préoccupante que l’on pourrait le croire. En effet, une étude menée par Verizon a démontré que seules 16% des entreprises étaient prêtes à investir dans le cloud sans l’aval de la DSI. A l’inverse, pour 43% d’entre elles, ce type de décision implique toujours une validation préalable de la DSI tandis que 39% prennent une décision collégiale associant directions métier et DSI. Le fait d’associer la DSI aux décisions ne se résume pas à valider la sécurité des choix technologiques, au contraire. La DSI permet, pour plus de la moitié des entreprises interrogées, d’optimiser les coûts et de réduire la complexité du processus. En réalité, il ne s’agit pas de créer un clivage entre DSI et directions métier mais de les réunir autour d’un objectif qui les rapproche : assurer la croissance de l’entreprise. Cela passe souvent par la mise en place de nouveaux business models permettant de développer le portefeuille clients ou de fidéliser les clients existants. Dans la poursuite de cet objectif, le cloud apporte une agilité accrue.

Le fait de solliciter l’IT offre à toute entreprise des bénéfices qui restent indéniables :
La DSI se porte garante du bon fonctionnement du système – Si le téléchargement d’un logiciel classique peut se faire à l’insu de l’IT, le cloud implique nécessairement de se pencher sur des questions comme la sécurité, la bande passante, l’interopérabilité. Sur ces sujets pointus, seule la DSI est en mesure d’intervenir afin de mettre en place de nouvelles fonctionnalités tout en préservant la cohérence du système d’information. Elle a en effet la maîtrise des questions de gouvernance : proposer de nouveaux produits et services, améliorer les processus et la fluidité des échanges…

La DSI peut apporter un accompagnement – Tout changement fait naître des inquiétudes et de manière générale, les utilisateurs n’acceptent un nouveau système que lorsque celui-ci apporte une amélioration significative de leurs conditions de travail. A l’inverse, si ce système se révèle plus complexe que le précédent, on accroît le risque de shadow IT. Il est donc primordial de faire coopérer la DSI et les métiers.

La DSI a un réel pouvoir de prescription – elle n’a pas pour seule mission de répondre à des besoins exprimés par les directions métier. Elle cherche aussi à les anticiper. Sa position la place à l’écoute des évolutions technologiques, elle est aussi gardienne de la mémoire des systèmes d’information de l’entreprise et peut donc impulser des innovations pour que l’entreprise gagne en modernité et en efficacité.

En conclusion, il ressort de ces constats que la DSI, loin d’être menacée par le développement du cloud, peut au contraire tirer profit de sa maîtrise technologique pour accompagner les directions métier et leur proposer des solutions à forte valeur ajoutée. Elle retrouve ainsi toute sa place dans la stratégie de l’entreprise. (Par Philippe Motet – Directeur Technique chez Oodrive)

Cybersécurité, Espionnae, Mise à jour, Particuliers, Virus

La stratégie et les auteurs du malware APT28

Les auteurs russophones de cette menace ont ciblé des personnalités politiques européennes majeures et des agences gouvernementales pendant près d’une décennie.

Une enquête technique de Bitdefender, société de technologies de sécurité Internet, révèle que la menace APT28, également nommée « Sofacy », a probablement été mise en place par des russophones, ciblant des victimes triées sur le volet dans le cadre d’une opération massive de collecte de renseignements.

Le nouveau rapport de Bitdefender, intitulé Under the Scope – A Journey into Exfiltrating Intelligence and Government Information, affirme, preuve à l’appui, que Sofacy, opérant secrètement en Europe depuis 2007, a été utilisée pour récolter des renseignements sur des sujets importants pour la Russie. L’activité d’APT28 a atteint son apogée lors d’événements internationaux tels que les négociations de paix entre les rebelles soutenus par Moscou et les
forces gouvernementales lors de la crise en Ukraine ou encore lors de l’intense couverture médiatique concernant la mise sur le marché d’un avion intelligent russe PAK FA T-50 Fighter (un concurrent du modèle américain, Lockheed Martin’s F-35).

Ce rapport met en lumière les liens existant entre cette APT (Advanced Persistant Threat – Menace Persistante Avancée) et ses opérateurs, avançant un faisceau de preuves convergentes tendant à démontrer que les pays aux capacités technologiques les plus avancées sont responsables d’une nouvelle vague de cyber espionnage mondial via des malwares. Le rapport de Bitdefender sur APT28 étudie les trois principaux vecteurs d’attaque de cette menace avec des méthodes exhaustives de sondage pour repérer de nouvelles victimes, un ciblage de personnalités politiques importantes, d’institutions gouvernementales, de services de télécommunications et de services d’e-crime, ainsi que d’entreprises aérospatiales.

« Alors que le terme APT a été popularisé pour la première fois, il y a plus de cinq ans, avec la découverte de Stuxnet dans une installation de traitement nucléaire iranienne, certains cybercriminels tels que les opérateurs d’APT28 ont réussi à collecter en toute discrétion des renseignements depuis près d’une décennie, » explique à DataSecurityBreach.fr Viorel Canja, Directeur des Laboratoires antimalwares et antispam de Bitdefender. « Nous avons concentré notre recherche sur les particularités de l’infrastructure et des opérations d’APT28, ce qui nous a permis de faire le lien entre la menace et ses opérateurs et d’offrir une vue d’ensemble sur son fonctionnement et ses cibles de prédilection. »

Cybersécurité, Entreprise, Fraude au président, Fuite de données, Mise à jour, Social engineering

La signature de vos mails, porte d’accès pour pirate

Quoi de plus anodin qu’une signature dans un courrier électronique. Prenez garde, elle peut révéler beaucoup d’informations au premier pirate qui passe. DataSecurityBreach vous propose un mode d’emploi contre la collecte d’information via votre répondeur.

Dans le piratage informatique, la collecte d’informations sur la cible est primordiale. Avant d’attaquer un ordinateur, le pro de la malveillance informatique doit tout savoir sur l’humain et son environnement. Connaitre sur le bout des doigts la vie de l’objectif. Parmi les « espaces » de travail de l’espion : les poubelles (on se retrouve au FIC 2016 lors du challenge CDAISI, NDR) ; les bureaux ; les pages communautaires (Facebook, …) ainsi que les mails, les signatures et, surtout, le répondeur qui annonce votre absence.

Les réponses automatiques, l’ami de vos ennemis
Aussi bête que cela puisse paraître, j’ai pu constater depuis des années que les messages automatiques des répondeurs de nos boites mails étaient capables de fournir des informations sensibles, stratégiques pour celui qui sait les lires. Comme l’explique le site Internet dédié aux Professionnels de l’opérateur Orange « Au moment de paramétrer votre message d’absence pensez à faire figurer quelques informations comme » et l’entité historique des télécoms Français d’égrainer les données à fournir dans le message automatique : La durée de votre absence ; les coordonnées d’une personne à contacter en cas d’urgence... »

Aujourd’hui, ces informations ne sont plus à mettre. Imposez à votre direction une adresse électronique générique à mettre en place durant les absences. Paul.Abuba@Federalbank.gov.us n’est plus pensable dans un répondeur. Absence@Federalbank.gov ou informatique@Federalbank.gov (si vous officiez dans ce service, NDR) semble plus logique. Il ne faut plus communiquer la durée de l’absence, et encore moins l’identité de la personne à contacter en cas d’absence.

Social Engineering automatisé

Votre répondeur ne doit plus ressembler au message ci-dessus, mais à celui proposé ci-dessous. Un message qui aura pour mission de préserver les intérêts de votre entreprise et de votre vie numérique. De bloquer les tentatives de fraudes, de type Fraude au président par exemple. Il est aujourd’hui impératif d’éviter toute personnalisation. Un malveillant possédant l’identité de vos proches collaborateurs, d’un numéro de téléphone direct et de la date de votre absence à suffisamment de données pour piéger votre entreprise.

backdoor, Cybersécurité, Facebook, ID, Identité numérique, Mise à jour, Particuliers, Patch

Addiction : Facebook a testé une application secrète

Facebook a testé, en secret, une application Android dédiée à l’addiction de ses utilisateurs au réseau social.

Facebook a mené des tests secrets pour déterminer l’ampleur de la dépendance de ses utilisateurs sous Android. Comme des mannequins dédiés aux crashs tests automobiles, les utilisateurs de l’application Facebook pour Android étaient sous la surveillance du géant américain sans avoir été informés des tests.

Des « analyses » menées de manière à ce que Facebook fût capable de déterminer le niveau d’addiction de l’utilisateur de la dite application. Facebook voulait savoir si l’internaute venait via un navigateur, via Google Play. Bref, du marketing au parfum « Big brother ». Avec un milliard d’utilisateurs Android, il y a une forte motivation pour Facebook de tester ce genre de chose. La société de Mark Zuckerberg aurait aussi testé cette méthode pour sa propre boutique (app store).

Cybersécurité, Emploi, Entreprise, ID, Identité numérique, Mise à jour, Particuliers, Propriété Industrielle, Social engineering

Première solution de sécurité pour Instagram

La société Proofpoint, spécialiste dans la cybersécurité nouvelle génération, a annoncé ce mercredi 06 janvier 2015 le lancement de la première solution qui identifie automatiquement les menaces de sécurité, violations de conformité et publications inappropriées sur Instagram.

Baptisée Proofpoint SocialPatrol, l’outil permet d’exécuter une analyse avancée des images et du texte, lui-même incorporé ou non dans une image. Les marques et les organisations soucieuses des questions de conformité peuvent ainsi surveiller et supprimer les publications et commentaires inappropriés.

 « La solution Proofpoint SocialPatrol nous a permis de lutter contre une grande quantité de spams et de commentaires inappropriés sur nos comptes Instagram », a déclaré Jeff Hagen à DataSecurityBreach.fr, directeur du service de relation clientèle internationale chez General Mills. « Sans cette technologie, nous aurions dû procéder à un renforcement coûteux de nos processus de modération manuelle, ou prendre le risque de perdre des abonnés. »

SocialPatrol analyse l’ensemble des images, légendes et commentaires publiés sur les comptes Instagram des marques ou entreprises. L’objectif est de détecter le contenu à caractère pornographique, malveillant ou inapproprié et d’en informer les propriétaires du compte. Ces derniers peuvent alors supprimer ces éléments indésirables, généralement publiés par des cybercriminels, spammeurs ou employés malhonnêtes.

Quatre-vingt-cinq pour cent des grandes marques communiquent avec leurs clients via Instagram. Ce réseau comptant plus de 400 millions d’utilisateurs actifs chaque mois, les entreprises doivent se prémunir des risques inhérents à son usage.

 Les solutions de conformité basées exclusivement sur le texte et les mots clés ne prennent pas en compte le contenu des images, et entraînent de trop nombreuses fausses détections. Proofpoint SocialPatrol analyse le texte et les images, puis les compare à plus d’une centaine de classificateurs. Les entreprises sont ainsi en mesure de protéger leurs marques, en identifiant rapidement les publications et commentaires malveillants, inappropriés ou non conformes. La solution Proofpoint SocialPatrol peut être complétée par Proofpoint SocialDiscover™, qui permet de détecter, de suivre et de vérifier le compte Instagram des marques.

La suite de solutions Proofpoint dédiée aux réseaux sociaux permet également aux entreprises de protéger leurs comptes Facebook, Twitter, LinkedIn, Google+ et YouTube, notamment. Les plus grandes marques utilisent cette technologie en attente de brevet pour signaler les comptes frauduleux, empêcher tout discrédit dû aux cybercriminels, supprimer le contenu malveillant ou inapproprié, stopper les flux de publication non autorisés et veiller au respect des règles de conformité.

Argent, Chiffrement, cryptage, Cybersécurité, Emploi, Entreprise, Fuite de données, ID, Identité numérique, Mise à jour, Paiement en ligne, Particuliers, Vie privée

Attention à la sécurité des sites pendant les soldes !

Un commentaire

Les soldes d’hiver démarrent demain, avec leur cortège de bonnes affaires. Les achats sur Internet sont dans ce domaine de plus en plus en vogue. Mais si les soldes offrent de belles opportunités, elles peuvent aussi mettre les utilisateurs à la merci des pirates si la sécurité des sites marchands n’est pas assez forte. Afin d’y voir plus clair et de guider les internautes sur les sites les mieux sécurisés, Dashlane publie son 3ème Baromètre de Sécurité.

Le spécialiste de la gestion des mots de passe et de l’identité en ligne, ont analysé la manière dont les sites d’e-commerce gèrent la sécurité des mots de passe. Les sites sont évalués via une liste de critères (longueur minimale du mot de passe, obligation d’utiliser un mot de passe alphanumérique, nombre de tentatives de connexion successives possibles…). Une note est alors associée à chaque critère et le total permet d’attribuer au site un score de sécurité compris entre -100 et 100.

On ne le répétera jamais assez. Pour les consommateurs, il est indispensable d’utiliser des mots de passe forts, composés d’au moins 8 caractères, générés aléatoirement et incluant des chiffres et des lettres. Les mots de passe doivent être différents pour chaque site. Ce sont les conditions pour dissuader les pirates. Les sites d’e-commerce ont pour responsabilité d’encourager leurs clients à suivre ces bonnes pratiques.

Un constat alarmant
Sur les 25 sites analysés, 52% ont encore un score négatif et n’imposent pas à leurs visiteurs l’usage d’un mot de passe alphanumérique (mélangeant chiffres et lettres), 52% autorisent au moins 10 tentatives de connexion successives, et 36% acceptent des mots de passe faibles comme « motdepasse », « azerty », « 123456 », qui sont aujourd’hui les plus utilisés et donc les plus facile à pirater.

On est toujours surpris de retrouver des leaders de l’e-commerce français tels que Amazon France, Rueducommerce ou Aramis Auto parmi les plus mauvais élèves. Il est aussi assez stupéfiant de constater qu’une grande marque comme Castorama envoie encore à l’utilisateur son mot de passe en clair par email lors de la création de son compte. Un pirate qui accèderait à sa boîte email pourrait ainsi se connecter à son compte en quelques secondes.

Néanmoins, tous les sites n’ont pas les mêmes pratiques. Les premiers de la classe sont des grandes marques de référence, comme Apple (qui conserve le score maximum de 100!), Auchan, Alloresto, Carrefour ou Price Minister.

Si pour certains, la protection des données des consommateurs est une priorité qui ne se discute pas, certains sites semblent privilégier la facilité, l’assurance que les contraintes de sécurité imposées ne nuiront pas à la « transformation » du prospect en client…

La prise de conscience est en cours
Même si la liste des sites analysés et la méthode ont légèrement évolués depuis le précédent Baromètre de Sécurité Dashlane, la comparaison entre les baromètres 2014 et 2015 est toutefois riche d’enseignements. On remarque ainsi que certains sites ont pris conscience de la nécessité de renforcer la protection des données de leurs utilisateurs. Alloresto, Vente Privée, Cdiscount et Show Room Privé exigent maintenant des mots de passe de 8 caractères minimum, avec lettres et chiffres obligatoires, alors qu’ils acceptaient auparavant des mots de passe faibles. Brandalley ou Oscaro ont aussi cessé d’adresser aux utilisateurs leur mot de passe en clair par email et c’est une très bonne nouvelle !

Cybersécurité, Hacking, Mise à jour, Patch, Rendez-Vous

Une application contre Donald Trump

Le présidentiable extrémiste Donald Trump doit faire face à une application sous Chrome qui le banni du navigateur de Google.

Vous n’aimez pas Donald Trump ? Vous n’aimez pas les propos haineux, racistes de ce candidat à la présidentielle américaine ? Un informaticien vient de sortir une application, baptisée TrumpFilter qui bannit la moindre information liée à Donald Trump. Soyons honnête, ça ne fera pas baisser les sondages de ce bateleur populiste.

Le filtre « Trump », développé par Rob Spectre, bloque les sites Web couvrant les actualités dédiées à Trump. Il faut dire aussi que Trump, dans les média, c’est un peu le FN en France, ça fait vendre du papier et des pages vues sur la toile.

Selon Spectre, bloquer la couverture médiatique de Donald Trump, qui paient des millions de dollars pour s’afficher partout, c’est permettre « aux citoyens concernés de réellement se concentrer sur d’autres candidats. » Bref, en apprendre davantage sur les questions politiques, économiques, sociétales des Etats-Unis d’Amérique. Un filtre Hillary Clinton serait en cours de réflexion, la politique étant en seconde position des informations liées aux présidentielles américaines.

Adobe, Apple, Cybersécurité, Firefox, IBM, iOS, Joomla, Linux, Linux, Logiciels, Microsoft, Mise à jour, Patch

L’OS d’Apple, le logiciel le plus vulnérable aux pirates en 2015

Les temps changent ! Apple OS X aurait été l’environnement informatique le le plus vulnérable en 2015, selon le CVE.

Le CVE détails est la référence dédiée aux alertes liées aux vulnérabilités visant les logiciels que nous utilisons. Les données CVE sont collectées à partir du National Vulnerability Database (NVD), projet par l’institut National des Standards et de la Technologie. D’autres sources telles que les éditeurs eux-mêmes, ou encore Exploit DB, viennent peaufiner les bulletins d’informations.

Comme chaque année, CVE propose son top 50. Cette année, 6 412 vulnérabilités ont été annoncées par CVE. DataSecurityBreach.fr a remarqué qu’il y avait eu 1 534 failles de moins qu’en 2014. Une année qui avait été la plus chargée en alertes, avec 7 946 cas.

En 2015, le grand vainqueur en a étonné plus d’un : l’OS d’Apple avec 384 vulnérabilités. Windows 10 se placent en 35ème position avec 53 alertes. Alors que nous aurions pu penser que Flash caracolerait en tête, le format media d’Adobe ne s’est contenté « que » de 314 alertes. De son côté, Android affiche, à la 20ème place, 130 failles. Internet Explorer 231 failles. Chrome, 187 et Firefox, 178.

Base de données, Cybersécurité, Entreprise, ID, Identité numérique, Justice, loi, Mise à jour, Particuliers

Google en sait plus sur les enfants que leurs propres parents

De plus en plus d’écoles publiques utilisent les outils gratuits de Google. Bilan, le géant américain de l’Internet en sait plus sur les enfants que les parents d’élèves.

L’inquiétude monte chez certains parents d’élèves américains. Mais soyons honnêtes, il est trop tard. Dans de nombreuses écoles publiques à travers le pays, Google est devenu, techniquement, un collecteur de données légitime, un « school official » pour la loi US. Il faut dire aussi que l’attrait des enseignants à exploiter les suites gratuites de logiciels Google se fait de plus en plus grand.

Logiciels comme Picasa et autres ordinateurs bon marché dont l’OS tourne sous Chrome. La domination croissante de la société suscite de graves inquiétudes chez certains défenseurs de la vie privée qui prétendent que Google utilise des données sur les étudiants pour son propre bénéfice.

La loi américaine exige que les écoles obtiennent le consentement écrit des parents avant de partager des informations personnelles sur les enfants. Mais il y a une exception qui a de quoi inquiéter, aux USA, mais aussi en France et partout dans le monde. Le partage des données avec un « school official » est autorisé aux USA à la condition ou ce dernier a un « intérêt éducatif légitime« . Seulement, le Ministère de l’Éducation a interprété et a modifié la loi au cours des dernières années de manière à permettre maintenant à presque tout individu ou organisation, qui indique proposer une « fonction éducative« , de devenir un « school official« . Bilan, Google et ses outils s’invitent dans les établissements et engrangent des milliards de données sur les élèves et leurs « comportements » numériques sans que les établissements, ni les parents, ne puissent contrôler les informations sauvegardées. De son côté, Google rappelle qu’il est fermement engagé à protéger et sécuriser la vie privée des élèves. (WP)