Depuis vendredi 2 mai, l’Etat Français dispose d’une nouvelle arme de dissuation électronique baptisée DGSI. Le journal officiel présente la Direction Générale de la Sécurité Intérieure (DGSI) comme ayant pour mission « la surveillance des communications électroniques et radioélectriques« . Une nouvelle direction qui avait été annoncée par le Ministre de l’Intérieur Emmanuel Valls, en juin 2013.
« Les menaces auxquelles est exposé le pays nécessitent une action déterminée de l’Etat qui doit se doter de moyens performants de prévention et de répression de toute forme d’ingérence étrangère, d’actes de terrorisme, d’atteintes à la sûreté de l’Etat, à l’intégrité du territoire, à la permanence des institutions de la République et aux intérêts fondamentaux de la France. » explique le site Gouvernement.fr. C’est dans cette perspective qu’est créée la direction générale de la sécurité intérieure.
Dans son decret n° 2014-445 (du 30 avril 2014) on apprend que la DGSI est rattachée au Ministére de l’Intérieur. La DGSI remplace la DCRI, fusion de la DST et des RG. Dorénavant, la Dame est chargée « sur l’ensemble du territoire de la République, de rechercher, de centraliser et d’exploiter le renseignement intéressant la sécurité nationale ou les intérêts fondamentaux de la Nation« . Bref, nos services de renseignements intérieurs passent en mode 2.0 pour la sécurité des Français et des entreprises hexagonales. La DGSI va pouvoir, officiellement, mettre sur écoute téléphone, Internet, et les réseaux qui devront être surveillés. Bien entendu, la justice donnera son feu vert (ou non). La DGSI devra faire ses demandes auprès de la Commission nationale de contrôle des interceptions de sécurité (CNCIS).
Dans son article 2, le décret explique qu' »Au titre de ses missions, la direction générale de la sécurité intérieure pour assurer la prévention et concourt à la répression de toute forme d’ingérence étrangère ;
Concourir à la prévention et à la répression des actes de terrorisme ou portant atteinte à la sûreté de l’Etat, à l’intégrité du territoire ou à la permanence des institutions de la République ;
Participer à la surveillance des individus et groupes d’inspiration radicale susceptibles de recourir à la violence et de porter atteinte à la sécurité nationale ;
Concourir à la prévention et à la répression des actes portant atteinte au secret de la défense nationale ou à ceux portant atteinte au potentiel économique, industriel ou scientifique du pays ;
Concourir à la prévention et à la répression des activités liées à l’acquisition ou à la fabrication d’armes de destruction massive ;
Concourir à la surveillance des activités menées par des organisations criminelles internationales et susceptibles d’affecter la sécurité nationale ;
Concourir à la prévention et à la répression de la criminalité liée aux technologies de l’information et de la communication ».
432 agents devraient constituer, d’ici 2018, cette nouvelle Direction. A ce rythme là, la DGSI et la DGSE devrait fusionner d’ici quelques mois, histoire de partager les coûts, les moyens et les techniciens.
Le chercheur en sécurité Andreas Kurtz vient de lâcher un grain de sable dans la communication d’Apple. La grosse pomme affirmait que les documents communiquées par courriel d’un iPhone ou d’un Ipad étaient sécurisés quand elles étaient sauvegardés dans ces « précieux ». Les pièces jointes ne pouvaient être lues, car chiffrées « à partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS« . Bref, un charabia qui indique que l’on peut dormir tranquille, c’est « secure ».
Sauf que Kurtz vient de démontrer le contraire. Via son iPhone 4, sous iOS 7, et une fois l’option de protection des données activée, le chercheur s’est rendu compte que ses courriels étaient bien inaccessibles. Les pièces jointes, elles, étaient lisibles et non sécurisées. Inquiétant, Apple semble au courant de la faille et ne l’a toujours pas corrigé. La nouvelle version d’iOS (V. 7.1.1) n’a pas pris en compte cette potentialité malveillante, et ne la corrige pas. C’est étonnant, car Andreas Kurtz a prouvé qu’il était possible à un malveillant de mettre la main sur les données envoyées d’un appareil Apple.
Fin avril les Sénateurs Alain Anziani et Antoine Lefèvre sont revenus sur le vote électronique en France. Une innovation qui n’a pas prospéré. DataSecurityBreach.fr a reçu le rapport des deux sénateurs. Découverte ! Le vote par machine figure dans notre droit électoral depuis 45 ans comme une alternative au bulletin papier (vote à l’urne). Leur utilisation relève du libre choix des communes. Les nombreuses critiques qu’elles ont suscitées à l’occasion de l’élection présidentielle de 2007, « bien qu’aucun fait majeur n’ait perturbé la régularité des scrutins organisés dans les bureaux dotés de machines à voter », indique les sénateurs Alain Anziani et Antoine Lefèvre ont conduit le Gouvernement à geler, en 2008, le périmètre des communes utilisatrices. Cette décision est toujours en vigueur.
Plus de six ans après, Alain Anziani et Antoine Lefèvre ont proposé que ce dossier soit réouvert en tenant compte des données récentes. Critiqué dès sa création, ce dispositif n’est jamais parvenu à écarter toutes les craintes résultant de ce bouleversement de notre rituel républicain. Son implantation reste modeste. Quant au débat sur sa conformité aux exigences entourant l’exercice du droit de vote, il n’est pas clos, malgré l’évolution des technologies.
Lutter contre la fraude électorale
Inspiré des États-Unis, le recours à des machines comme mode alternatif du vote à l’urne pour les élections politiques a été prévu par la loi n° 69-419 du 10 mai 1969 modifiant certaines dispositions du code électoral. Ce texte avait pour objectif de lutter contre la fraude constatée dans plusieurs circonscriptions. Il prévoyait d’introduire des machines à voter dans les communes de plus de 30 000 habitants. Pour le secrétaire d’État à l’intérieur, André Bord, « l’utilisation de ces machines est de nature à éliminer les fraudes qui peuvent être commises pendant le déroulement des opérations de vote et pendant le dépouillement du scrutin ». Le Gouvernement soulignait aussi que cette technique moderniserait les opérations de vote « en évitant l’emploi de scrutateurs et en supprimant tout risque d’erreur, dans les circonscriptions qui comptent un nombre élevé d’électeurs ».
Machine de la ville d’Annoeullin (59).
La première expérience intervint lors des élections législatives des 4 et 11 mars 1973. Elle donna lieu à de nombreux incidents : « un des modèles agréés ne présentait pas de garanties suffisantes de fiabilité ». Après son retrait, les deux autres modèles furent à nouveau utilisés pour les scrutins suivants (élections cantonales de 1973 et 1976, municipales de 1977, législatives de 1978 et diverses élections partielles) sans que leur mise en service soit très concluante : « les défaillances, les pannes subies par ces matériels de même que le coût très élevé de leur maintenance, ont conduit à les retirer peu à peu du service».
420 machines étaient en service en 1977. Elles furent supprimées dans la région parisienne à compter de 1984 après les conclusions d’un nouveau bilan. En 1988, elles ne subsistaient que dans les communes de Bastia et d’Ajaccio. Lors de l’élection présidentielle de 2007, quatre-vingt-trois communes étaient autorisées à utiliser des machines à voter. Elles comptaient 1,5 million d’électeurs, soit 3 % du corps électoral. Plusieurs difficultés survenues au cours du premier tour ont à nouveau conduit à de nombreuses critiques répertoriées par le groupe de travail mis en place par le ministre de l’intérieur en septembre 2007.
114 critères techniques
Sur la base des 114 critères techniques fixés par le règlement technique, trois types de machines à voter sont aujourd’hui agréés : les machines ESF1 fabriquées par la société néerlandaise NEDAP et commercialisées par France Élections. Leur agrément a été délivré par un arrêté du 12 avril 2007 ; les machines iVotronic de la société américaine Election Systems & Software (ES&S), distribuées par Berger Levrault et agréées par un arrêté du 15 février 2008 ; les machines Point & Vote plus de la société espagnole Indra Sistemas SA. Le maintien de l’agrément est soumis à un contrôle de la machine tous les deux ans. Le ministère de l’intérieur a indiqué aux sénateurs Alain Anziani et Antoine Lefèvre que le bureau Veritas a inspecté les machines ESF1 et iVotronic en 2012. En revanche, il ne détient aujourd’hui aucune information sur le matériel Point & Vote plus. Il est précisé, à cet égard, que les constructeurs et organismes certificateurs ne sont pas soumis à une obligation de transmission au ministère des rapports de contrôle. France élections estime entre 5 000 et 6 000 euros hors taxe (HT) le coût moyen d’équipement d’un bureau de vote. Les frais de maintenance et prestations annexes s’élèvent de 65 à 150 euros HT par bureau –donc par machine- et par élection. Pour Berger Levrault, le coût estimatif de la location d’une machine est de 2 300 euros HT pour une élection à deux tours et de 1 400 euros HT pour une élection à un tour lorsque celle-ci est postérieure à l’élection à deux tours. Ces montants incluent les matériels associés (BIP, Flash card, scellés, pack de communication) et l’ensemble des prestations induites (programmation, paramétrage, formation des présidents de bureau de vote, mise sous scellés, mise en place d’un serveur de centralisation le cas échéant, mise à disposition de techniciens le jour du scrutin, gestion de projet). Le prix de vente de la machine Point & Vote plus d’Indra est estimé
à 3 800 euros environ.
Trois types d’incidents
M. François Pellegrini a recensé trois types d’incidents susceptibles d’altérer la sincérité des résultats du scrutin : un dysfonctionnement de la machine comme celui de Schaerbeek, des rayonnements cosmiques, la malveillance. Celle-ci peut s’exercer par l’introduction d’un logiciel de détournement du vote qui, ensuite, s’autodétruit ou la modification du code du logiciel pour falsifier les résultats. Ces fragilités techniques justifient la procédure rigoureuse et sécurisée de stockage des machines destinée à préserver l’intégrité des équipements. Ce défaut de fiabilité du vote électronique a conduit l’Irlande, en 2009, à renoncer à l’utilisation des machines à voter. Même l’Estonie, à la pointe des nouvelles technologies, préfère le papier au numérique. Ces exigences ont conduit, en 2006, les Pays-Bas à interdire un modèle de machines à voter à la suite d’un grave incident. Leur ambassade indiquait alors à Alain Anziani et Antoine Lefèvre qu’« un certain type d’irradiation des écrans, due à la présence de caractères accentués dans le texte, s’est avérée non sécurisée et pourrait être lue à distance». Dans le même temps, des chercheurs prouvaient la simplicité à modifier les équipements. Dès lors que la confiance dans le vote était rompue, les machines ont été supprimées. Une étude du Chaos computer club a prouvé que « les appareils utilisés étaient facilement manipulables, sans que lesdites manipulations puissent être perçues par le votant ou par le président de la commission électorale». Et ce en dépit du fait que les appareils utilisés avaient été agréés par le ministère fédéral de l’intérieur, comme l’exigeait la procédure, après la délivrance d’un avis favorable de l’office fédéral de physique et de technique. Le groupe de travail du ministère de l’intérieur Français (2007) a, notamment, déploré qu’il « se révèle largement insuffisant sur certains points en ce qui concerne la sécurité informatique des machines, ce qui explique également que les trois modèles agréés présentent des niveaux de sécurité relativement différents ».
Exemples de faille
En 2011, une faille découverte dans l´un de ces isoloirs hitech. Une vulnérabilité informatique découverte dans le système de vote électronique Diebold AccuVote. La faille pouvait être utilisée pour altérer les résultats du vote. Bien évidement, ce « bug » ne laisse aucune trace d’effraction. Un dispositif peu couteux, aucune reprogrammation et encore moins devenir dans les jours qui viennent un génie de l’informatique. La vidéo ci-dessous montre comment il était simple de prendre le contrôle quasi complet sur ?la machine. Le plus délirant est que cela pourra se faire, à distance.
Démonter un bureau de vote en 59 secondes… pour le piéger
C’est pourquoi, au terme de leur réflexion, Alain Anziani et Antoine Lefèvre n’étaient pas, en l’état, favorables à la levée du moratoire décidé en 2007. « En définitive, le seul avantage décelé réside dans le gain de temps permis par le dépouillement électronique, indiquent les Sénateurs. Mérite-t-il de prendre, en contrepartie, tous les risques attachés à l’utilisation de l’électronique? » Alain Anziani et Antoine Lefèvre ne le pensent pas.
La dernière étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) annonce plus de 700.000 piratages bancaires en France, par an. Voilà qui devient intéressant. Les chiffres de la dernière étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) montre qu’il y aurait eu une hausse de 43% des piratages de données bancaires, en France, entre 2010 et 2013. Plus de 700.000 victimes se sont déclarées.
Le rythme des arnaques à la carte bancaire en France ne cesserait d’augmenter indique le Figaro à la suite de cette étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) relative aux « débits frauduleux sur les comptes bancaires ». Des faits déclarés par des victimes lors d’une enquête « cadre de vie et sécurité» lancée par l’Insee. 14.500 ménages ont été interrogés pour cette enquête.
En 2010, 500.000 cas de fraudes bancaires avaient été annoncés. Trois ans plus tard, 200.000 nouveaux se sont invités dans ce compteur qui ne cesse d’augmenter. A noter que le rapport officiel de l’Observatoire de la Sécurité des Cartes de Paiement (OSCP) sur ce sujet doit être publié en juillet prochain. En 2012 (le site n’affiche aucun rapport pour 2013, ndr) l’OSCP annonçait un taux de fraude pour l’année 2011 à 0,077 % « en légère augmentation pour la quatrième année consécutive« . Cela correspondait à un montant total de fraude de 413,2 millions d’euros (contre 0,074 % et 368,9 millions d’euros en 2010).
La justice Belge souhaite poursuivre des pirates russes qui auraient profité de la crise bancaire de 2008 pour s’attaquer à Dexia. En 2008, Russes et Ukrainiens s’aimaient. En 2008, les pirates de ces deux pays jouaient ensemble. En 2008, plusieurs d’entre eux se sont attaqués aux serveurs de la banque Dexia pour voler des données sensibles et privées. A l’époque, Dexia était dans la tourmente de la crise bancaire mondiale. Des pirates russes avaient volé des données bancaires qu’ils avaient revendu à des cybers escrocs Ukrainiens qui avaient blanchi l’argent, entre autres, via une banque Lettone. Bref, une mondialisation du crime qui avait coûté des millions d’euros à Dexia. L’agence Belga vient d’indiquer que le parquet fédéral souhaite poursuivre plusieurs de ces russes et ukrainiens. Le parquet envisage également de poursuivre une banque de Riga (Lettonie). L’enquête serait terminée, il ne reste plus qu’au juge à réclamer la tête des fautifs.
Un collectif Anonymous, via une filiale baptisée Lulz Lab, vient d’annoncer sur GitHub la création du projet AirChat. Dans une vidéo mise en ligne sur Vimeo, Lulz Lab explique que « nous croyons fermement que les communications devraient être libres. Libre autant que l’air lui-même. » AirChat a pour mission d’aider ceux qui n’ont pas les moyens de communiquer. Pauvres, dissidents, ONG, … « Maintenant le feu de notre liberté se consume. Nos voix sont soumises à des contrôles innombrables : financier, brevets, droits, règlements, censure…«
L’outil se compose d’une radio, d’un ordinateur, de quelques outils faits maison. AirChat permet de communiquer gratuitement, sans passer par Internet, ni d’un réseau de téléphonie cellulaire. C’est du moins ce que propose, sur le papier, AirChat. Il s’appuie sur une liaison radio disponible « ou tout autre appareil capable de transmettre de l’audio » souligne Lulz Lab.
Pour le moment, le projet n’est qu’en mode « papier », même si les inventeurs annoncent des essais sur plusieurs centaines de kilomètres de distance. « Ce projet a été conçu de nos leçons apprises lors d »es révolutions égyptienne, libyenne et syrienne« . Des appareils radios bon marché, des minis ordinateurs de poche « Fabriqués en Chine ». Voilà un projet qui pourraient être utilisés par un grand nombre de personnes dont les libertés sont baffouées. On ne peut qu’applaudir des deux mains.
Jusqu’à présent, Lulz Lab a pu jouer à des jeux interactifs d’échecs avec des personnes situées à plus de 200 kilomètres de distance. « Nous avons partagé des photos et établies des chats chiffrés. Nous avons pu aussi lancer une impression 3D sur des distances de 80 miles (128km) et transmis des dossiers médicaux à des distances de plus de 100 miles (160km). »
Prosodie-Capgemini, spécialiste des applications « Front Office », annonce aujourd’hui son agrément en tant qu’hébergeur de données de santé à caractère personnel. Prosodie-Capgemini a obtenu cet agrément grâce au caractère hautement sécurisé de son activité d’hébergement, sa solidité financière et une pratique éthique de ses affaires commerciales. La dématérialisation croissante des données médicales, l’évolution des systèmes d’information centralisés vers des systèmes collaboratifs, ou encore la multiplication des parties prenantes intervenant sur les actes de santé (usagers, patients, médecins, entreprises…) sont autant de facteurs qui poussent les professionnels de la santé qui souhaitent externaliser l’hébergement de leurs données à caractère personnel, à se tourner vers des partenaires technologiques disposant de systèmes d’hébergement sécurisés.
Prosodie-Capgemini travaille depuis quinze ans sur les processus de gestion de la sécurité, et adresse très sérieusement les questions de disponibilité, intégrité, confidentialité et traçabilité des données de santé tout au long de leur cycle de vie. Cette démarche implique une adhésion humaine forte, engageant la responsabilité des intervenants de Prosodie-Capgemini sur le respect des obligations relatives à la protection des données de santé à caractère personnel. Elle se traduit par une politique de sécurité des données de santé, par une organisation interne spécifique sur le plan des ressources humaines (personnel accrédité) de la communication (campagnes régulières de sensibilisation) et du contrôle (audits internes réguliers), et par la mise en place de mesures de sécurité physiques et logiques avancées. La biométrie, par exemple, fait partie des mesures de sécurité logique mises en place pour renforcer la fiabilité des données et des applications.
« Grâce à notre grande maîtrise des processus de sécurité, nous avons obtenu cet agrément en moins de sept mois de procédure. Prosodie-Capgemini, porteur de cet agrément pour le Groupe, poursuit son investissement sur des solutions à forte valeur ajoutée qui répondent aux attentes des professionnels de la santé ou d’autres secteurs, tant sur le plan de l’innovation que celui de l’accélération de mise sur le marché de nouvelles offres de service» déclare Nicolas Aidoud, CEO de Prosodie-Capgemini.
Donnée de santé à caractère personnel : information relative à la santé d’une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Le décret n°2006-6 du 4 janvier 2006 définit les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support informatique. Cet agrément est délivré après une évaluation des capacités des candidats portant sur des aspects financiers, d’éthiques et de sécurité de leur activité d’hébergement.
Le géant américain de la base de données, Oracle, vient de corriger 104 vulnérabilités dans ses logiciels. La dernière mise à jour de sécurité visant les produits Oracle n’aura pas fait dans la demi-mesure. Pas moins de 104 failles, dont certaines critiques, ont été colmatées pour Java SE, Virtual Box, Oracle Fusion, Oracle iLearning, Oracle Siebel CRM, MySQL… 37 patchs, dont 4 critiques, s’attaquent à des problèmes dans Java SE. MySQL se voit gratifié de la correction de deux vulnérabilités critiques. La version Windows permet à un pirate de compromettre l’ensemble du système attaqué. Il faut cependant que le malveillant soit authentifié. Autant dire que les mises à jour sont obligatoires. Il est bon de rappeler l’article 34 de la loi Informatique et Libertés qui impose au responsable de traitement de prendre les mesures nécessaires pour sécuriser les données à caractère personnel. Le responsable de traitement doit se tenir informé et réagir lorsqu’une faille est découverte. « Ne pas corriger une faille de sécurité connue et pour laquelle des correctifs sont proposés est susceptible de constituer un manquement à l’obligation de sécurisation imposée aux responsables de traitement. » indique la CNIL.
Une semaine après la révélation du bug Heartbleed, de nombreux rapports ont fait part de l’exploitation de la faille de sécurité et de cyber-attaques ciblant cette vulnérabilité. Bien que les fabricants de serveurs soient en train de fournir des correctifs à appliquer en urgence sur les équipements pour protéger les utilisateurs, les attaques commencent à se multiplier.
Au Canada, le site du fisc qui avait été fermé par mesure de précaution le 8 avril avant de le rouvrir 13 avril, vient d’annoncer avoir été victime du vol de 900 numéros d’assurance sociale. A noter que le pirate présumé, un internaute de 19 ans, a été arrêté. Au Royaume-Uni, la faille a été utilisée sur le site dédié aux parents Mumset pour accéder aux données de plus de 1,5 millions d’usagers du forum. Pour rappel, il était indiqué, au lancement des alertes, que le piratage ne pouvait se détecter.
Si en France aucune attaque n’a encore été relevée, le Centre gouvernemental de veille, d’alerte et de réponses aux attaques informatiques (CERT-FR) a remis à jour hier le bulletin d’alerte émis le mardi 8 avril, pour prévenir des risques liés à Heartbleed et indiquer les mesures à prendre pour se protéger. Jean-Pierre Carlin, Directeur Europe du Sud chez LogRhythm, indique que « Nous étions probablement nombreux à prédire qu’il finirait par y avoir une faille comme celle-ci, et si Heartbleed semble être exploité aux Etats-Unis et au Canada, nous ne tarderons peut-être pas à assister à la publication de rapports similaires en France. » A noter que la CNIL a diffusé d’une page dédiée à cette faille et aux règles à tenir par les administrateurs.
La situation est clairement préoccupante dans la mesure où les données sensibles sur la mémoire d’un serveur cloud peuvent comprendre de nombreuses informations comme des noms d’utilisateurs, des mots de passe ou encore des numéros de comptes et des clés privées. Et comme si cela ne suffisait pas, l’exploitation de cette faille est extrêmement facile et il n’y a pas besoin d’être un hacker professionnel pour y parvenir, même les non-expérimentés seront susceptibles d’y arriver.
Changement de mot de passe
Nous sommes dans une situation où réagir de manière hâtive et radicale pourrait bien être le contraire de ce qu’il faut faire. Si votre fournisseur est toujours vulnérable, c’est-à-dire que le problème n’a pas été corrigé et qu’il n’y a pas eu de patch installé, et que vous changez vos mots de passe comme certains vous recommandent de le faire, vous allez rendre le nouveau mot de passe vulnérable. La situation est telle qu’il vaut mieux prendre le temps de la réflexion et porter une attention particulière aux informations communiquées par les entreprises qui détiennent vos données et agir en conséquence.
Confiance dans les sites sécurisés
Cette situation illustre parfaitement le niveau de confiance qui peut être accordé à la sécurité des technologies telles que les protocoles SSL. Les utilisateurs partent du principe que s’il y a un cadenas visible sur le site, leurs données sont protégées et transmises de façon sécurisée. Cela est vrai dans la plupart des cas mais le risque zéro n’existe pas. Nous encourageons les internautes à être plus méfiant en sécurité en général et d’agir comme s’il y avait toujours la possibilité d’être la cible d’un hacker.
Impératif de surveillance en continue et temps réel
Alors que nous entrons dans la phase d’exploitation potentielle de la faille, chaque entreprise doit surveiller de manière continue et en temps réel la moindre activité sur ses réseaux. Si des clés secrètes sont volées, la personne à l’origine de l’attaque pourra prendre le contrôle du trafic destiné aux applications et accéder à des échanges des données privées et sensibles – comme lors de transactions financières. La seule manière d’y remédier est d’être capable de surveiller méticuleusement le réseau et d’identifier les comportements anormaux. Nous pourrions bien être témoins d’attaque à grande échelle et les organisations doivent être vigilantes à la fois pour se protéger et protéger leurs clients. »
Google montre les dents
Google serait sur le point d’intégrer le chiffrement à sa liste de critères de référencement, favorisant ainsi le développement massif des sites chiffrés. Cette méthode basée sur le cryptage et censée renforcer la protection des sites et des navigateurs est en pleine explosion. Elle pourrait pourtant remettre en question les stratégies de sécurité des entreprises ; en effet, les employés seront de plus en plus amenés à naviguer sur sites chiffrés (et donc opaques), leur entreprise ayant peu de moyens d’évaluer leur niveau de malveillance. Si aujourd’hui la volumétrie moyenne de flux chiffrés est souvent comprise entre 20 et 40% de la totalité trafic de surf, il est fort à parier qu’une telle initiative fera rapidement croître ce pourcentage de manière significatif.
Plus le surf chiffré est important, moins les solutions mises en place dans les entreprises contre les menaces provenant du web seront efficaces ? Les solutions de sécurité et les investissements liés seront de moins en moins pertinents. C’est d’autant plus vrai que selon le dernier rapport du NSS Lab, déchiffrer les flux fait chuter les performances des équipements de sécurité de près de 74%. Les entreprises doivent-elles se préparer à être aveugle sur plus de la moitié des trafics de surf de leurs collaborateurs ?
Des solutions existent et permettent aux entreprises de bénéficier de technologies dédiées au déchiffrement et de gérer la volumétrie croissante et les besoins en termes de bande passante. Préserver la performance sans générer de latence. D’alimenter plusieurs solutions de sécurité en simultanée (Un déchiffrement unique pour plusieurs technologies). De mettre en place une politique de déchiffrement adaptée aux réglementations locales. C’est donc un enjeu crucial auquel sont confrontées les entreprises et qui doit désormais être pris en considération afin de garantir un niveau élevé de protection contre les menaces tout en respectant les obligations de traçabilité imposées par les différentes réglementations.
Selon l’étude « Financial Cyber Threats in 2013 » réalisée par Kaspersky Lab, les malwares ciblant le Bitcoin sont devenus « monnaie courante » en 2013. Le nombre d’attaques contre cette crypto-monnaie a ainsi été multiplié par plus de 2,5 pour atteindre un nombre de 8,3 millions incidents recensés. Créé notamment pour permettre des paiements anonymes sur Internet, le bitcoin rencontre un immense succès depuis quelques années. Début 2013, il s’échangeait au cours de 13.6$ et en décembre dernier, il culminait au taux record de 1200$. Au fil de l’année, le cours de la monnaie virtuelle a connu des hauts et des bas mais, depuis avril 2013, il n’est jamais descendu à moins de 80$. Ce phénomène a inévitablement attiré l’attention des escrocs. Pour compliquer le problème, les bitcoins sont souvent une proie facile pour les cybercriminels : si les utilisateurs les stockent sur leurs ordinateurs sous une forme non cryptée, il suffit aux pirates de s’approprier le fichier du « portefeuille » pour obtenir les informations relatives à son contenu et accéder au compte de leur victime.
Sur la trentaine d’échantillons de malware financiers, étudiés dans le cadre de l’étude de Kaspersky Lab, neuf concernaient un programme conçu pour voler des bitcoins. Ceux-ci représentaient au total 29 % des cyberattaques financières s’appuyant sur des applications malveillantes. Les outils employés par les cybercriminels pour dérober des bitcoins peuvent être classés en deux catégories. La première se compose de programmes destinés au vol des fichiers de portefeuille. Les applications de la seconde catégorie installent un logiciel qui génère des bitcoins (opération dite de « mining ») sur un ordinateur infecté. Dans l’absolu, les voleurs de portefeuille de bitcoins ont perpétré deux fois plus d’attaques en 2013. Cependant, les outils de « mining » se sont développés plus rapidement.
« En 2013, la valeur du bitcoin a été multipliée par plus de 85, ce qui a bien entendu attiré l’attention des cybercriminels. Vers la fin de l’année, le nombre d’utilisateurs attaqués par des malwares ciblant les bitcoins a commencé à se rapprocher de celui des victimes de cybermenaces bancaires plus classiques. Les détenteurs de bitcoins doivent donc être particulièrement prudents car il est quasiment impossible de récupérer l’argent virtuel volé. C’est le risque inhérent à l’utilisation d’une crypto-monnaie qui circule sans aucun contrôle des pouvoirs publics », commente Sergey Lozhkin, chercheur senior en sécurité pour Kaspersky Lab.
Pourcentage d’utilisateurs attaqués par différents types de malware chaque mois
Plus d’utilisateurs donc plus de risques, comment lutter ?
Pour une utilisation sécurisée des crypto-monnaies, les experts de Kaspersky Lab conseillent de conserver les fichiers de portefeuille sur des supports cryptés. Pour un stockage à long terme, l’utilisateur pourra transférer la somme virtuelle dans un portefeuille dédié et en noter les détails sur le papier. Il importe également d’installer sur l’ordinateur une protection fiable contre les logiciels malveillants, via une solution éprouvée de sécurité Internet. L’étude « Financial Cyber Threats in 2013 » s’appuie sur des données fournies bénévolement par les participants du réseau Kaspersky Security Network. KSN est une infrastructure mondiale distribuée dans le cloud et conçue pour traiter rapidement des données anonymisées relatives aux menaces rencontrées par les utilisateurs des produits Kaspersky Lab.
Petites entreprises, grandes menaces : restez informés, restez protégés
