Archives de catégorie : Fuite de données

Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Fuite de données, Leak, Vie privée

Que dit l’histoire de Heartbleed à tous les utilisateurs d’Internet ?

Un commentaire

La vulnérabilité Heartbleed est l’une des plus importantes failles découverte sur Internet depuis 10 ans. Depuis mars 2012, une part considérable des serveurs sur Internet a été vulnérable à des attaques qui ne laissent pas de traces, et peuvent accéder à des informations essentielles (identifiant, mot de passe, informations personnelles, numéro de carte de crédit, clé de cryptage). Cette vulnérabilité a été révélée publiquement le 7 avril, mais il est impossible de connaître l’étendue des dommages qui ont eu lieu avant le 7 avril ou même depuis.

La vulnérabilité Heartbleed arrive comme une piqure de rappel de deux faits importants lié à la sécurité personnelle sur Internet, à l’heure où tant de nos informations personnelles sont désormais sur Internet : Il est vital d’utiliser un mot de passe diffèrent sur chaque site web. Cela limite les risques, même en cas d’une faille  – les dommages ne pourront s’étendre. Si vous réutilisez le même mot de passe sur plusieurs sites web, vous êtes clairement exposé et vous devriez modifier cela au plus vite.

« Vous devriez changer tous vos mots de passe le plus rapidement possible, confirme Emmanuel Schalit, CEO de Dashlane, car chacun d’entre eux a pu être dérobé, et vous assurez que vous utilisez un mot de passe différent pour chaque site web« . De plus, pour les sites web les plus importants (voir ci-dessous, NDR DataSecurityBreach.fr), vous devriez probablement changer vos mots de passe dans les 10 jours, au cas où les sites en questions n’auraient pas encore appliqué les correctifs nécessaires depuis le 7 avril.

Heartbleed prouve que dans le monde numérique d’aujourd’hui, il est devenu impossible d’être en sécurité si vous n’utilisez pas un gestionnaire de mots de passe comme Dashlane. Premièrement car c’est la seule façon d’avoir des mots de passe forts et uniques sur chaque site web et d’être capable de les changer rapidement et sans effort. Deuxièmement parce que les gestionnaires de mots de passe sont conçus de telle manière que les données de leur utilisateurs ne peuvent pas être compromises par ce type de vulnérabilité, car les gestionnaires de mots de passe de qualité comme Dashlane n’ont pas accès aux clés de chiffrement de leurs utilisateurs.

Les sites les plus utilisés
Facebook annoncé avoir ajouté des protections supplémentaires avec OpenSSL. Des sécurités avant l’annonce de la faille de sécurité. Facebook a tout de même conseillé de changer les mots de passe. Même proposition pour Tumblr. Twitter n’a rien dit… pour le moment. Google a confirmé des problèmes avec OpenSSL. Google Chrome et Google OS ne sont pas concernés. Google, lui aussi, que nous changions nos mots de passe. Yahoo Mail, Yahoo Finance, Yahoo Sports, Flickr ont été sécurisés. Changement de mot de passe conseillé, comme pour DropBox. Hotmail n’utilise pas  OpenSSL. Même confiance chez eBay et Paypal.

Chiffrement, cryptage, Entreprise, Fuite de données, Vie privée

Un risque croissant de vol de données en raison de ‘menaces internes’

Le cabinet Ovum vient de publier un rapport qui devrait faire tendre l’oreille. Cette étude commanditée par Vormetric met en évidence le faible contrôle des utilisateurs privilégiés au sein des entreprises françaises et la reconnaissance du chiffrement comme la technologie la plus efficace pour prévenir le risque des menaces intérieures. En outre, 53% des entreprises européennes trouvent ces menaces plus difficiles à détecter qu’auparavant.

Cette enquête, réalisée auprès de plus de 500 décideurs dans le domaine des hautes technologies de moyennes et grandes entreprises au Royaume-Uni, en France, en Allemagne, conclut que seuls 9% des entreprises se sentent à l’abri des menaces provenant de l’intérieur, avec presque la moitié des sondés en France (42%) reconnaissant que ce sont les « utilisateurs privilégiés » (administrateurs systèmes, de bases de données, réseaux, etc.) qui représentent le plus grand risque pour leur entreprise.

Les menaces intérieures ne proviennent plus seulement des utilisateurs habituels ayant des droits d’accès légitimes et qui en abuseraient pour voler des données et d’en retirer un gain personnel. Les utilisateurs privilégiés qui administrent les systèmes et les réseaux représentent désormais une inquiétude supplémentaire puisque leurs métiers requièrent évidemment un accès à toutes les données accessibles sur les systèmes pour effectuer leur travail. Une troisième menace intérieure identifiée comme étant particulièrement préoccupante concerne les infiltrations par des cybercriminels cherchant activement le moyen de compromettre des comptes d’utilisateurs internes (en visant principalement les comptes avec les privilèges les plus avancés) afin de s’infiltrer dans les systèmes et d’y voler des données en utilisant les identifiants usurpés.

« Environ la moitié des organisations estiment que ces menaces internes sont de plus en plus difficiles à détecter, et les responsables informatiques sont extrêmement inquiets de ce que leurs utilisateurs peuvent faire avec les données de leur entreprise, déclare Andrew Kellet, analyste principal chez Ovum, le cabinet d’analystes en charge de l’enquête. Ce risque se combine avec la menace posée par les cyberattaques qui visent les comptes utilisateurs – ce qui n’est pas complètement ignoré puisque 30 % des organisations citent les Menaces Persistantes Avancées comme motivation principale pour l’amélioration des défenses contre le vol de données. »

Selon l’étude menée, Seulement 9 % des organisations européennes interrogées se sentent à l’abri des menaces internes contre 11% des entreprises françaises ; 47 % des organisations estiment actuellement qu’il est plus difficile de détecter des incidents provenant des menaces internes qu’en 2012 ; Le contrôle d’accès aux données est identifié comme la plus grande menace pour les organisations. Pour certaines, les employés non-techniciens avec un accès autorisé aux données sensibles et aux ressources IT représentent le risque le plus important (49 %), tandis que pour d’autres, ce sont les postes de haut niveau tels que les Directeurs Administratifs et Financiers ou les PDG qui sont le principal risque (29 %) ; Le passage au cloud augmente les risques de sécurité, en raison d’une perte de visibilité sur les mesures de sécurité autour des données stockées dans le cloud, représentant une inquiétude pour 62 % des personnes interrogées ; Le Big Data peut également poser problème, avec plus de la moitié des entreprises concernées par la sécurité du Big Data (53 %) indiquant que des données sensibles peuvent y être contenues ; Il y a de bonnes nouvelles : les organisations prennent des mesures pour lutter contre les menaces intérieures avec 66 % d’entre elles qui envisagent d’augmenter leurs budgets de sécurité en réponse directe à ce risque. « Les entreprises accentuent leur utilisation du cloud computing afin de profiter de la flexibilité et des avantages financiers qu’il apporte, indique Danièle Catteddu, Responsable EMEA pour la Cloud Security Alliance. L’étude démontre qu’elles sont conscientes des nouveaux risques lié à cet usage accru, et détaille la façon dont les fournisseurs peuvent améliorer leurs offres afin de mieux satisfaire les besoins des entreprises en matière de sécurité pour contrebalancer les menaces intérieures »

« Clairement, les exigences liées à la conformité légale, les contraintes concernant la vie privée et les vols de données incessants ont un effet marqué sur les entreprises, déclare Stewart Room, partenaire du Field Fisher Waterhouse’s Technology and Outsourcing Group. Avec 66% d’entre elles qui envisagent d’augmenter leurs dépenses en sécurité pour bloquer les menaces intérieures, et en fonction du défi que la protection des données dans le cloud, les environnements mobiles et Big Data représente, les entreprises comprennent que leur niveau de sécurité doit être mis à jour et font ce qu’il faut pour. »

De plus, les entreprises reconnaissent que le chiffrement est la technologie la plus efficace pour bloquer les menaces internes, avec la plus grande proportion des organisations (38 %) la citant comme la mesure de sécurité la plus importante. (étude)

Entreprise, Fuite de données, Identité numérique

Les technologies « finger printing » permettent de tourner la page du cookie ?

Après l’affaire PRISM de l’été 2013 et la joute entre Google et la CNIL (Commission Nationale Informatique et Liberté) en France, la collecte et l’utilisation de données digitales personnelles ou anonymes sont des sujets qui suscitent des interrogations légitimes chez les consommateurs dans tous les pays. Pour les cookies, les temps sont durs. Ces fichiers s’apparentent à des logiciels espions installés directement dans les navigateurs et permettent à un annonceur, à l’éditeur d’un site internet ou bien à un prestataire publicitaire d’identifier de façon anonyme un internaute et de construire un profil plus ou moins détaillé de ce dernier sur la base des informations collectées.

Le processus d’harmonisation de la réglementation européenne sur la protection des données personnelles est en marche. L’ensemble des acteurs du marché de la communication digitale et plus particulièrement les spécialistes de la publicité en ligne sont directement concernés par ces questions du moment. De plus en plus souvent, les cookies sont désignés comme une cible à abattre ou  tout du moins comme une technologie nécessitant plus de transparence et de réglementation quant  à son utilisation.

Il devient nécessaire pour tous les acteurs du secteur de songer dès maintenant à des technologies alternatives pour continuer à délivrer des campagnes publicitaires efficaces. A court-terme, le cookie va résister, mais qu’en sera-t-il à l’avenir?

Les cookies, témoins d’une époque publicitaire révolue
En pratique, les cookies peuvent d’ores et déjà être très facilement bloqués par des programmes dits « ad-blocker » directement intégrés dans certains navigateurs. Les cookies restent aussi à la merci d’un possible revirement stratégique des grands acteurs de l’écosystème digital que sont Google, Facebook, Microsoft ou Apple. Ceux-ci pourraient décider du jour au lendemain de fermer leur environnement aux cookies.

Par ailleurs, avec l’explosion de l’utilisation des smartphones et des tablettes, force est de reconnaître que les cookies sont impuissants à pénétrer l’environnement mobile auquel ils ne sont pas adaptés. Avec des internautes nomades et connectés en permanence (et qui le seront de plus en plus), les cookies font figure de technologie dépassée, incapables d’intégrer les usages en mobilité. L’optimisation de la pertinence et de la performance des campagnes publicitaires digitales passe pourtant par une prise en compte de ces nouveaux usages et fait appel au final  à des  technologies adaptées à ce nouveau paradigme.

Avec le « finger printing », un plus grand respect de la vie privée
Fort heureusement, des technologies alternatives aux cookies existent et offrent déjà des résultats prometteurs : le « finger printing » est une méthode consistant à identifier de façon anonyme un internaute quel que soit son appareil (PC, tablette ou mobile) à travers toutes les traces digitales (d’où la terminologie de « finger printing » ou « empreinte digitale » en anglais) que sa navigation peut communiquer. A chaque visite de site ou d’application mobile, l’internaute envoie jusqu’à 80 informations techniques  comme son fuseau horaire, la version de son navigateur, la résolution de son écran, les plug-ins installés, etc…  L’ensemble de ces données est passé ensuite à travers différents filtres et tableaux de correspondances afin de former une empreinte digitale unique (« finger print ») pour l’appareil utilisé. Certains acteurs ont même développé des solutions capables de reconnaître un même utilisateur à travers différents appareils, qu’il se connecte à Internet via son PC, son smartphone ou sa tablette par exemple.

Derrière ces nouvelles technologies en phase avec l’évolution des comportements et des usages, les enjeux sont clairs : pouvoir détecter un profil d’utilisateur quel que soit son moyen de connexion digitale – web, mobile ou tablette – de manière totalement  anonyme. Avec le finger printing, la réalité d’un système respectueux des données personnelles prend forme, tout en réconciliant enfin les informations entre web et mobile (cross-device) et en s’affranchissant de la menace d’évolutions techniques et réglementaires comme c’est le cas avec les cookies.

Un écosystème publicitaire qui doit évoluer
Aujourd’hui, le finger priting en est encore à ses balbutiements. Le principal obstacle à son utilisation généralisée se situe au niveau de l’organisation actuelle de l’écosystème publicitaire qui repose en grande partie sur le cookie comme identifiant commun entre les différents acteurs du marché (éditeurs, annonceurs, prestataires, …). Paradoxalement,  même les plateformes de gestion de la vie privée mises en place par l’IAB – représentant officiel de l’industrie de la publicité digitale – en Europe et aux Etats-Unis reposent actuellement sur une technologie traditionnelle de « cookie matching » (à savoir le croisement des données collectées par leurs plateformes et par les acteurs du marché). Certaines sociétés ont toutefois développé leur propre technologie de fingerprinting et l’utilisent aujourd’hui en parallèle.

La mise en place d’un standard technologique de fingerprinting à grande échelle nécessite une mise en commun des algorithmes d’identification entre les participants de l’écosystème, comme le propose la société Adtruth. Mais le marché est-il prêt pour ce grand bouleversement ou attend-il simplement d’y être forcé ?

Le drame psychologique de la fin des cookies est un faux problème en soi, puisque le nombre grandissant de campagnes publicitaires sur mobile  nécessite déjà l’emploi de nouvelles approches. Si le cookie est encore la norme aujourd’hui, il convient rapidement pour les acteurs du marketing digital de préparer leur indépendance vis-à-vis du cookie. Ceux qui ont investi en R&D pour développer une technologie de fingerprinting disposent d’ores et déjà d’une longueur d’avance… (Par Stéphane DARRACQ, PDG de makazi group)

Entreprise, Fuite de données, Identité numérique, Sauvegarde, Vie privée

CJUE: Un coup d’arrêt à la rétention des données

L’Union européenne invalide la directive controversée sur la rétention des données. Dans un arrêt publié ce mardi 8 avril, la Cour de Justice de l’Union Européenne (CJUE) a invalidé la directive européenne 2006/24 sur la rétention des données ou traitées dans le cadre de la fourniture de services de communications électroniques accessibles au public ou de réseaux publics de communications, notamment pour non-respect du principe de proportionnalité. Le juge européen reproche en outre à la directive de ne pas imposer une conservation des données sur le territoire de l’UE.

La Député Européenne Françoise Castex salue cette décision de la CJUE: « après le rapport Moraes sur le programme d’espionnage de la NSA, et l’adoption du paquet données personnelles par les eurodéputés, c’est un signal fort envoyé au Conseil. » La directive 2006/24 oblige les opérateurs télécoms à stocker des données sur l’ensemble des communications de leurs clients afin de faciliter la recherche, la détection et la poursuite d’infractions graves.

Pour la Vice-Présidente de la Commission des Affaires juridiques du Parlement européen: « cette directive, qui a été votée dans le cadre des accords UE/États-Unis après les attentats du 11 septembre, ne répondait pas aux exigences imposées par les droits fondamentaux à la vie privée et à la protection des données« .

« Cet arrêt confirme ma conviction qu’il est urgent de doter l’Europe d’un habeas corpus numérique, et de suspendre, une fois pour toute, les accords Safe Harbour et Swift/TFTP qui autorisent le transfert des données personnelles des Européens aux autorités américaines« , conclut l’eurodéputée Nouvelle Donne.

Cybersécurité, escroquerie, Fuite de données, Social engineering, Téléphonie

Vishing : un coup de fil qui ne vous veut pas du bien

Un commentaire

Les escrocs s’attaquent à notre porte-monnaie via le téléphone. La gendarmerie nationale décide de lancer l’alerte auprès des Français, cibles potentielles de cette escroquerie qui gagne du terrain. Compte tenu de la méfiance des internautes face au phishing, les cybers fraudeurs s’attaquent maintenant à des victimes par l’entremise du vishing appelé aussi hameçonnage vocal. Le vishing est l’utilisation de la technologie VoIP (voix sur IP) dans le but de duper quelqu’un en lui faisant divulguer de l’information personnelle et/ou financière.

Les fraudeurs ont plusieurs méthodes d’attaques. « Un automate téléphonique est utilisé pour contacter les victimes potentielles en composant au hasard des numéros de téléphone fixe dans une région géographique déterminée » explique la Gendarmerie Nationale. Lorsque la victime potentielle décroche, un message préenregistré supposé provenir de sa banque la prévient que des opérations inhabituelles ont été récemment effectuées sur son compte bancaire. Elle est par la suite invitée à composer un numéro de téléphone généralement surtaxé pour vérifier la situation de ce dernier. Ce numéro correspond à une boîte vocale, un message demande alors à la victime de fournir ses identifiants bancaires (les 16 chiffres et la date de validité de sa carte bancaire). Ces informations pourront ensuite être utilisées pour effectuer des achats frauduleux sur Internet.

Une autre possibilité d’attaque par le biais d’un appel vers une victime potentielle. L’escroc se fait passer pour quelqu’un du département de sécurité Visa, Master Card ou simplement de son établissement bancaire. Elle lui signale que sa carte de crédit a été utilisée pour un achat plus que douteux et lui demande si elle est à l’origine de cette opération. « Sa réponse étant négative, elle lui attribue un numéro de contrat de fraude, donnant ainsi à l’appel un aspect réaliste, puis lui demande de communiquer les coordonnées de sa carte bancaire afin de vérifier qu’elle est toujours en sa possession. Une fois la conversation terminée, la personne ajoute n’hésitez pas à nous rappeler si vous avez d’autres questions et raccroche. » explique les militaires.

Pour se protéger, comme pour les cas de phishing web, il faut juste se dire que votre banque, votre FAI, les Impôts, la CAF… ne vous réclameront jamais vos informations bancaires par téléphone. Un commerçant « légitime » vous réclame vos données par téléphone, refusez. Dans tous les cas, votre signature (et un temps de réflexion dans le cas d’un achat, ndr) pour un achat est obligatoire. Les fraudeurs jouent sur une vulnérabilité psychologique du consommateur en créant en lui un stress et un faux sentiment d’urgence lié à la possibilité d’avoir été fraudé. « Si un message vous demande de rappeler tel numéro, ne le composez pas. Prenez le temps de retrouver le véritable numéro de téléphone qui vous a été donné par l’émetteur de votre carte de crédit et utilisez le » terminent les gendarmes. En cas de fraude, il ne vous reste plus qu’à alerte votre banque et déposer plainte dans les plus brefs délais, que ce soit auprès d’un NTECH (cyber gendarme) ou un OPJ dans un commissariat central habilité à prendre une plainte liée aux fraudes aux nouvelles technologies.

Attention à vos standards téléphoniques
Certains pirates informatiques spécialisés dans la téléphonie, baptisée les phreakers, s’intéressent aux standards téléphoniques et autres PABX. Un détail juridique devrait intéresser les administrateurs. Le site Legalis revient sur un arrêt du 25 mars 2014 de la cour d’appel de Versailles. Le tribunal a condamné une société de maintenance « pour avoir manqué à ses obligations contractuelles en ne donnant pas les moyens à son client d’éviter le piratage de communications téléphoniques dont il a été victime. Un nombre élevé d’appels injustifiés à destination du Timor oriental avait été constaté« . L’installation téléphonique avait été piratée grâce au mot de passe « usine » du système, soit les mythiques 0000.

Cybersécurité, Emploi, Fuite de données, Mise à jour, Propriété Industrielle

Le piratage et la cybercriminalité coûteront 491 milliards de dollars en 2014

L’utilisation de logiciels piratés et les cyberattaques criminelles peuvent coûter cher ! D’après le livre blanc « The link between pirated software and cybersecurity breaches », publié pour Microsoft par le cabinet IDC et la National university of Singapore, en 2014 les sociétés dépenseront 491 milliards de dollars (356 milliards d’euros) à cause de programmes malveillants, d’attaques ou de pertes de données. Les entreprises consacreront 127 milliards de dollars à la sécurité et 364 milliards de dollars au traitement des failles de sécurité. A l’origine de près deux tiers de ces dépenses et de pertes, soit 315 milliards de dollars, on trouvera des organisations criminelles. L’Asie, qui compte le plus grand nombre de PC au monde, sera concernée par 40 % de ces dépenses.

Facebook, Fuite de données, ID, Identité numérique, Social engineering, Vie privée

Accès aux photos privées sur Facebook

8 commentaires

Il est possible (toujours au moment de la diffusion de cet article, ndr) d’accéder aux photographies privées via une petite manipulation dans les paramètres de Facebook. Pour accéder aux images privées des personnes qui ne sont pas vos ami(e)s, il suffit d’un seul petit clic de souris. Vous devez changer la langue utilisée dans votre compte en mettant « English US ». Option que vous trouverez dans « paramètres ». Il ne vous reste plus qu’à rentrer le nom de la personne que vous souhaitez « regarder » sans y avoir été invité. Pour éviter le regard des curieux, c’est aussi simple, ou presque. Il vous suffit de vous rendre dans le paramétrage de votre compte, et retirer TOUTES les identifications de vos photographies que vous ne souhaitez pas voir apparaitre. Les deux autres solutions :  maitriser ce que vous diffusez ou ne diffusez rien du tout !

Comment est-ce possible ? Tout simplement parce que la législation américaine n’est pas la même qu’en Europe. Bilan, changer de langue (sur Facebook, mais aussi sur consoles, smartphone, …) peut faire croire au système ainsi modifié que vous êtes installés dans le pays en question. Et la vie privée sur le sol américain n’a pas autant de « freins » qu’en Europe. Bilan, ce qui est « protégé » sur le vieux continent, l’est beaucoup moins sur les terres de l’Oncle Sam. Facebook veut aussi se positionner, de plus en plus, comme un moteur de recherche. Bilan, Graph Search et recherche globale rendent les informations, privées ou non, accessibles à qui sait les chercher, Facebook en tête. CQFD !

Cyber-attaque, Entreprise, Fuite de données, Leak, Sauvegarde

Des concurrents de l’hébergeur MavenHosting perquisitionnés par la police

2 commentaires

Le 19 octobre 2013, l’hébergeur Québecois MavenHosting était victime d’une attaque informatique violente. Un piratage qui obligera l’hébergeur Mavenhosting à prendre des mesures drastiques pour s’assurer de l’intégrité de ses serveurs. « Une réinstallation complète du système d’exploitation est en cours sur tous les serveurs impactés. Une fois cette étape terminée, nous devons restaurer les sauvegardes des sites. » confiait-il à l’époque. A l’époque, certains serveurs de sauvegardes avaient été endommagées par le pirate. Le bourrin avait tout simplement écrasé des données. « Nous travaillons présentement avec une compagnie de restauration de données pour voir ce qu’il est possible de faire » indiquait alors l’hébergeur.

Six mois plus tard, rebondissement dans cette affaire. « Plusieurs personnes ont reproché à Mavenhosting le manque de communication et l’incapacité à gérer la crise, indique en cette fin mars la société canadienne. Sous les directives de la police et de nos avocats, les communications ont été limitées afin d’éviter les fuites et protéger l’enquête en cours« . Il faut dire aussi que à l’attaque, l’équipe de support avait été submergée par des milliers de demandes d’aide et de courriels.

Après avoir identifié la source du hack et fermé la brèche, l’équipe d’experts en sécurité de MavenHosting a mis la Sûreté du Québec sur la piste de PlanetHoster, un concurrent. La Sûreté du Québec a fait son enquête et aurait  confirmé la source de l’attaque. La Division des enquêtes régionales vient tout juste d’effectuer une perquisition, d’après les informations exclusives de Data Security Breach, le jeudi 27 mars dernier, chez les dirigeants de PlanetHoster afin de conforter, ou non, cette piste. La société n’est pour le moment accusée de rien !

Des accusations criminelles pourraient être déposées prochainement par Maven Hosting. Par ailleurs, Maven Hosting a déposé une poursuite au civil contre l’hébergeur PlanetHoster et ses dirigeants. « Le matériel informatique a été saisi » termine Patrice Baribeau de chez Maven Hosting. De son côté, Planet Hoster a répondu au communiqué de presse de Maven Hosting par un post, sur Twitter « Vous serez contacté par nos avocats pour diffamation.« 

BYOD, Chiffrement, Cloud, cryptage, Entreprise, Fuite de données

De l’importance de la formation des employés dans la sécurité en entreprise

Forrester montre que les Européens sont maintenant plus connectés que jamais, la plupart possédant deux terminaux au moins. Puisque l’utilisation des terminaux personnels sur le lieu de travail continue de croître, la formation des employés va devenir essentielle. Beaucoup d’habitudes prises lors de l’utilisation de ces appareils personnels représentent un danger pour les entreprises, donc les employés doivent comprendre l’importance de sécuriser les données. Ils sont la plus grande menace en termes de fuites de données. Le fait que Dropbox soit actuellement utilisé dans 95% des entreprises du Fortune 500 signifie que, dès à présent, une part énorme des données professionnelles sont vulnérables.

Malheureusement pour les responsables informatiques, il ne suffit pas d’installer une solution mobile sécurisée pour protéger les données. En plus de devoir mettre en œuvre un changement technologique, les entreprises doivent également lancer un changement culturel au sein du lieu de travail. Les employés doivent avoir une meilleure connaissance du moment où les données  professionnelles sont en sécurité ou non. Un des plus grands enjeux que les organisations doivent affronter est l’envoi par les employés des documents d’entreprise sensibles sur leur messagerie personnelle. Une fois qu’un document est divulgué, il n’est plus sous le contrôle de l’organisation, sa sécurité ne peut plus donc être contrôlée.

Dropbox est un cauchemar pour les départements informatiques car il génère un stockage dans le Cloud et la synchronisation des dossiers hors des entreprises. Dropbox fourni un service pratique pour les employés, mais a eu un grand nombre d’intrusions médiatisées. On en retrouve notamment en 2012 lorsque des mots de passe volés ont été utilisés pour accéder à un certain nombre de comptes Dropbox, ou encore lorsqu’en 2011 Dropbox avait éteint la fonction mot de passe, laissant toutes les données stockées sans aucune protection. Cependant, malgré ces failles médiatisées, les employés continuent d’utiliser ce service pour stocker des données sensibles. Des recherches récentes effectuées par Spiceworks Research ont constatées que 40% des employés dans l’informatique utilisent Dropbox, ou ont l’intention d’utiliser Dropbox en tant que service approuvé de partage de fichiers pour leur entreprise.

IBM a récemment interdit l’usage de Dropbox, d’iCloud et le transfert d’emails professionnels par leurs employés vers leur boite d’emails personnelle. La raison de cela est qu’il s’est avéré que ses employés avaient un manque de connaissances énorme sur ce qui constitue un risque actuellement.

Les trois raisons les plus importantes pour lesquelles les employés deviennent une menace de sécurité sont :
– L’utilisation de programmes non-autorisés sur des appareils ou du matériel d’entreprise
– Le transfert de dossiers entre les ordinateurs professionnels et personnels afin de travailler de chez soi
– La mauvaise utilisation des mots de passe – le partage de mots de passe ou l’utilisation du même mot de passe pour les applications professionnelles et personnelles

Les gens trouveront toujours un moyen d’utiliser l’appareil ou l’application qu’ils veulent, en dépit des conséquences sur la sécurité. Pour cette raison ils doivent être formés à utiliser la technologie d’une manière nouvelle qui puisse assurer aussi la sécurité des données. Les entreprises doivent faire quelques concessions, bien sûr. La connaissance – des appareils et applications – est vitale et elles doivent assurer la formation sur la sécurité des données et sur les bonnes pratiques autour de la sécurité de l’information. Si on offre une meilleure expérience d’utilisation en toute sécurité aux employés, alors ils sont moins enclins à trouver des moyens pour les contourner. Combiné à des recommandations de sécurité, les entreprises peuvent mettre en place une mobilité sécurisée sans employer une stratégie de contrôle fort.

Une approche “conteneur” de la sécurité mobile supprime la grande majorité des possibilités de fuites de données. Les employés peuvent exploiter au maximum un terminal pendant leur temps personnel et peu importe ce qu’ils font avec, les données d’entreprise sensibles resteront compartimentées en toute sécurité au sein de l’appareil. Pour poursuivre notre exemple concernant le partage de fichier, Box a une application sécurisée via une plateforme de sécurisation professionnelle. Celle-ci est contenue dans un compartiment sécurisé, afin de prévenir toute fuite de données, mais permet un accès aux documents professionnels à tout moment et de partout. (Par Florian Bienvenu, VP Europe Centrale et Europe du Sud de Good Technology)

Chiffrement, cryptage, Espionnae, Fuite de données

Surveillance de masse : Graves complicités françaises publiques et privées

Communiqué de presse de la Quadrature du Net – Depuis mai 2013, notamment grâce aux documents fournis par le lanceur d’alerte Edward Snowden, les révélations concernant les pratiques extra-légales des autorités françaises en matière de surveillance des communications Internet se multiplient. Après le vote de la loi de programmation militaire fin 2013 [1] et les dernières révélations [2] concernant la collaboration entre les services de renseignement et l’opérateur Orange, le gouvernement doit mettre fin à son silence assourdissant pour permettre la tenue d’un débat démocratique sur l’étendue des pratiques de surveillance. Au-delà, la France doit œuvrer à réformer sa législation afin de respecter le droit international en matière de protection de la vie privée.

Dans son édition du 21 mars dernier, Le Monde s’appuie sur les documents fuités par Edward Snowden pour lever un peu plus le voile sur les pratiques des autorités françaises en matière de surveillance d’Internet. Le journal met notamment en exergue la collaboration [2] de l’opérateur Orange et les services de renseignement français, lesquels disposeraient « d’un accès libre et total à ses réseaux et aux flux de données qui y transitent » en dehors de tout cadre légal. Ces informations témoignent des dérives auxquelles aboutit le passage au secteur privé des hauts fonctionnaires en charge de fonctions régaliennes liées à la sécurité nationale.

Elles s’ajoutent aux informations déjà publiées concernant notamment le transfert massif de données entre les services français et la NSA américaine (accord LUSTRE [3]), ou la mise en place [4] d’un large dispositif d’interception des flux circulant sur les réseaux internationaux avec l’appui d’entreprises comme Alcatel-Lucent ou Amesys. Le Monde indique être en possession de nombreuses pièces encore inexploitées et à partir desquels ses journalistes poursuivent leur travail d’investigation.

Alors que depuis plus de huit mois est détaillée l’étendue des pratiques de surveillance d’Internet par les États-Unis et le Royaume-Uni, mais aussi par leurs alliés comme la France ou l’Allemagne, l’absence de toute réaction politique substantielle au niveau français est révélatrice de l’hypocrisie des autorités. Ainsi, le président de la République François Hollande s’est adonné à de ridicules gesticulations politiques en réclamant sans succès un accord [5] encadrant les pratiques d’espionnage des dirigeants entre les États-Unis et les pays de l’Union européenne et en appuyant l’appel [6] d’Angela Merkel à l’édification d’un « Internet européen ».

Pour autant, il se refuse à soutenir la seule mesure de poids immédiatement applicable et efficace pour œuvrer à la protection des données personnelles des citoyens européens, à savoir la suspension de l’accord « safe-harbor » [7] entre l’Union européenne et les États-Unis, et que défend [8] le Parlement européen.

Quant au gouvernement, le lancement de son opération de communication politique [9] pour vanter son action dans le domaine numérique ne doit tromper personne : le projet de loi sur les « libertés numériques » promis il y a un an s’annonce [10] comme un texte avant tout répressif (le mot « liberté » semble d’ailleurs avoir opportunément disparu de son intitulé), tandis que le premier ministre Jean-Marc Ayrault se fait l’avocat de politiques inconséquentes [11] en matière de chiffrement des correspondances électroniques. Dans le même temps, les responsables politiques français ont l’audace de se doter d’une législation d’exception en matière de surveillance d’Internet au travers de la scandaleuse Loi de programmation militaire [12], tout en refusant de collaborer avec la commission d’enquête du Parlement européen consacrée aux révélations d’Edward Snowden [13]. Ce jeu de dupes doit cesser.

« Depuis des mois, l’exécutif français s’enferme dans un silence assourdissant pour échapper au débat démocratique sur la surveillance d’Internet. Cette position n’est plus tenable au vu des éléments qui s’accumulent et qui démontrent l’inquiétante fuite en avant dans ce domaine. Il est grand temps que l’ensemble des acteurs institutionnels – qu’il s’agisse de François Hollande, du gouvernement, du Parlement, de l’autorité judiciaire ou même de la CNIL – soient mis devant leurs responsabilités pour que ces graves violations des droits fondamentaux cessent et que leurs responsables soient condamnés », déclare Félix Tréguer, cofondateur de La Quadrature du Net.

« Au delà d’un débat inévitable sur la surveillance d’Internet et la nécessaire souveraineté sur nos infrastructures, la maîtrise de nos communications ne sera possible que par l’utilisation de logiciels libres, du chiffrement de bout en bout et de services décentralisés. En parallèle, une réforme législative s’impose afin que la France respecte le droit international [14] et que les services de renseignement fassent l’objet d’un contrôle adéquat. », conclut Benjamin Sonntag, cofondateur de La Quadrature du Net.

* Références *
1. https://www.laquadrature.net/fr/lpm-promulguee-la-derive-du-politique-vers-la-surveillance-generalisee
2. https://www.laquadrature.net/fr/lemonde-espionnage-comment-orange-et-les-services-secrets-cooperent
3. https://www.laquadrature.net/fr/lemonde-surveillance-la-dgse-a-transmis-des-donnees-a-la-nsa-americaine
4. http://reflets.info/amesys-dgse-drm-et-si/
5. https://www.laquadrature.net/fr/silicon-hollande-a-obama-les-ecoutes-de-la-nsa-c-est-deja-oublie
6. https://www.laquadrature.net/fr/francetvinfo-pourquoi-l-internet-europeen-d-angela-merkel-ne-rime-a-rien
7. https://fr.wikipedia.org/wiki/Safe_Harbor
8. https://www.laquadrature.net/fr/la-commission-europeenne-doit-entendre-lappel-du-parlement-contre-les-programmes-de-surveillance
9. http://www.pcinpact.com/news/86409-l-executif-prepare-offensive-communicationnelle-sur-numerique.htm
10. http://www.lesechos.fr/entreprises-secteurs/tech-medias/actu/0203381114149-les-premieres-pistes-de-la-loi-numerique-658053.php
11. http://www.numerama.com/magazine/28502-les-e-mails-de-france-seront-chiffres-et-stockes-en-france.html
12. https://www.laquadrature.net/fr/lpm-la-derive-du-politique-vers-la-surveillance-generalisee
13. Le rapport de la commission d’enquête du Parlement européen, adopté le 12 mars dernier, indique ainsi que « les parlements britannique et français n’ont (…) pas souhaité participer aux travaux de la commission » et précise que les responsables de la DGSE et de la DGSI ont refusé d’être auditionnés :
http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-//EP//TEXT+REPORT+A7-2014-0139+0+DOC+XML+V0//FR#title5
14. https://fr.necessaryandproportionate.org/text