Archives de catégorie : Cybersécurité

Actualités liées à la CyberSecurité.

BYOD, Chiffrement, cryptage, Entreprise, Fuite de données, Sauvegarde, Sécurité

L’encadrement juridique de l’utilisation de leurs équipements personnels par les salariés

Le BYOD (« Bring your own device »), ou l’utilisation par les employés de leurs équipements personnels (smartphone, pc portable, tablette tactile…) dans un contexte professionnel, est aujourd’hui une pratique courante en entreprise, qui demeure pourtant peu encadrée juridiquement. Donatienne Blin, avocat au sein du département Informatique & Réseaux du cabinet Courtois Lebel, passe en revue, pour Data Security Breach,  les points de vigilance. L’accès immédiat et en toutes circonstances au système d’information de l’entreprise grâce aux BYOD améliore la réactivité et la productivité des employés.

Pourtant cette pratique souvent tolérée par les entreprises présente, en l’absence d’encadrement spécifique, des risques substantiels pesant sur la sécurité du système d’information, précisément sur la confidentialité et l’intégrité des données de l’entreprise : négligence de l’utilisateur (prêt ou perte du terminal), applications malveillantes téléchargées, virus ou failles de sécurité de l’OS (operating system) rendent possibles les accès frauduleux au système d’information par des tiers non autorisés. Chaque type de BYOD présente des risques particuliers qui devront être traités différemment.

L’utilisation des équipements personnels et l’anticipation des risques est donc une problématique majeure au sein de l’entreprise et précisément des directions juridiques et des directions des systèmes d’information. Toute perte ou altération des données personnelles peut provoquer des dommages économiques à l’entreprise, mais peut également engager sa responsabilité : l’article 34 de la loi n°78-17 Informatique, fichiers et libertés du 6 janvier 1978 impose au responsable de traitement de données personnelles de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour « préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.

Ainsi, dans le prolongement de la politique de sécurité mise en œuvre par les DSI (directions des systèmes d’information), les entreprises doivent encadrer l’utilisation des BYOD et garder en toutes circonstances le contrôle de l’accès au réseau et des données y étant accessibles. Cet encadrement devra se matérialiser par la mise en place d’une charte informatique, ou la mise à jour de celle-ci dès lors qu’elle serait existante, en vue d’y inclure les mesures propres à leur utilisation, applicables à l’ensemble des salariés.

Les problématiques suivantes devront y être abordées :

L’accès au système d’information de l’entreprise Compte tenu des risques (introduction de virus, fuite, perte, altération de données personnelles ou sensibles et confidentielles…) pesant notamment sur les données de l’entreprise, des règles d’accès au système d’information de l’entreprise via un équipement personnel devront être adaptées. On pourra prévoir que le salarié utilisant un équipement personnel soit obligé, préalablement à la connexion de son terminal au réseau de l’entreprise, d’avertir le DSI et de faire contrôler son équipement afin de s’assurer de sa conformité en termes de sécurité. De même, le salarié devra toujours disposer d’un équipement en état de fonctionnement, et systématiquement, télécharger les mises à jour proposées par les éditeurs (du système d’exploitation, des logiciels et des applications utilisés).

Il pourra également être imposé au salarié de protéger son équipement par mot de passe afin d’en interdire l’accès aux tiers. L’obligation de faire l’acquisition d’outils permettant de limiter les risques de sécurité pourra également être imposée au salarié : logiciel antivirus, de cryptage des données, ou encore dispositif permettant de supprimer les données à distance dès lors que les données seraient directement stockées sur l’équipement personnel du salarié. Afin d’éviter la perte définitive des données (les applications cloud le permettent, ndlr Datasecuritybreach.fr), il peut également être imposé au salarié d’installer des outils de sauvegardes journalières ou de synchronisation des données avec un autre appareil. En cas de vol, perte, ou constat quelconque d’intrusion frauduleuse sur l’équipement personnel, le salarié devra immédiatement prévenir le DSI afin qu’il prenne toutes mesures nécessaires pour protéger le système d’information de l’entreprise et les données y étant stockées.

La propriété et le contrôle des données accessibles via l’équipement personnel Il devra être précisé que toutes données professionnelles stockées ou accessibles via un équipement personnel demeureront la propriété exclusive de l’employeur. Les cas d’accès et de contrôle aux données stockées sur l’équipement personnel du salarié par l’employeur devront être précisément définis dans la charte.

Pour rappel, Data Security Breach vous énumère les règles à retenir : le salarié utilisant un équipement professionnel doit expressément identifier les éléments personnels comme tels ; à défaut d’identification explicite contraire, le contenu est considéré comme ayant un caractère professionnel et son employeur peut dès lors y accéder.

L’employeur ne peut accéder aux fichiers personnels expressément identifiés comme tels par son salarié hors la présence de ce dernier, et ce sauf risque ou évènement particulier. Il devra être imposé au salarié, en cas de départ de l’entreprise, de transférer à son supérieur hiérarchique l’ensemble des données professionnelles éventuellement stockées sur son équipement personnel. En cas d’application cloud, l’accès doit être coupé au jour du départ.

La problématique du coût ou la participation de l’entreprise aux frais payés par les salariés Dans le cas des BYOD, le coût des équipements personnels utilisés à des fins professionnelles et les éventuels frais annexes (assurance, maintenance, anti-virus, forfait téléphone/internet, logiciels indispensables à l’activité, tel que le Pack Office de Microsoft) sont de fait déportés chez les salariés. Certains coûts pourraient être partiellement pris en charge par les entreprises, dès lors qu’il est raisonnable de considérer que le salarié n’aurait pas fait l’acquisition de ces différents outils, imposés par l’entreprise, dans le cadre d’une utilisation strictement personnelle. Ces règles liées à la prise en charge totale ou partielle des coûts devront être définies et portées à la connaissance des employés. Cette problématique rejoint celle de la discrimination entre les salariés : certains salariés pourront se procurer eux-mêmes leur propre équipement tandis que d’autres ne le pourront pas pour des raisons exclusivement financières.

La durée légale du travail En utilisant son équipement personnel, notamment pour recevoir ses mails professionnels, le salarié reste connecté en permanence avec le réseau de son entreprise.Cela a pour conséquence d’augmenter la durée du travail. Or les entreprises doivent respecter la durée légale du temps de travail sous peine de sanction. La charte devra donc tenir compte du fait que l’utilisation de l’équipement personnel ne doit en aucun cas porter atteinte à la durée légale du travail applicable à chaque salarié concerné. Au même titre, aucune sanction ne devrait découler d’une absence de réactivité d’un salarié en dehors de ses horaires de travail.

Les accès aux applications ou plus généralement au réseau de l’entreprise en dehors des horaires de travail peuvent être directement bloqués à distance par la direction des systèmes d’information. Ce système impose de créer des groupes d’utilisateurs autorisés, en fonction des horaires de travail qui leur sont applicables, du poste ou encore du rang hiérarchique occupé.

La responsabilité en cas de vol ou de dommages matériels causés à l’équipement personnel La question des éventuels dommages causés à l’équipement personnel de l’employé sur le lieu de travail sans aucune faute de sa part devra être tranchée dans la charte. Par exemple un virus pourrait être transmis sur l’équipement personnel du salarié qui se serait connecté au réseau de l’entreprise. Dès lors que l’équipement du salarié serait endommagé par la faute ou la négligence de l’entreprise, celle-ci devrait, dans ces conditions, être responsable des réparations.Les conditions de responsabilité et de réparation totale ou partielle en cas de dommages matériels doivent donc être précisément définies, dans le respect des règles du code du travail applicables.

La redéfinition des règles d’utilisation prohibées Il conviendra d’élargir les règles d’utilisation prohibées des ressources de l’entreprise aux ressources personnelles, dès lors que le réseau internet de l’entreprise devient accessible via un équipement personnel. Ainsi, il faudra rappeler au salarié que les règles d’utilisation prohibées des ressources de l’entreprise s’étendent à son équipement personnel (faits d’atteinte à la vie privée ou à l’image d’un tiers, diffamation, injure, discrimination, dénigrement de l’entreprise, l’atteinte à l’image de marque, à sa réputation ou à ses droits). De même, devront être prohibés les téléchargements de contenus portant atteinte au droit de la propriété intellectuelle qui seraient effectués par le salarié via le réseau de l’entreprise avec son équipement personnel. Enfin, il devra être interdit au salarié de se connecter via des réseaux wifi non sécurisés mais également de télécharger des applications ou logiciels non sécurisés sur son équipement personnel. La DSI pourrait préalablement établir une liste d’applications ou d’éditeurs interdits car présentant des risques en termes de sécurité, et mettre à jour cette liste.

L’opposabilité des règles L’opposabilité de ces règles devra être assurée afin de pouvoir engager la responsabilité disciplinaire ou judiciaire du salarié qui ne les aurait pas respectées et qui aurait été responsable du dommage causé à l’entreprise par sa faute. Ces règles peuvent donc figurer dans la charte informatique de l’entreprise, laquelle sera elle-même annexée au règlement intérieur. Les instances  représentatives du personnel devront être consultées.

Pour finir, DataSecurityBreach.fr vous rappelle que dans son arrêt du 12 février 2013, la Cour de cassation a jugé qu’un employeur pouvait contrôler une clé USB d’un employé connectée à son ordinateur professionnel alors même que celle-ci était personnelle et sans la présence de l’employé. En l’espèce, les fichiers contenus n’étaient pas identifiés comme personnels, pas plus que la clé en question. Malheureusement pour l’employé, la clé contenait des informations confidentielles, ce qui a justifié son licenciement. (par Courtois Lebel, pour DataSecurityBreach.fr – PL est membre de deux réseaux de cabinets d’avocats : AEL, réseau européen, et ALFA.)

Chiffrement, Entreprise, Fuite de données, Leak

Impression des documents : un faux sentiment de sécurité ?

Quant à l’exposition des entreprises et des administrations aux risques de pertes de données confidentielles via les documents imprimés. Il repose sur l’étude menée par le cabinet d’analyses Quorcica sur 150 entreprises de plus de 1000 salariés, au Royaume-Uni, en France et en Allemagne. Selon Quocirca, à peine 22 % des entreprises ont mis en place un environnement d’impression sécurisé et 63 % des entreprises déclarent avoir subi des fuites de données dues à des documents imprimés, les entreprises s’exposent à de sérieux problèmes de confidentialité. Le livre blanc de Nuance présente les avantages d’une technologie d’impression sécurisée en matière d’authentification, d’autorisation et de suivi, et explique comment les entreprises peuvent améliorer la sécurité de leurs documents et se conformer aux exigences réglementaires.

Les entreprises qui consolident leur parc d’imprimantes optent très souvent pour des environnements partagés. Inévitablement, le risque de voir des documents tomber entre de mauvaises mains s’accroît. Dans le cadre d’une stratégie de sécurité des impressions, les entreprises doivent pouvoir contrôler l’accès à leurs multifonctions et disposer de fonctionnalités de contrôle et d’audit permettant un suivi des activités par périphérique et par utilisateur. L’efficacité d’une stratégie de protection des informations est toujours limitée à son maillon le plus faible. L’impression de documents demeure une pratique courante pour de nombreuses entreprises, mais celles-ci ne peuvent plus se permettre la moindre négligence en matière de sécurité. Même si l’impression en mode « pull » offre un moyen efficace pour lutter contre la perte de données, elle doit s’inscrire dans une stratégie globale, intégrant formation des utilisateurs, définition de règles et intégration de technologies complémentaires. Ce rapport comporte aussi deux études de cas d’ent solutions Equitrac et SafeCom de Nuance pour mieux protéger leurs impressions.

Cybersécurité

Problème de sécurité pour un espace Google

Un commentaire

Un bug aux potentialités malveillantes découvert dans un espace googlecode.com. Découverte d’un problème de sécurité qui pourrait, entre de mauvaises mains, nuire aux potentiels visiteurs du site GoogleCode.com. Cet espace, dédié aux développeurs, recèle des pages pouvant être exploitées de biens mauvaises façons. Dans l’un de ses espaces, une faille de type XSS. Un Cross Site Scripting qui pourrait permettre, comme le montre dans son émission du mois d’avril de ZATAZWeb.tv, d’afficher un message, diffuser un code malveillant, de mettre en place un espace phishing, …

L’entreprise a été alertée [#1254414323] mais a expliqué que ce problème n’était pas de son ressort (sic!). En attendant une correction, il est fortement conseillé de ne cliquer sur aucun lien renvoyant vers GoogleCode.com. DataSecuritybreach.fr vous conseille de taper, par vous même, l’url dans la barre de navigation de votre butineur préféré.

Argent, Banque, Particuliers

Problème pour la Banque ING

Intéressant bug, ces dernières heures, dans le système Internet de la banque ING. La banque néerlandaise a subi une défaillance majeure dans son système bancaire. Des dizaines de clients ont rapporté que leurs comptes en banque affichaient de mauvais soldes. Certains de ces clients se sont retrouvés avec des débits de plusieurs centaines d’euros. Bilan du « bug », les systèmes ont été coupés. Trop de visiteurs et, ce qui semble être une roue de secours, la coupure pure et simple des connexions à la page d’administration des comptes.

Au moment de l’écriture de cet article, Data Security Breach pouvait lire sur le site d’ING : «  Drukte op Mijn ING. Op dit moment zijn er zeer veel bezoekers op Mijn ING. Hierdoor is het nu helaas niet mogelijk om in te loggen. Probeert u het over enkele minuten nogmaals. Onze excuses voor het ongemak. » traduisez : « À l’heure actuelle, il y a de très nombreux visiteurs qui tente de joindre mon ING (l’espace privé des clients, ndlr DataSecurityBreach.fr). Il n’est malheureusement pas possible de se connecter. S’il vous plaît, essayez de nouveau dans quelques minutes. Nous nous excusons pour la gêne occasionnée. »

D’après les premières constatations, le problème viendrait de la société Rabobank. Certains services ne sont d’ailleurs plus disponibles. Les banques indiquent que cela est dû à un problème technique et pas un « hack ». En attendant, des clients ont cru au jackpot en étant crédités de plusieurs millions d’euros, pendant que d’autres perdaient l’ensemble de leurs économies !

D’après notre expérience, une mise à jour qui a du mal tourner. En France, en 2011, le Crédit Agricole avait connu le même yoyo bancaire. Après avoir été débités deux fois, des clients s’étaient vus crédités de l’argent trop perçu par la banque … deux fois ! Une coquille numérique qui avait prélevé deux fois le même montant lors d’un achat par carte bancaire. La banque avait été rapide à répondre à ses clients et à corriger le « bug ». Sauf que certains clients avaient été correctement remboursés… deux fois.

Cybersécurité, Livres

A lire : les livres du mois de Mars

La rédaction a lu pour vous quatre livres sortis en ce mois de mars, dédiés à la sécurité des données. Des livres qui ont attiré notre attention et qui, nous le pensons, méritent de finir dans votre bibliothèque de part leurs contenus et les informations qu’ils peuvent vous apporter dans votre vie numérique. A noter que nous vous proposons l’accès à ces livres, via Amazon.

Nous commencerons « notre revue de livre » par « Traitement des données personnelles » de Fabrice Mattatia. Un guide juridique indispensable aux éditions Eyrolles. L’entreprise qui protège les données personnelles de ses clients bénéficie d’un avantage concurrentiel, notamment pour son image de marque. Cet excellent écrit revient sur le droit des individus à voir leurs données personnelles protégées, sur les obligations des organisations et des entreprises en la matière, et sur les sanctions encourues en cas de manquement. Cet ouvrage initie à la culture juridique des données personnelles les directeurs des systèmes d’informations, responsables de traitements de données, et plus largement tous les techniciens confrontés à la problématique de la gestion des données personnelles, avec un luxe de détail concernant les différentes jurisprudences. Il présente notamment des cas concrets de cyber-attaques et les réponses pénales ou administratives associées. Ainsi, si une entreprise est victime d’un phishing utilisant une copie de sa page web, que doit-elle faire ? Que risque pénalement une entreprise victime d’un vol de base de données ? Comment faire respecter le droit français par des entreprises étrangères ? Clairement un livre de chevet, documenté, précis et vivant avec son époque.

Chez Lavoisier, un ancien de la Direction de la Surveillance du Territoire (DST), Patrick Le Guyader, revient sur « La protection des données sur Internet« . Un ouvrage qui expose les menaces de confidentialité liées à la cybercriminalité, au niveau des technologies fixes ou mobiles. Avec des exemples, il renseigne sur les législations nationales et internationales et les règles à respecter destinées à protéger l’internaute lorsqu’il navigue sur le Web. Un peu lourd à lire, il faut dire aussi que l’ouvrage propose de très nombreux articles de loi, ce document est parfait dans sa déclinaison des législations nationales et internationales.


<A HREF= »http://ws.amazon.fr/widgets/q?rt=tf_ssw&ServiceVersion=20070822&MarketPlace=FR&ID=V20070822%2FFR%2Fzataznet-21%2F8003%2F27946433-deac-4674-8b98-5864c25e4868&Operation=NoScript »>Widgets Amazon.fr</A>

Dans un autre genre, « Plan de continuité d’activité » chez ENI Editions. Ce livre s’adresse principalement aux Responsables des risques et de la continuité (RPCA, Risks Managers, RSSI), aux Directeurs de Systèmes d’Information (DSI) aux Consultants ou encore aux Chefs de projet sécurité, pour les accompagner dans leur démarche de mise en œuvre d’un Plan de Continuité d’Activité (PCA). 310 pages d’astuces et de bonnes conduites à tenir en cas de panne, piratage, … Très accessible, l’écrit de Bernard CARREZ, Antonio PESSOA et Alexandre PLANCHE propose de nombreux schémas et tableaux.

Nous terminerons notre lecture mensuelle par « Internet sans danger – Le guide du bon sens numérique » édité par Bayard, sous l’impulsion de l’assureur AXA. Un livret qui devrait trouver son public, surtout du côté des parents avec le chapitre « Permettre à son enfant d’acquérir un usage responsable d’Internet« . Le reste du contenu, sous forme de fiches pratiques, n’est pas désagréable à lire, mais recèle quelques erreurs ou « vieilleries » qui pourraient perdre les surfeurs pas vraiment habitué à se sécuriser. A noter quelques sites web classiques ou très « parisiens », en édulcorant totalement ceux qui sont sur le terrain depuis des années, comme zataz.com, qui côté aides aux particuliers et entreprises a fait ses preuves depuis plus de 16 ans (et sans rien à vendre, ndlr datasecuritybreach.fr). Le guide s’inscrit dans une démarche de prévention des risques numériques initiée par AXA et AXA Prévention depuis 2010. Durant l’été 2011 un projet de sensibilisation et d’échange avait déjà impliqué les 15 000 collaborateurs d’AXA. 500 collaborateurs avaient ensuite partagé leurs témoignages et expériences sur le bon usage des médias et des réseaux sociaux à travers une plateforme collaborative en ligne, puis participé à l’écriture de 20 conseils indispensables pour prévenir les risques numériques. Un premier Guide du bon sens numérique avait alors été produit, d’abord pour l’interne puis dès décembre 2011 en téléchargement gratuit pour tous sur le site d’AXA Prévention.

Chiffrement, cryptage

Deux solutions de Prim’X inscrites au catalogue produits de l’OTAN

Deux solutions de Prim’X inscrites au catalogue produits de l’OTAN Zed! et ZoneCentral de Prim’X ont obtenu l’approbation du laboratoire d’évaluation de produits de l’OTAN. Prim’X, éditeur de solutions de chiffrement pour la sécurité des données, annonce que ses solutions Zed! et ZoneCentral ont passé avec succès l’évaluation opérationnelle (OpEval) du laboratoire d’évaluation de produits de l’OTAN. Cela leur permet de figurer dès à présent au Nato Information Assurance Product Catalog avec le statut « green ».

« C’est avec une grande satisfaction que nous avons appris que nos produits avaient reçu une évaluation positive de la part de l’OTAN », déclare José Lavancier, Directeur des projets de Certification de Prim’X. « Cela vient récompenser l’implication de nos équipes et la qualité de leur travail pour fournir des solutions fiables, efficaces, et répondant au plus hautes exigences en matière de sécurité. »

ZoneCentral est un logiciel de chiffrement des données qui en réserve l’accès aux seuls utilisateurs autorisés et identifiés. Sans contrainte d’organisation, il protège les fichiers et les dossiers là où ils résident, sur un poste de travail ou sur un serveur de données. Zed! permet d’utiliser des conteneurs chiffrés pour protéger les transports de fichiers indépendamment du canal utilisé (email, support amovible, file transfert, etc.). Les conteneurs .zed sont comparables à une « valise diplomatique » contenant des fichiers sensibles que seuls les destinataires identifiés ont le droit de lire.

Après avoir reçu l’agrément de l’ANSSI, le succès de cette évaluation opérationnelle permet au NIATC (Nato Information Assurance Technical Center) d’attester de l’adéquation de ces deux produits aux besoins de l’OTAN et de leur interopérabilité avec les systèmes de l’Alliance pour la protection d’informations jusqu’au niveau Diffusion Restreinte OTAN.

« Soumettre nos solutions aux évaluations des organismes de certification les plus rigoureux est un gage de qualité supplémentaire qui démontre leur robustesse à nos clients, partenaires et l’ensemble de l’écosystème de la sécurité informatique », conclut Michel Souque, Président de Prim’X. C’est cette qualité de développement qui a fait notre succès et que nous comptons poursuivre dans l’avenir. »

Prim’X peut s’enorgueillir de quatre certifications récentes et une cinquième qui vient d’être lancée auprès de l’ANSSI pour ZonePoint 3.0, logiciel qui assure le chiffrement des documents déposés dans les bibliothèques SharePoint apportant ainsi la couche de confidentialité indispensable à tout projet de partage de document ou d’externalisation des données d’entreprise.

Cybersécurité

370 milliads de dollars pour le futur cloud Chinois

Dans un nouveau rapport, BroadGroup propose pour la toute première fois un état des lieux des investissements dans le Cloud et des projets de développement de datacenters en Chine. DataSecurityBreach.fr a pu lire qu’à l’issue de recherches qualitatives et d’une centaine d’entretiens individuels, ce rapport révèle un programme de très grande ampleur portant sur un investissement total de 370 milliards $  et le doublement de la capacité des datacenters d’ici à 2016.
Le rapport, intitulé ‘China Cloud, Challenges and Opportunities in China’s Cloud Datacenter Deployment’ (Enjeux et opportunités de déploiement de datacenters pour le Cloud en Chine), décrit la stratégie mise en œuvre pour éliminer la dépendance vis-à-vis des fournisseurs étrangers de technologie et réunir les conditions d’une croissance économique durable pour la population chinoise d’1,3 milliard d’habitants. Le 12ème plan quinquennal du gouvernement chinois retient l’attention du monde entier pour la part belle qu’il fait aux investissements de création de logiciels, d’applications et de plates-formes Cloud, soutenus par un programme de déploiement massif de datacenters Cloud.
Le rapport explique comment le plan gouvernemental initial portant sur des déploiements Cloud dans 5 villes continue de s’élargir et couvre à présent 15 provinces au moins, avec des financements de projets conséquents. 109 projets ont été identifiés au total, la plupart impliquant la construction de nouveaux datacenters Cloud. Le rapport détaille les plans d’investissements, province par province, essentiellement concentrés dans le nord de la Chine, avec 88 % de l’investissement total partagés entre les cinq premières provinces de la liste.
Les profils des principaux acteurs des projets sont présentés dans le rapport, ainsi que les résultats d’analyses SWOT des segments clés de l’industrie des datacenters, à savoir les datacenters indépendants des opérateurs (carrier neutral), les datacenters Internet, et les trois géants des télécommunications en Chine : China Mobile, China Unicom et China Mobile.
Les projets Cloud sont détaillés par ville et dans le cadre d’une analyse régionale, avec taxinomie des projets par localisation géographique. Des cartes de la distribution des projets Cloud sont fournies pour illustrer le propos selon différents angles : par montant de l’investissement (en RMB), par dimensions (m²) et par nombre de projets.
Le secteur du datacenter est confronté à des enjeux immenses. Si la réussite future des projets Cloud en Chine dépendra surtout des business models et de la demande, le rapport nous explique que de nombreux obstacles politiques, commerciaux et techniques pèsent déjà sur les questions de disponibilité de la bande passante, d’accès réseau et d’alimentation électrique.
Certes le marché est porteur d’opportunités, mais seule la politique du gouvernement pourra apporter des changements favorables aux règles d’investissement et de participation des étrangers au marché. Le rapport fait état de théories toujours en circulation concernant des solutions potentielles risquant d’être sanctionnées.
Ce rapport est le premier à ce jour à proposer une analyse aussi complète de la stratégie Cloud et des déploiements de datacenters en Chine.
A l’occasion des Datacentres Europe 2013 organisés par BroadGroup les 29 et 30 mai 2013 à Nice, de nombreux représentants de l’industrie, d’utilisateurs de différents marchés verticaux et d’administrations gouvernementales du monde entier seront présents.
Banque, Cybersécurité, Piratage

Chine versus Corée du Sud ? Une banque tranche

La Corée du Sud est responsable du piratage ayant causé l’arrêt du réseau, et non la Chine. C’est ce qu’indique la presse Chinoise, depuis quelques heures. A l’image de CRJ Online, le message passé par Bjeing est assez clair. La Chine n’est pas responsable de l’attaque informatique à l’encontre de la Corée du Sud. « Le groupe formé par divers services sud-coréens, explique le communiqué de presse reçu à la rédaction de Data Security Breach, chargé d’enquêter sur la coupure du réseau internet de certains médias et banques, a indiqué le 22 mars que le code informatique malveillant ayant provoqué ces coupures était venu d’ordinateurs présents au sein de la banque sud-coréenne, et non d’ordinateurs de Chine. » Pour parfaire sa démonstration du « C’est pas moi, c’est quelqu’un d’autre », la Chine précise que ce code est venu d’une adresse IP privée.

Banque, Entreprise

Les sénateurs Français rejettent une sécurité bancaire

6 commentaires

Les Sénateurs Français viennent de rejeter un amendement qui devait imposer une sécurité efficace lors des transactions sur Internet. Les sénateurs et sénatrice M. BOCQUET, Mme BEAUFILS, M. FOUCAUD et les membres du Groupe communiste républicain et citoyen ont proposé un amendement qui aurait pu s’inclure dans le Projet de loi « Séparation et régulation des activités bancaires« .

Les trois sages proposaient que soit rajoutée, à l’article 18, une obligation de sécurisation de nos transactions bancaires. Le texte expliquait que cet amendement tend à généraliser l’adoption d’un dispositif de sécurisation des transactions de type 3D Secure, en particulier pour les paiements sur internet. 3D Secure est connu et reconnu. Alors que l’équipement de tous les professionnels en 3D Secure a permis au Royaume-Uni une baisse de 52 % de la fraude en 4 ans, la France est très en retard. L’équipement des commerçants ne progresse que lentement : 24 % des transactions fin 2012 contre 15 % en 2010. Seule la moitié des opérateurs l’ont adopté, mais il ne s’agit pas des principaux : la plupart des grands commerçants en ligne (Amazon, Fnac ou PriceMinister par exemple) se refusent à ajouter une étape au cours de la vente. « Cette situation n’est plus admissible, expliquent les 3 Sénateurs, surtout lorsqu’on constate l’efficacité de la sécurisation. » Les sites de jeux en ligne, qui l’ont adoptée, ont fait baisser leur taux de fraude de 59 % en 3 ans.

Un système d’authentification du client, utilisé lors de toute opération de paiement par téléphone ou par internet entre un particulier et un professionnel, est mis en place au plus tard le 1er janvier 2014. Ce système est commun à tous les professionnels, d’application obligatoire et basé sur un code non réutilisable. Un comité composé à parité de représentants des organismes bancaires, des professionnels de la vente à distance et des consommateurs est chargé de déterminer les modalités techniques de mise en place de ce dispositif. L’Observatoire national de la délinquance et des réponses pénales a publié en janvier 2013 un rapport accablant sur la hausse des fraudes à la carte bancaire sur internet. Fin 2012, un autre organisme, l’Observatoire de la sécurité des cartes de paiement, indiquait que le commerce à distance représentait 61 % de la fraude pour seulement  8,4 % des transactions. Il est donc crucial de prendre des mesures contre ce phénomène qui met en danger les consommateurs, mais aussi leur confiance dans le commerce en ligne.

Avec autant d’argument, les Sénateurs avaient de quoi comprendre l’importance de l’amendement. Devinez ce qu’ils ont décidé de faire ? Ils ont voté contre !

Android, Cybersécurité, Entreprise, Logiciels, Piratage, Smartphone, Virus

Malware NotCompatible : le retour

En mai 2012, Data Security Breach revenait sur l’annonce de Lookout avec l’apparition de NotCompatible, un programme malveillant diffusé par des sites web piratés. Une fois installé, NotCompatible fait office de serveur proxy, permettant à l’appareil qui l’héberge d’envoyer et de recevoir des données relatives au réseau. Pour la première fois, des sites web piratés ont servi de tremplin pour cibler et contaminer des appareils mobiles spécifiques. Depuis les premiers cas mis au jour, nous avons détecté une activité de NotCompatible faible à modérée par moments, avec des pics. La situation est toute autre depuis plusieurs jours : le réseau de surveillance de Lookout concernant les menaces mobiles (Mobile Threat Network) a détecté une hausse soudaine du nombre de cas qui atteint 20 000 par jour entre dimanche et lundi dernier.

Les nouveautés

NotCompatible n’a guère changé sur le plan de ses capacités techniques et de sa conception depuis les premiers cas décelés, en mai 2012. C’est en revanche son mode de diffusion qui diffère désormais : le programme circule principalement via des messages spam envoyés par des comptes de messagerie Email piratés.

Android dans le collimateur

Les premières campagnes d’infection de NotCompatible visaient spécifiquement les utilisateurs d’appareils sous Android, en repérant la présence d’un en-tête (header) contenant le mot « Android » dans le navigateur : sa détection commandait alors le téléchargement du programme malveillant. Désormais, les liens contenus dans le spam en question utilisent une tactique semblable. La tactique est similaire dans les nouveaux cas. En cliquant sur un lien présent dans un spam, sous Windows, iOS et OSX, l’utilisateur est redirigé vers un article prétendument publié sur Fox News relatif à la perte de poids.

Si l’on clique sur le lien à partir d’un appareil sous Android, le navigateur redirige vers un « site de sécurité pour Android », en vue d’une mise à jour. En fonction de sa version d’Android et du navigateur, l’utilisateur peut être poussé à effectuer un téléchargement, à son insu dans un grand nombre de cas. DataSecurityBreach.fr vous explique souvent ce tour de passe-passe via des kits pirates. Le programme se glissera alors dans le dossier des téléchargements. Dans le cas de Chrome, l’utilisateur verra s’afficher une demande de confirmation du téléchargement.

C’est le cas pour une écrasante majorité des cas détectés lors du récent pic d’activité. Le programme a été installé dans seulement 2 % des cas. Comment s’en prémunir ?  Evitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam.

·        Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.

·        Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement.

·        Téléchargez une application de protection mobile qui passe au crible les contenus à la recherche de programmes malveillants éventuels.