Archives de catégorie : Emploi

Emploi, Hacking, Vie privée

FIC 2014

3 commentaires

Première journée chargée pour le Forum International de la Cybersécurité qui se déroule, jusqu’au 22 janvier, au Zénith Arena de Lille. Conférences, ateliers et challenge Forensic au menu de deux jours dédiés aux problématiques de la sécurité informatique. L’occasion pour la gendarmerie nationale de présenter son « Permis Internet », une opération de sensibilisation des jeunes élèves en classe de primaire. Emmanuel Valls, Ministre de l’Intérieur, en a profité pour saluer des élèves de CME2 venus recevoir ce document scolaire qui fait de ces enfants des internautes dorénavant avertis. « Nous en avons parlé à nos parents, soulignaient les élèves. Nous avons pu leur apprendre à mieux comprendre ce qu’est l’identité numérique sur Internet et comment bien la sécuriser« .

Ethical Hacking

Durant ces deux jours, deux challenges « Forensic » sont proposés. Le premier, celui du mardi, mis en place par les enseignants et les universitaires de la licence CDAISI de l’Université de Valencienne, antenne de Maubeuge. Sténographie, recherche d’informations cachées dans des images, analyses de son, gestion du … morse, analyse de trame, jouer avec un son stéréo et analyser ses… silences. Trente équipes (France, Belge, Bénin, …) ont participé à cette première pour le FIC. Un challenge qui permet, aussi, aux étudiants, chercheurs ou professionnels travaillant pour Thalès, Google de croiser la souris et les techniques de hack. « Appréhender, évaluer les épreuves, explique Octave, étudiant en 3ème année CDAISI,  Nous nous sommes concentrés sur la question – Comment cacher un mot de passe – Nous avons auto testé nos épreuves en cours, avec nos professeurs. » Des créations d’épreuves qui sont intégrées dans le cursus des futurs diplômés, sous forme de projets. Lors du challenge ACISSI, les recruteurs, venus scruter, poser des tonnes de questions. Bref, les challenges se démocratisent, les langues se délient et les « décideurs » peuvent enfin de pencher sur ces têtes biens faîtes. Dommage, cependant, que le Ministre de l’Intérieur n’a pas pris 30 secondes pour venir saluer, voir s’intéresser (alors qu’il a frolé l’espace du challenge ACISSI), aux participants. Il aurait pu croiser des « hackers ethiques » français, des vrais, étudiants ou salariés dans de très importantes entreprises hexagonales ou… tout juste débauché par l’Américain Google. Il est vrai que le nid de lobbyiste qui l’entourait lui donner plutôt envie d’accélerer le pas, que de rester devant ce qui est véritablement la sécurité informatique de demain… des hommes et des femmes qui réfléchissent plus loin qu’une norme ISO et un bouton à pousser proposés par un logiciel d’audit !

A noter que Data Security Breach et zataz.com diffuseront dans quelques heures les réponses aux épreuves du Challenge FIC 2014 ACISSI.

CECyF

Pas de doute, l’argent va couler à flot dans le petit monde de la sécurité informatique. Le milliard d’euro annoncé par le Ministre de la Défense, dans le cadre de la sécurisation des infrastructures informatiques du pays, fait briller les petits yeux des commerciaux. Il suffit de voir le nombre de CERT privés sortir du terre pour s’en convaincre… tous avec LA solution miracle de prévention, sécurisation, …

Mardi après-midi, à l’occasion du Forum international sur la Cybersécurité ont été signés les statuts du CECyF, le Centre Expert contre la Cybercriminalité Français. Le CECyF est une association qui rassemble les acteurs de la lutte contre la cybercriminalité : services d’investigation, établissements d’enseignement et de recherche, entreprises impliquées dans la cybersécurité ou impactées par la cybercriminalité. L’association sera aussi ouverte à des adhérents individuels qui souhaiteraient participer aux projets du CECyF (notamment des chercheurs ou des étudiants). Le CECyF se veut un espace de rencontre et de créativité en matière de lutte contre la cybercriminalité. Il a pour vocation de favoriser les projets collaboratifs en la matière en aidant à la recherche de financements et en proposant un soutien juridique et opérationnel (communication, conférences, hébergement de plateformes collaboratives de développement, etc.).

La démonstration d’interception wifi de l’Epitech était particulièrement bien réalisée.
La démonstration d’interception wifi de l’Epitech était particulièrement bien réalisée.

Les premiers projets proposés aux membres au cours de l’année 2014 concerne les thématiques suivantes :
– développement d’outils opensource d’investigation numérique ;
– contribution à la création de supports de sensibilisation aux cybermenaces ;
– développement de formations à distance pour les services d’investigation, mais aussi les acteurs du secteur privé ou des collectivités locales ;
– partage d’informations et nouvelles études sur les besoins en formation et cartographie des formations disponibles ;
– participation des membres à des conférences existantes pour dynamiser les échanges entre les différentes communautés sur les différents aspects de la prévention et de la lutte contre la cybercriminalité : Journées francophones de l’investigation numérique de l’AFSIN, Botconf, SSTIC, conférences du CSFRS, de Cyberlex, etc.

Le CECyF s’inscrit dans le projet 2CENTRE (Cybercrime Centres of Excellence Network for Training, Research and Education), un réseau de centres d’excellence européens visant le développement et la mise en œuvre de projets de recherche et de formation coordonnés, associant des services enquêteurs, des établissements d’enseignement et de recherche, ainsi que des spécialistes des industries des technologies numériques. Le premier d’entre eux, dénommé 2CENTRE, a reposé sur les relations préexistant en Irlande et en France. D’autres pays travaillent à l’établissement d’un centre d’excellence national, en particulier la Belgique avec BCCENTRE, mais aussi l’Allemagne, la Bulgarie, l’Estonie, l’Espagne, la Grèce, le Royaume-Uni, la Roumanie et la République Tchèque. Pour le moment, au sein du CECyF, la gendarmerie, la police nationales, les douanes, des écoles d’ingénieurs et universités (EPITA, enseigné privé), l’Université de Technologie de Troyes, Orange, Thalès, Microsoft France et CEIS (Organisateur du FIC).

 

Allocution de Manuel Valls, ministre de l’Intérieur

Vous n’y étiez pas, pas d’inquiétude. Data Security Breach vous propose l’allocution de Ministre de l’Intérieur effectuée mardi, lors du lancement du Forum Internet de la Cybersécurité.

A la même époque, l’année dernière, j’avais le plaisir de clore les travaux de la 5ème édition du Forum International de la Cybersécurité. C’est avec un plaisir renouvelé que je viens, aujourd’hui, ouvrir cette 6ème édition. Je tiens, tout d’abord, à féliciter et à remercier le conseil régional du Nord Pas-de-Calais, et son premier vice-président Pierre de SAINTIGNON, pour l’organisation de cette manifestation, conduite en partenariat avec la gendarmerie nationale et CEIS. La qualité des invités, la présence de membres de gouvernements étrangers, que je salue chaleureusement, témoignent de la réputation désormais établie de cet espace de réflexion et d’échanges, lancé en 2007. Le caractère précurseur de cette initiative montre combien la gendarmerie, au même titre que la police nationale, sont des institutions en phase avec leur temps.

Nous tous sommes – et chaque jour davantage – immergés dans un monde de données. Nous les créons, les exploitons, les transmettons, faisons en sorte de les protéger. Ces données sont intellectuelles, commerciales, juridiques, ou encore financières et fiscales. Elles sont, aussi et surtout, des données d’indentification, constitutives de notre identité numérique. Elles disent ce que nous sommes, ce que nous faisons. Et même ce que nous pensons.

Cette identité est, par définition, précieuse. Elle peut cependant être attaquée, détournée, usurpée. Ces atteintes nuisent alors profondément à la confiance, pourtant indispensable pour l’essor du cyberespace. Face à cela, chaque acteur a une responsabilité et un rôle à jouer. L’État joue pleinement le sien. Il doit assurer dans la sphère virtuelle – autant que dans la sphère réelle – la sécurité de nos concitoyens, mais aussi celle de nos entreprises et plus largement des intérêts de la Nation. Cette action intervient dans un cadre indépassable, celui du respect des libertés fondamentales : respect de la vie privée et de la liberté d’expression. Le débat autour de la géolocalisation illustre bien ma volonté de concilier liberté et sécurité.

La géolocalisation permet en effet de connaitre en temps réel ou en différé les déplacements d’une personne. Cette technique d’enquête est utilisée dans le domaine judiciaire mais aussi dans le domaine administratif et préventif. En matière judiciaire, nous avons immédiatement réagi aux arrêts de la cour de cassation. Avec la Garde des Sceaux, nous avons rédigé un texte qui répond désormais aux exigences de la CEDH et de la Cour de Cassation. Il est actuellement soumis au Sénat, dans le cadre de la procédure accélérée. En matière administrative, l’article 20 de la LPM est venu combler un cadre juridique lacunaire. Il donne désormais un fondement clair à l’ensemble des demandes de données de connexion, qui peuvent être effectuées par tous les services de renseignement ainsi que par tous les services de police et unités de gendarmerie, dans le cadre strict des finalités de la loi de 1991.

Nous aurons donc d’ici quelques semaines un arsenal juridique complet et solide, confortant l’action des services de renseignement et de la police judiciaire. A la lumière de l’actualité récente [enrôlement de mineurs dans le Jihad], je m’en félicite. Lutter contre les cybermenaces demande d’intégrer une triple exigence :
tout d’abord, en avoir une bonne connaissance, sans se limiter à la cybercriminalité ;
ensuite, adapter les réponses opérationnelles, en portant, notamment, une attention particulière à la politique de prévention ;
enfin, mieux piloter et coordonner les moyens engagés et les différents services impliqués.
Ce sont ces trois exigences que je veux détailler devant vous.

1. Face à une sphère virtuelle en mutation permanente, une connaissance des usages et des menaces potentielles est indispensable. Nous sommes, en effet, devant un phénomène en pleine expansion ; un phénomène complexe et global, mal appréhendé par un droit qui est soit peu adapté, soit en construction, et en tout cas sans réelle cohérence. La cybercriminalité nous renseigne de façon parcellaire sur l’état réel de la menace : que sont les 1 100 faits d’atteintes aux systèmes d’information dénoncés aux services de police et aux unités de gendarmerie, en 2011, par rapport à la réalité vécue par les entreprises et les administrations ? Un simple aperçu !

La plateforme PHAROS de signalement de contenus illicites de l’Internet, opérée par l’OCLCTIC, donne un éclairage complémentaire. Avec près de 124 000 signalements en 2013, elle atteint un nouveau record, signe de la vigilance des internautes. Nous devons être en mesure d’appréhender des menaces toujours plus diverses : risques de déstabilisation de l’activité économique, atteintes à l’e-réputation, menaces pesant sur l’ordre public et la sécurité du territoire mais aussi radicalisation, embrigadement, recrutement par des filières terroristes et diffusion de messages de haine (racistes, antisémites, antireligieux, homophobes…).

Je veux insister devant vous sur la lutte contre les messages antisémites et racistes sur internet qui passe bien entendu, par la fermeté et le refus de la banalisation de la haine. Mais elle passe aussi par une responsabilisation du public. Ainsi, la décision du Conseil d’Etat relative au spectacle de Dieudonné M’bala M’bala aura permis une prise de conscience.

Elle passe enfin par un travail avec les acteurs du net et notamment les réseaux sociaux comme nous l’avons fait avec Twitter. Ainsi, grâce à la concertation conduite avec cet opérateur, des engagements de sa part
ont pu être obtenus concernant :
– la suppression des contenus illicites : Twitter a mis en place des techniques permettant de restreindre l’affichage des contenus prohibés dans les seuls pays où ils sont illicites [exemple des contenus xénophobes et discriminatoires illicites en France mais pas aux USA] ;
– le gel de données : Twitter s’engage à procéder au gel de données d’enquête sur simple courriel sans aviser ses utilisateurs si les enquêteurs demandent expressément à ce que ces mesures restent confidentielles ;
– l’obtention de données d’enquêtes : Twitter communique des données sur simple réquisition pour des affaires non urgentes mais d’une particulière gravité, qualifiées de serious crimes. Des travaux sont encore à cours sur ce sujet ;
– le déréférencement des hashtags : Twitter déréférence les hashtags à succès mais illicites quand ils apparaissent dans les « tendances » de sa page d’accueil, pour limiter leur résonnance. De telles mesures ont déjà été prises à la demande des autorités ou d’associations françaises telles que SOS Homophobie ;
– un référent pour la France concernant le respect des obligations légales.

D’autres travaux se poursuivent pour :
– rendre plus accessible le formulaire de signalement public,
– développer les partenariats avec les acteurs français d’internet : SAFER Internet (protection des mineurs), SOS Homophobie, SOS Racisme, etc. ;
– développer un formulaire en ligne destiné à faciliter les démarches officielles des enquêteurs internationaux.
Le réseau mondial est aussi celui où se rencontrent, se fédèrent, se préparent, souvent dans l’obscurité, les pires intentions. Internet est un lieu de liberté certes, mais cela ne doit pas être une zone de non droit où l’on pourrait tout se permettre. Les menaces de l’Internet concernent tout le monde, ne serait-ce que du fait de la progression de la fraude sur les moyens de paiement à distance. Mais elles ciblent, en particulier, les plus jeunes. Une étude récente a ainsi souligné que 40% des élèves disent avoir été victimes d’une agression en ligne. Nous devons donc mettre en œuvre des politiques publiques à la hauteur de ces enjeux.

Des enjeux qui sont éclairés par un travail qui va au-delà de nos frontières. Le monde virtuel n’en connaît pas. A ce titre, je veux saluer la contribution du centre de lutte contre la cybercriminalité EC3 d’Europol. En un an, il contribué à la résolution de plusieurs dossiers d’enquête complexes et permis de compléter la vision des risques cyber auxquels nous, pays européens, sommes confrontés. Seule une démarche globale peut nous permettre de prendre la mesure d’une menace elle-même globale.

Ceci passe par une approche décloisonnée ; décloisonnée entre services, entre matières. Travaux de recherches, observatoires thématiques, veille des réseaux numériques, surveillance des activités des groupes criminels et terroristes, alertes sur la sécurité des systèmes d’information : c’est l’ensemble de ces démarches qui permettent d’appréhender les risques et de piloter au mieux la réponse opérationnelle.

2. De nombreuses actions sont mises en oeuvre, chaque jour, pour contrer ces nouvelles formes de menaces qui ont chacune leur spécificité3 Je connais la mobilisation des acteurs européens, étatiques, industriels. Je vais visiter, dans quelques instants, les stands des partenaires institutionnels, des industriels, des PME-PMI, des écoles et des universités. Je sais que leur objectif commun est d’améliorer la confiance dans l’espace numérique, de proposer un cyberespace plus sûr et protecteur de nos libertés fondamentales.

Je sais que les attentes les plus grandes à l’égard de l’action de l’État viennent des entreprises, qui demandent une protection efficace contre les atteintes aux systèmes d’information, les fraudes, l’espionnage industriel.

Et il y a urgence ! Par exemple, en décembre, dans deux régions françaises, deux PME ont été victimes d’escroqueries aux faux ordres de virement pour des montants respectifs de 480 000 € et 450 000€. Pour l’une d’entre elle, les escrocs ont pris la main sur le système d’information de la société pour finaliser la transaction. Depuis 2011, ce type d’escroquerie représente un préjudice estimé à plus de 200 millions d’euros pour les entreprises françaises. Ce chiffre prend un relief tout particulier alors que les entreprises françaises doivent s’adapter à une concurrence internationale de plus en plus forte.

La loi de programmation militaire, récemment adoptée, renforce le dispositif de protection des entreprises les plus sensibles. Elle conforte et amplifie le rôle de l’Agence nationale de la sécurité des systèmes d’information – dont je salue le directeur présent aujourd’hui – dans le contrôle de nos opérateurs d’importance vitale. Cette mesure était prioritaire. Au-delà, les entreprises qui forment notre tissu économique, bénéficient au quotidien de l’action des services de la police et des unités de la gendarmerie qui les sensibilisent aux cyber-risques dans le cadre de leurs missions d’intelligence économique. Cette action territoriale, s’adressant tant aux grandes entreprises qu’aux PME-PMI participe de la réponse globale de l’État.

Une réponse qui doit concerner l’ensemble de nos concitoyens. J’ai d’ailleurs la conviction que le niveau de sensibilisation à la cybersécurité est encore insuffisant et que nous avons, dans ce domaine, de grandes marges de progression. Aussi, je me félicite des initiatives de la police et de la gendarmerie à destination des plus jeunes, à l’image de l’opération « Permis Internet » mise en place par la gendarmerie nationale, en partenariat avec AXA Prévention. Je viens d’ailleurs de remettre des « Permis Internet » aux élèves de CM2 de l’école Roger Salengro
d’Hallennes-lez-Haubourdin. Au sein de leur établissement scolaire, depuis quelques semaines, ils apprennent à utiliser en sécurité l’Internet, à mieux identifier les dangers auxquels ils peuvent être confrontés. Ils deviennent donc des Internautes avertis.

L’année dernière, je m’exprimais devant vous à l’issue de longs débats sur la loi antiterroriste. Je vous avais alors fait part de ma volonté et de celle du gouvernement de lutter plus efficacement encore contre le cyber terrorisme. Plus largement, renforcer notre efficacité en matière de cybercriminalité nécessite de prendre un certain nombre de mesures : adapter notre arsenal juridique, coordonner l’action de tous les services de l’État, sécuriser les titres d’identité et leur exploitation ou encore améliorer la formation des personnels de tous les ministères concernés.
C’est pourquoi, j’ai souhaité la constitution d’un groupe de travail interministériel, réunissant, sous la présidence d’un haut magistrat, des représentants des ministères de l’Economie et des Finances, de la Justice, de l’Intérieur et de l’Economie numérique. Les travaux menés, depuis l’été 2013, sous la présidence du procureur général Marc
ROBERT, sont achevés. Les conclusions seront remises aux quatre ministres dans les prochains jours.

J’attends des propositions ambitieuses, notamment en termes de techniques d’enquête ou de recueil et de traitement des plaintes. J’attends, également, des propositions permettant d’améliorer l’organisation de nos services et d’offrir aux citoyens un dispositif plus lisible et plus proche de leurs préoccupations. Il s’agira naturellement, à court terme, et en parallèle des évolutions de l’organisation du ministère de la Justice, de renforcer les capacités d’investigation pour les infractions spécifiques liées au monde cyber en s’appuyant sur les enquêteurs spécialisés en technologies numériques de la gendarmerie et de la police.

3. Je souhaite également qu’au sein du ministère de l’Intérieur soit menée une réflexion de fond pour développer une capacité fine de pilotage et de coordination dans la lutte contre les cybermenaces. Nous devons fédérer les actions des différents services, faire le lien entre les capacités d’anticipation, la politique de prévention, les efforts de recherche et développement et les dispositifs de répression.

L’attention que je porte aux moyens consacrés, au sein du ministère de l’Intérieur, à la lutte contre les cybermenaces s’étend bien évidemment à ceux dédiés à la sécurité et la défense de ses propres systèmes d’information. Les systèmes d’information mis en oeuvre pour la sécurité intérieure et pour la conduite de l’action territoriale de l’État ne peuvent souffrir d’aucun manquement à leur propre sécurité. Ces outils permettent, au quotidien, l’action de notre administration, de nos forces. Le ministère de l’Intérieur est ainsi engagé au premier  chef dans les démarches entreprises par les services du Premier ministre, afin de renforcer et garantir la sécurité de nos systèmes d’information.

J’ai donc demandé aux directeurs de la gendarmerie et de la police nationales de me proposer une stratégie de lutte contre les cybermenaces, sous trois mois, et de définir un véritable plan d’action. Cette réflexion s’appuiera sur les compétences développées au sein du ministère mais devra également, le cas échéant, définir ce qui nous manque. Elle pourra déboucher sur des évolutions structurelles. En outre, dans le cadre de la réforme des statistiques, j’avais demandé que l’on améliore la mesure des phénomènes de cyber-délinquance, et ce dans le cadre rigoureux des principes de la statistique publique. Les travaux de conception sont désormais bien avancés et je demanderai au chef du nouveau service statistique ministériel (SSM), dès sa prise de fonction fin février, de se prononcer sur le nouvel indicateur composite. Celui-ci devra clairement distinguer les atteintes directes aux systèmes d’information, les infractions liées aux contenus, les fraudes et escroqueries réalisées par l’internet, etc. Il est grand temps d’améliorer la qualité, la disponibilité et la régularité des données publiques sur ces enjeux fondamentaux de sécurité.

Enfin, si la sécurité du cyberespace relève en premier lieu de l’État, elle passe, aussi, nécessairement, par une mobilisation autour de partenariats avec le monde académique et les acteurs privés, fournisseurs de services et industriels de la sécurité des systèmes d’information.

Aussi, je salue la création cet après-midi, dans cette même enceinte, du « centre expert contre la cybercriminalité français (CECyF) », qui associera dans un premier temps la gendarmerie et la police nationales, les douanes, des écoles d’ingénieurs et universités – l’EPITA, l’Université de Technologie de Troyes – et des industriels – Orange, Thalès, Microsoft France et CEIS. Ce centre permettra l’émergence d’une communauté d’intérêts autour de la lutte contre la cybercriminalité. Les objectifs sont clairs : contribuer à la réflexion stratégique dans ce domaine, développer des actions de formation et encourager la mise au point d’outils d’investigation numérique et de travaux de recherche.

Mesdames, messieurs,
Chaque époque connaît des mutations techniques, technologiques. Elles sont porteuses de progrès pour nos sociétés tout en générant des contraintes, des menaces nouvelles qu’il faut savoir intégrer. Comme vous le voyez, les pouvoirs publics se sont pleinement saisis des enjeux liés au monde cyber. Chaque phénomène, chaque menace doit pourvoir trouver une réponse adaptée. Mais l’essor du réseau mondial nous oblige à agir en réseau, à mobiliser l’ensemble des acteurs pour assurer la cybersécurité, c’est-à-dire simplement la sécurité de tous.

 

 

 

 

 

Cybersécurité, Emploi, Mise à jour, Patch

QUOTIUM et l’ESIEA annoncent un partenariat dans le développement sécurisé

L’éditeur de logiciel QUOTIUM (Euronext QTE) a révolutionné la façon dont les applications sont sécurisées. Pionnière de la technologie IAST « Interactive Application Security Testing », sa solution de sécurité SEEKER, permet d’analyser le code applicatif pendant l’exécution d’une attaque malveillante et les conséquences de celle-ci sur les flux de données utilisateur. La technologie de Seeker est unique car elle permet d’avoir une vision réelle de l’état de sécurité d’une application et de ses risques métiers. Pour chaque faille de sécurité détectée, Seeker propose un correctif à appliquer sur les lignes de codes vulnérables accompagné d’une explication technique détaillée incluant la vidéo de l’attaque sur l’application testée.

Créée il y a 55 ans, l’ESIEA est une grande école d’ingénieurs en sciences et technologies du numérique qui délivre un diplôme habilité par la Commission des Titres d’Ingénieur (CTI) et propose deux Mastères Spécialisés en sécurité informatique (Bac +6) sur ses campus de Paris et Laval.

Parmi ses cursus, l’ESIEA propose un Mastère International « Network and Information Security (N&IS) » qui profite directement du résultat des travaux de l’un des 4 laboratoires de l’école. Ce laboratoire de cryptologie et virologies opérationnelles (CVO²) effectue des recherches fondamentales sous tutelle du Ministère français de la Défense dans les domaines des cyber-attaques, de la sécurité des systèmes et de l’information et des architectures de sécurité réseau.

Dans ce contexte, afin de former les étudiants aux problématiques de développement sécurisé, l’ESIEA s’est rapprochée de la société QUOTIUM pour initier un partenariat stratégique autour de leur technologie phare, le logiciel SEEKER spécialisé dans l’analyse de vulnérabilités des applications web. Concrètement, les étudiants du mastère spécialisé N&IS de l’ESIEA exploiteront une plateforme SEEKER réseau dédiée, dans le cadre de la formation au développement sécurisé et aux techniques d’audit. Il est envisagé à terme d’organiser une certification de nos étudiants vis-à-vis de la technologie SEEKER. Cette plateforme sera aussi utilisée dans le cadre des travaux de R&D du laboratoire de cryptologie et de virologie opérationnelles de l’ESIEA, avec une première utilisation dans le cadre du projet DAVFI.

Le choix de QUOTIUM par l’ESIEA s’explique notamment par la qualité technique de la solution SEEKER et sa facilité d’intégration dans les processus de développement.

Chiffrement, cryptage, Cybersécurité, Emploi, Fuite de données, Vie privée

Fuite de données : dîner de cons dans les ordinateurs des Hôtels

22 commentaires

Durant mes différents déplacements à l’étranger, j’aime me promener dans les espaces informatiques mis à disposition par les hôtels. De beaux ordinateurs des hôtels connectés à Internet, gratuitement. Si l’idée est intéressante, elle permet de rester connecter avec la famille, ses emails, la dangerosité de l’occasion offerte est à rappeler. Depuis le mois de juin, j’ai eu la chance de me promener par « monts et par vaux » pour zataz.com, zatazweb.tv, datasecuritybreach.fr ou mes employeurs, de l’Espagne au Maroc en passant par la Tunisie, l’Angleterre, la Belgique ou encore l’Île Maurice et le Québec. Dans les hôtels qui ont pu m’accueillir, des connexions web (payantes et/ou gratuites) et des machines mises à disposition. PC ou Mac, bref, des liens de connexion avec son monde familial… ou professionnel. Aussi paranoïaque que je puisse éviter de l’être, il ne me viendrait pas à l’idée de me connecter à ces machines pour le travail. A première vue, beaucoup de « vacanciers » ou « d’employés » n’ont pas mes craintes.

Il est mignon Monsieur Pignon…

Du 1er juin 2013 au 24 octobre 2013 j’ai pu étudier 107 ordinateurs en accès libres. 37 Mac et 70 PC. J’ai pu mettre la main sur 25.811 documents que je considère comme sensibles. Sensibles car ils auraient pu permettre à un pirate informatique, je ne parle même pas de l’ambiance « Les services secrets étrangers nous surveillent », d’identifier et usurper une identité, une fonction, des projets professionnels.

Ci-dessous, quelques documents que j’ai pu croiser. Il s’agit, ici, de captures d’écrans effectuées avec mon appareil photo. L’ensemble des fichiers ont été effacés après mes découvertes et les directions des hôtels alertées, histoire de coller quelques affiches, ici et là, sur les mesures que les clients devraient prendre lors de leurs pérégrinations informatiques.

En déplacement, sortez armés lors de l’utilisation des ordinateurs des Hôtels

Je peux comprendre, je suis le premier concerné, qu’en déplacement, le besoin de rester connecter se fait rapidement sentir. Un petit coucou à la famille restée à la maison, aux courriels du patron ou quelques mises à jour sur son site web et autres blogs. Seulement, il n’est pas toujours évident de se promener avec son ordinateur portable sous le bras. Si c’est le cas, voyez nos méthodes de sécurisation physiques et numériques de votre – Précieux -. Prudence, aussi, aux connexions wifi offertes dans les hôtels. Dans la foulée de mes voyages, se promènent toujours avec moi, mes Pirates Box @zataz. Pourtant baptisées PirateBox, donc de quoi inquiéter ceux qui ne connaissent pas cette merveilleuse petite amie numérique, j’ai pu découvrir pas moins de 54.291 fichiers privés (80% de photos, ndlr) téléchargés par des inconnus. Je vous passe la possibilité malveillante d’une PirateBox Man-in-the-middle s’annonçant comme un « Hotel-Free-Wifi » ou « Starbux-Wifi-Free« . Il ne reste plus qu’à collecter les données sensibles transitant entre le « touriste » et le site qu’il visite. Pour éviter de se voir gober comme un gros Ananas, la sécurisation de vos connexions est une obligation. Un service VPN est indispensable en déplacement.

Nous utilisons pour ZATAZ, DataSecurityBreach ou pour mes autres employeurs l’excellent VyprVPN, ainsi que de nombreux systèmes d’anonymisation et chiffrement de données. Présent sur les 5 continents, plus de 200.000 IP et un pare-feu NAT loin d’être négligeable. Les pirates et les bots malveillants cherchent sur Internet les appareils non protégés qu’ils peuvent utiliser pour le vol d’identité et les messages indésirables. Ils accèdent à votre système par les connexions Internet qui sont ouvertes sur vos applications. En utilisant ces connexions, ils peuvent installer des malwares et voler vos informations personnelles. Le pare-feu NAT empêche leur recherche d’atteindre votre appareil ou ordinateur quand vous vous connectez avec VyprVPN. Autre service, celui-ci est Français, ActiVPN.

Ordinateurs des Hôtels

Autres solutions, chiffrer vos informations communiquées. OpenPGP, GPG, … sont d’excellents outils qui en cas d’oubli de fichiers dans une machine étrangère (chose impensable, mais bon, ndlr datasecuritybreach.fr) évitera qu’un inconnu puisse y accéder. Nous finirons avec l’outil de la société française Gith Security Systems. Elle tente d’offrir une réponse en proposant «Gith», la première plateforme gratuite de communications sécurisées sur Internet, destinée au grand public, PME et professions libérales. Pour simplifier le processus, Gith se présente sous la forme d’une application à installer, disponible sous Windows, Mac OS, Linux et prochainement iPhone/Android. Gith permet d’échanger des Emails, partager des documents («Cloud sécurisé») et faire du chat avec les autres utilisateurs. Une sécurité bien présente, mais totalement invisible. Toutes les données sont chiffrées de bout en bout, avec les meilleurs algorithmes actuels (RSA 2048, AES 256). Même en cas de vol de votre ordinateur ou infection par un virus, vos données sont inaccessibles : elles sont stockées chiffrées sur votre machine. La sauvegarde de votre clef secrète de chiffrement sous forme de QRCode vous permet facilement d’importer votre compte sur un autre ordinateur ou votre smartphone ! Nous utilisons cette solution. Elle mérite clairement d’être découverte et exploitée. A noter que Gith a été sélectionné pour l’opération 101 projets de Xavier Niel, Marc Simoncini et Jacques-Antoine Granjon. Le 18 novembre, présentation de Gith, en 1 minute, et tenter de décrocher 25k € de financement.

Bref, mes solutions de protection de vos données, en déplacement, ne sont pas infaillibles, mais devraient vous rappeler que le libre accès n’est pas la meilleure idée pour vos données privées. Et les ordinateurs des Hôtels font parti de ces fuites potentielles.

Fuites de données : la réputation des entreprises en danger via les ordinateurs des Hôtels

La grande majorité des entreprises qui doivent faire face à un problème de sécurité sont contraintes de révéler publiquement cette information, comme le révèle l’étude Global Corporate IT Security Risks 2013 menée par Kaspersky Lab auprès de 2 895 organisations à travers le monde. Les résultats sont sans appel. 44% des entreprises ayant été victime d’une fuite de données sont dans l’obligation d’informer leurs clients de l’incident, 34% informent leurs partenaires, 33% informent leurs fournisseurs, 27% remontent les fais à un organisme de contrôle ou de régulation, 15% doivent en informer les médias. A l’échelle mondiale, les grandes entreprises seraient les plus touchées. La législation change en faveur des internautes comme nous la nouvelle directive européenne votée le 12 août dernier.

Emploi, Entreprise

YesWeHack – Le portail qui permet de recruter un hacker

La sécurité informatique évolue. Les entreprises, petites ou grandes, ont un véritable besoin d’hommes et de femmes compétents dans le domaine de la sécurité informatique. Une étude sortie lors des Assises de la Sécurité 2013 indiquait même que 9 entreprises sur 10 ont connu un problème de sécurité l’année dernière [1]. 91% des entreprises ont vécu au moins un incident de sécurité externe ; 85% un incident interne. Autant dire que la recherche de compétences n’est pas un vain mot. De ce constat est né YesWeHack (http://yeswehack.com), un portail d’offres d’emplois et de services dédiées à la sécurité informatique. Un espace unique en partenariat avec RemixJobs [2].

Sécurité, confidentialité, efficacité, convivialité En 2013, l’offre a dépassé la demande dans le domaine de la sécurité informatique et les bonnes ressources se font rares, car être un hacker, c’est avant tout être un passionné qui souhaite exercer son art pour le compte d’une entreprise au même titre qu’un peintre souhaite exposer des œuvres dans une galerie. Recruter, chercher un emploi, proposer ou trouver un stage dans la sécurité informatique est un parcours du combattant. YesWeHack (http://yeswehack.com) veut faciliter les démarches. En effet, aucun outil ne centralise l’ensemble de ces demandes. Les services existant tentent de s’en approcher mais sont trop généralistes, peu ergonomiques et trop onéreux pour espérer faire gagner du temps lors d’un recrutement ou de la recherche d’un emploi.

L’idée de YesWeHack (http://yeswehack.com), mettre en relation les recruteurs, les chefs d’entreprises et les spécialistes de la sécurité informatique, le tout dans un espace dédié, efficace, sécurisé et convivial. Vous cherchez, vous trouverez avec YesWeHack (http://yeswehack.com).

Dans quelques semaines, un annonceur pourra prendre une option baptisé « challenge ». Elle obligera le candidat à valider une épreuve de sécurité informatique afin de postuler à l’offre. Une recherche qui sera définie dans un cahier des charges décidé par le recruteur. Les challenges seront développés par Hackerzvoice [3]. Une équipe forte de son expérience sur la Nuit du Hack [4]. A noter que pour plus de sécurité, un identifiant PGP [5] du recruteur et/ou d’un candidat sera proposé dans les offres/recherches afin d’identifier parfaitement les parties.

Simplicité, efficacité autour d’un domaine, d’une passion : la sécurité informatique. YesWeHack (http://yeswehack.com) apporte aux recruteurs et aux candidats l’outil ultime qui facilitera le quotidien en termes d’emploi dans le domaine de la sécurité informatique.

[+] Contacts Mail:

contact@yeswehack.com

Twitter: @yeswehack

Web : http://yeswehack.com

[+] Références [1] Neuf entreprise sur dix ont connu un problème de sécurité en 2013 https://www.datasecuritybreach.fr/9-entreprise-sur-10-ont-connu-un-probleme-de-securite-en-2013/

[2] RemixJobs

http://remixjobs.com

[3] HackerzVoice

http://www.hackerzvoice.net

[4] Nuit du Hack

http://www.nuitduhack.com

[5] Open PGP

http://www.openpgp.org