Archives de catégorie : Fuite de données

cryptage, Cybersécurité, Espionnae, Facebook, Fuite de données, Vie privée

Espionner via l’API d’un HTML5

2 commentaires

Une vulnérabilité découverte dans un API d’HTML5 permet de connaitre l’historique de navigation d’un internaute. Cette possibilité a été annoncée dans un document diffusé par le Context Information Security sous le titre de « Pixel Perfect Timing Attacks with HTML5« . Le problème se situe dans l’API requestAnimationFrame.

Cet API consulte l’historique de votre navigateur pour différencier un site web que vous avez visité et celui qui vous aller visiter. Seulement, il a été découvert qu’il était aussi possible, pour un site malveillant, de mettre la main sur l’historique de navigation de chaque visiteur. Si vous couplez requestAnimationFrame à une interception d’ip et quelques informations privées, vous voilà avec la vie privée numérique de l’internaute bien mal en point.  Côté conseil, utilisez le monde « Navigation privée » de votre navigateur.

Facebook, Twitter, Google, Linkedin, Bong, Amazon, Mozilla, Reddit, souffrent de cette potentialité malveillante. Cette technique s’est avérées très efficaces, permettant à un site malveillant de contrôler des milliers d’URL par seconde pour voir si un utilisateur a visité les principaux portails du web.  En 2010, David Baron a publié une proposition pour prévenir de telles attaques, en limitant les styles (css) qui peuvent être appliquées aux liens visités et veiller à ce que l’API JavaScript appelle que les styles des éléments à visiter. Les correctifs avaient été mis en œuvre dans tous les principaux navigateurs. Sauf que la faille découverte permet aussi de lire, à distance, les pixels et, avec un peu de malice, permettre à un pirate de lire ce qui s’affiche dans le navigateur. Le White paper de CIS.

Arnaque, Cyber-attaque, Entreprise, Fuite de données, Leak

Les menaces et la sécurité des centres d’assistance technique

Un commentaire

Le SANS Institute of Research a dévoilé les résultats d’une étude sponsorisée par RSA, la division sécurité de EMC, portant sur les menaces et la sécurité des centres d’assistance technique (Les help desks, ndlr datasecuritybreach.fr).

Les help desks sont le point d’entrée des employés pour la résolution des problèmes informatiques. Pourtant on constate que la sécurité informatique reste encore assez à améliorer ; les téléassistants étant mesurés à la rapidité de résolution des problèmes. Ainsi ces centres sont aujourd’hui une voie facile pour les hackers de mettre un pied dans l’entreprise. L’étude réalisée auprès de 900 professionnels de l’informatique dans le monde, tous secteurs confondus, souligne les menaces et le niveau de sécurité des centres d’assistance technique :

–          Pour 69% des répondants, l’ingénierie sociale est le premier moyen pour les hackers d’entrer dans les entreprises via les help desks.  L’ingénierie sociale étant une forme d’acquisition déloyale d’information : les informations basiques et accessibles à tous comme le nom, prénom et numéro d’employé sont souvent le seul moyen d’identifier les collaborateurs.

–          Un tiers des professionnels interrogés atteste que la sécurité de leur help desk reste très faible.

–          43% ne prennent pas en compte le paramètre sécurité lorsqu’ils calculent le budget de leur help desk.

Data Security Breach rappelle qu’afin de prévenir les attaques, les entreprises doivent protéger leurs données tout en répondant aux attentes des employés et ainsi revoir la sécurité de leur help desk. Pour cela RSA recommande :

–          L’automatisation et la mise en libre-service des options pour les questions courantes de l’utilisateur telles que la réinitialisation du mot de passe afin de réduire les erreurs et les vulnérabilités qui conduisent à des failles informatiques et le vol de données

–          Des formations solides et continues du personnel pour apprendre à repérer et réagir à d’éventuelles attaques

–          Des outils avancés qui permettent des méthodes d’authentification plus solides en utilisant des ressources de données dynamiques. (SANS Institut)

BYOD, Entreprise, Fuite de données, Sauvegarde, Vie privée

Messages personnels dans un ordi pro ne sont plus personnels

3 commentaires

Le site juridique Legalis.net revient sur une décision de la cour de cassation concernant les emails envoyés depuis l’ordinateur personnel d’un salarié, avec son adresse personnelle, puis transférés sur son ordinateur professionnel, sans qu’ils soient identifiés comme « personnels ». Bilan, la justice française a décidé que ces courriers étaient présumés professionnels. Telle est la conclusion qui ressort de l’arrêt de la Cour de cassation du 19 juin 2013. La Cour de cassation a affiné sa jurisprudence qui figure dans le premier attendu : « les dossiers et fichiers créés par un salarié grâce à l’outil informatique mis à sa disposition par son employeur pour l’exécution de son travail sont présumés, sauf si le salarié les identifie comme étant personnels, avoir un caractère professionnel de sorte que l’employeur peut y avoir accès hors sa présence ». Bref, cette décision pourrait très bien être prise en compte lors de la visite de votre Facebook, via un ordinateur du bureau.

Entreprise, Fuite de données, Sauvegarde

Boulette chez Pacific Host : BDD ouverte sur la toile

Un commentaire

Voilà le genre de boulette qui aurait pu faire mal entre de mauvaises mains, heureusement pour Pacific Host, la fuite n’a été vue, à première vue, que par la rédaction de DataSecuriyBreach.fr. Lors d’une mise à jour vers MySQL 5.5, vendredi 19 juillet, un paramètre incorrect dans la configuration a fait planter un des serveurs de l’hébergeur. Une « boite » numérique comprenant pas moins de 1.500 sites Internet.

La société d’hébergement s’est expliquée sur cette porte ouverte. « Nous avons dû supprimer certains de nos logiciels de sécurité pour permettre l’accès à la prise mysqld. » Bilan, une erreur MySQL (111) s’affichait et le fichier localhost.sql pouvait se copier comme pour rire.

Le problème a été corrigé. La rédaction de Data Security Breach pense être l’unique entité à avoir vu le contenu de la BDD ouverte (emails, sites, logins, mots de passe, clé d’activation, IP, identifiant de smartphone, navigateurs utilisés, …) ou pas !

Cloud, Fuite de données, Logiciels, Sauvegarde

Toujours de l’inquiétude face aux services Cloud

Les questions de la confidentialité « dans le nuage » ont été mises en avant au cours des dernières semaines. DataSecurityBreach.fr vous en parlait. Cependant, avant même d’entendre parler de PRISM, les consommateurs étaient inquiets de la sécurité et de la confidentialité des contenus qu’ils stockent dans le Cloud.

Une récente étude F-Secure montre que 6 consommateurs sur 10 s’inquiétaient de la sécurité des contenus stockés par les réseaux sociaux et les services de stockage Cloud avant même que les informations sur PRISM ne fassent les unes des journaux. L’enquête F-Secure Digital Lifestyle Survey 2013 (6000 personnes interrogées dans 15 pays en avril*) démontre que ce sont les jeunes utilisateurs ainsi que les multi-screeners (personnes utilisant simultanément plusieurs appareils dotés d’un écran) qui sont les plus préoccupés par le sujet.

Selon l’enquête que Data Security Breach a pu consulter, les cinq premiers fournisseurs qui proposent à leurs utilisateurs de confier leurs contenus sont : Facebook, Youtube, Google Drive, Dropbox et à égalité au 5ème rang : Microsoft SkyDrive et Apple iCloud. Cependant, les résultats montrent que mettre en ligne des données sur les réseaux sociaux ou des clouds stockage ne signifie pas que les utilisateurs leur font confiance.

59% des consommateurs ont peur qu’un tiers puisse accéder à leurs données stockées chez ces fournisseurs. 60% craignent que les fournisseurs de ce type de service vendent des données à des entreprises tierces et 62% pensent que la confidentialité de leurs activités en ligne pourrait ne pas être respectée. Enfin, 63% des sondés s’inquiètent de la vulnérabilité de la technologie des fournisseurs de stockage. Les pays Européens sont en général moins inquiets que ne le sont les autres pays du globe. Par exemple, seuls 38% des britanniques et 40% des néerlandais s’inquiètent d’un accès non autorisé à leurs contenus. A titre de comparaison, le même sujet inquiète 69% des américains, et 78% des brésiliens.

Autres statistiques intéressantes : les personnes âgées entre 20 et 30 ans présentent plus d’inquiétudes que les personnes âgées de 50 à 60 ans, et les multi-screeners sont eux aussi plus préoccupés. On notera que ce sont ces mêmes personnes qui sont les plus friandes des services Cloud.

33% des consommateurs déclarent avoir la sensation de perdre le contrôle de leurs données. En Belgique, pas moins de 51% des interrogés ont estimé qu’ils ne contrôlaient plus leurs données, alors que ce n’est le cas que de 20% des sondés vivant au Royaume-Uni.

« Ces résultats reflètent la connaissance des consommateurs quant aux enjeux du stockage dans le Cloud aujourd’hui », explique à Datasecuritybreach.fr Timo Laaksonen, Vive President, Content Cloud chez F-Secure. « Cela souligne une fois de plus la nécessité de sécuriser les services de Cloud privés, pour lequel sécurité doit rimer avec confidentialité de vos données ».

Android, BYOD, Chiffrement, Cybersécurité, Fuite de données, ios, Sauvegarde, Sécurité, Téléphonie

Configurer efficacement la double identification Google

8 commentaires

 « L’attaque est le secret de la défense, la défense permet de planifier une attaque. », voilà un adage qui plait à l’oreille de l’équipe de DataSecurityBreach.fr. Il colle parfaitement à l’ambiance numérique. Comme celle concernant la sécurité de son compte Google. Dire que la double identification pour un compte webmail, Twitter, Facebook ou tout autres services web devient indispensable est un doux euphémisme. Et ce n’est pas ce pauvre banquier de Dubaï qui dira le contraire. Un pirate informatique a réussi à se faire transférer 15.000 $ sur un compte bancaire basé en Nouvelle-Zélande en communiquant avec le banquier via un compte gMail piraté. Bref, n’attendez pas le passage d’un pirate. Mettez en action la double identification Google, qui, en regardant de plus prêt est en faite une quadruple identification.

Configurer les numéros de téléphones de secours

DataSecurityBreach.fr vous conseille un numéro portable et un numéro fixe. Dans le premier cas, pour recevoir par SMS le code de secours. Dans le second cas, recevoir le précieux secours via un téléphone fixe et une voix humaine.

Codes de secours à imprimer

Il vous permet de disposer de 10 codes si vos téléphones ne sont pas disponibles. 10 séries de 8 chiffres qui vous permettront de vous connecter à votre compte. Mots de passe spécifiques aux applications.

Google Authentificator

Avec les téléphones portables, data security breach vous en parle souvent, les accès malveillants se multiplient. Google propose « Google Autentificator« . Une application pour iOS, Android, … qui donne accès à un code d’identification unique. Code valide durant 1 minutes à rentrer, en plus de votre mot de passe habituel. Bref, voilà une sécurité digne de ce nom qui prend quelques minutes à configurer mais permet de ne pas passer des heures, quand ce ne sont pas des jours à sauver les meubles après le passage d’un pirate informatique.

Cyber-attaque, Cybersécurité, Fuite de données, Patch

Piratage de l’Internet des objets, mais pour la bonne cause !

2 commentaires

Lookout – leader des solutions de protection des particuliers et des professionnels utilisant des appareils mobiles – a dévoilé à Data Security Breach une faille de sécurité dans les lunettes Google Glass, transmise à Google et corrigée depuis par l’éditeur. Les nouvelles technologies nous facilitent la vie à un point inimaginable il y encore quelques années, qu’il s’agisse de véhicules électriques à commande vocale ou de thermostats sans fil. Notre soif de nouveautés entraîne le regain de l’informatique embarquée et elle est à l’origine d’une révolution dans le domaine des réseaux.

Les objets du quotidien se voient équipés de capteurs qui leur permettent d’interagir avec l’environnement extérieur, de processeurs pour y réfléchir et d’interfaces réseau pour pouvoir en parler. En se connectant les uns avec les autres et en partageant ce qu’ils voient, entendent et enregistrent, ces nouveaux appareils intelligents inaugurent le Nouvel Age de l’Internet. L’Internet des objets prend désormais le pas sur l’Internet des ordinateurs. Au 30 juin 2010, il y avait environ 1,9 milliard d’ordinateurs connectés au Net. A titre de comparaison, on comptait en 2012 environ 10 milliards d’objets connectés.

Les bienfaits que ces appareils intelligents nous apportent au quotidien sont incommensurables. Reste qu’en les dotant d’une telle intelligence et perception, nous modifions leur nature. Des objets ordinaires d’apparence familière, sans particularités sur le plan de la sécurité, se muent soudain en gardiens de données sensibles, qu’elles soient à caractère financier ou concernent des facettes de notre vie privée. Ainsi, si un thermostat autonome traditionnel fixé au mur d’une maison n’intéressera jamais des pirates, la donne sera toute autre pour son équivalent connecté. Ce dernier peut en effet renseigner sur le nombre de personnes habitant dans la maison et sur les technologies connectées au réseau. En cas d’absence des occupants, l’habitation deviendra alors une proie de choix. Un nouveau type de thermostat connecté qui serait contraint à collaborer avec un million d’autres de ses pairs pourrait poser un grave problème de sécurité pour le réseau électrique national, faisant de lui un objet de convoitises pour des terroristes. En modifiant la nature des objets, il devient crucial de pouvoir repérer les vulnérabilités et de réagir rapidement avec des mises à jour. Les objets connectés doivent ainsi être traités comme des logiciels. Lookout a étudié deux cas qui présentent deux méthodes de gestion des vulnérabilités — une bonne et une mauvaise.

Cas n°1 – Les Google Glass
Google a sélectionné ce qui fait de mieux sur le plan technologique dans le domaine des smartphones, pour concevoir un ordinateur qui se porte sous forme de lunettes. Imaginez un appareil capable de traduire dans votre langue, en un clin d’œil, des menus écrits dans une autre langue étrangère ! Imaginez un guide personnel qui identifie le bâtiment que vous êtes en train d’admirer, en vous relatant son histoire. Avec le système Glass, la technologie de reconnaissance optique des caractères qui permet à un ordinateur de lire des textes imprimés, fait figure d’antiquité. Chaque fois que vous prenez une photo, Glass recherche des données reconnaissables, les plus évidentes étant les QR codes, un type de code-barres contenant par exemple des instructions d’envoi de SMS ou d’accès à un site web hébergeant des éléments capables de modifier les paramètres de l’appareil. Google a tiré parti de ces possibilités pour permettre aux utilisateurs de configurer facilement leurs lunettes Google Glass sans l’aide d’un clavier.

C’est à ce niveau que nous avons identifié un problème de sécurité de taille. S’il est pratique de pouvoir configurer un QR code pour le système Glass et de se connecter facilement à des réseaux sans fil, il en va tout autrement si d’autres personnes peuvent se servir des mêmes QR codes pour commander aux Google Glass de se connecter au réseau Wi-Fi ou à des appareils Bluetooth de leur choix. Mais c’est malheureusement possible. Nous avons réussi à concevoir des QR codes basés sur les instructions de configuration, obtenant ainsi nos propres QR codes malveillants. Une fois photographié par un porteur de lunettes Google Glass, ce code a ordonné au système Glass de se connecter furtivement à un point d’accès Wi-Fi piégé géré par nos soins. Ce point d’accès nous a ainsi permis d’épier les connexions des Google Glass, qu’il s’agisse de requêtes en ligne ou d’images téléchargées sur le Cloud. Nous avons également été en mesure de diriger le système Glass vers une page contenant une vulnérabilité connue d’Android (version 4.0.4), nous permettant de le pirater pendant qu’il parcourait ladite page.  Les Google Glass ont été piratées par l’image d’un QR code malveillant. Cette vulnérabilité et la façon de procéder sont exclusives à Glass ; elles sont la conséquence de son appartenance à la catégorie des objets connectés.

Cas n°2 – Les pompes à insuline Medtronic
En 2011, Jérôme Radcliffe a mis au jour les vulnérabilités d’au moins quatre modèles de pompes à insuline du fabricant Medtronic, qui les exposaient à du piratage à distance. Une pompe à insuline est un appareil médical intelligent connecté, qui se substitue à la traditionnelle seringue. Le patient porte sa pompe à insuline toute la journée, à la manière d’un pager. Elle surveille en permanence l’état de la personne et diffuse régulièrement des petites doses d’insuline pour éviter les variations de glycémie. La pompe à insuline fonctionne souvent de pair avec un système de mesure du glucose en continu (CGM) doté de capteurs, qui transmet à distance les données à la pompe afin qu’elle calcule la dose d’insuline à délivrer. C’est là tout l’intérêt de la connexion sans fil. En permettant à la pompe à insuline et au CGM de communiquer ainsi, le porteur n’a pas à s’encombrer de câbles. Il peut de plus utiliser d’autres appareils pour surveiller son état.

Malheureusement, c’est à ce niveau-là qu’a été décelée la faille de sécurité. Lorsque le fabricant a permis à ces appareils de communiquer, il n’a opté que pour un seul point de sécurité : un numéro de série valable requis pour autoriser les échanges. De fait, un attaquant qui utilise un équipement radio pour surveiller le trafic de données entre le CGM et la pompe à insuline du patient peut « réécouter » ces échanges, désactiver la pompe ou, pire encore, l’induire en erreur pour la pousser à diffuser des doses inappropriées d’insuline.

Mise au jour et traitement des vulnérabilités
Ce sont deux exemples d’objets ayant des failles de sécurité du fait qu’ils sont connectés. L’étude des différences entre ces appareils connectés et leurs prédécesseurs non connectés, à partir du moment où ils sont connectés et où leur « raison d’être » évolue et permet de mettre en évidence de nouvelles zones de faiblesse. Cela donne aussi une chance de voir les détournements possibles – et imprévus – de l’appareil. La mise au jour des vulnérabilités n’est pas le seul défi que pose l’Internet des objets. Pour assurer la protection des utilisateurs, mais aussi la stabilité et l’expansion de l’écosystème, ces vulnérabilités doivent être prises en charge. L’application de correctifs, méthode traditionnellement utilisée, est encore assez peu courante dans l’univers des appareils embarqués. Historiquement, les logiciels à bord sont des microprogrammes (ou firmware) installés en usine ; ils ne sont que très rarement mis à jour. La tâche s’annonce difficile si l’on envisage de définir un processus de traitement des vulnérabilités décelées dans des milliards d’objets connectés. Fort heureusement, les longues années d’application de correctifs, dans le domaine de l’informatique, ont permis de tirer de nombreuses leçons. Le processus d’installation de correctifs a mis des années à s’affiner, émaillé de nombreux incidents de parcours. Il faut veiller à ne pas répéter les mêmes erreurs avec l’Internet des objets. L’une des principales leçons étant que les problèmes de sécurité décelés sur des appareils doivent être traités comme étant au niveau du logiciel et non du produit ou du matériel. C’est le seul moyen, pour les fabricants, de s’emparer efficacement du problème étant donné son ampleur. Les entreprises qui développent des logiciels système comprendront cet impératif, mais pas les autres, qui auront du mal à faire face à ces problèmes inhabituels pour elles et à la complexité induite par la gestion des millions d’objets. Si l’on regarde les fabricants responsables des objets en question, le scénario sera celui-là.

Google Glass
Nous avons informé Google de nos découvertes le 16 mai dernier. Google a pris acte et ouvert un ticket (pour bug) auprès de l’équipe de développement du système Glass. L’entreprise a fait preuve d’une très grande réactivité pour corriger le problème : la faille a été comblée avec la version XE6, publiée le 4 juin. Lookout a recommandé à Google d’enclencher l’exécution des QR codes sur demande de l’utilisateur ; cette préconisation a été acceptée. La réactivité de Google témoigne de l’importance que l’entreprise accorde au respect de la vie privée et à la sécurité de son appareil, et donne le ton en matière de sécurité des appareils connectés.

Pompes à insuline Medtronic
Jérôme Radcliffe a fait part de sa découverte à Medtronic, qui après avoir montré de l’intérêt pour les vulnérabilités décrites, a finalement rejeté leur caractère sérieux. L’entreprise a avancé que ces failles n’avaient pas été exploitées et qu’il serait d’ailleurs très difficile techniquement parlant de lancer une attaque. Résultat, deux ans après, les modèles Medtronic Paradigm 512, 522, 712 et 722 de pompes à insuline peuvent toujours être la cible d’attaques à distance.

Google, pour sa part, a montré qu’il dispose d’une infrastructure efficace de traitement des vulnérabilités qui lui permet d’identifier les failles, de les corriger et de mettre à jour rapidement ses appareils en toute discrétion. Google est l’une des entreprises qui se targue de pratiques en matière d’application de correctifs parmi les meilleures de l’industrie du logiciel. De fait, les entreprises qui embarquent des capteurs dans leurs appareils ne peuvent se permettre de mal gérer les failles de sécurité dans un monde où l’informatique ambitionne de quasiment fusionner avec l’utilisateur. Si Google avait manqué de réactivité, un pirate aurait pu profiter de l’aubaine pour s’en prendre aux porteurs de ses lunettes, décrédibilisant du même coup un nouveau « gadget » prometteur.

Les développeurs et concepteurs d’appareils embarqués doivent prendre exemple sur Google, tant du point de vue de la prise en charge des failles que de l’importance accordée aux objets connectés portables équipés d’un capteur. Il est par ailleurs essentiel de penser à la sécurité des appareils et à leur mise à jour automatique dès la phase de conception.

L’Internet des objets inaugure une nouvelle ère technologique : un futur où tout sera connecté et pourra interagir avec les informations plus étroitement que jamais. Si nous nous appliquons, un large champ de possibilités s’ouvrira à nous. Dans le cas contraire, nous en tuerons tout le potentiel sans jamais en tirer les bénéfices. (LockOut)

Cyber-attaque, Facebook, Fuite de données, Hacking, Leak, Sauvegarde, Twitter

L’armée électronique Syrienne pirate True Caller

La Syrian Electronic Army, qui a fait pas mal parler d’elle en piratant d’importants comptes Twitter, vient de ressortir de son trou numérique pour annoncer le piratage de l’annuaire collaboratif TrueCaller. Truecaller est un annuaire collaboratif mondial qui tient dans votre poche et vous permet de contacter facilement des personnes à travers toute la planète. Bref, une mine d’or pour malveillants.

La SEA a annoncé sur son Twitter qu’il avait mis la main sur les données du site. Sept bases de données auraient été volées. La principale BDD pèserait 450GB. La BDD, baptisée Profiles, tiendrait dans 4Go. Le base de données contiendrait, selon les hacktivistes, les codes d’accès de plusieurs millions de Facebook, Twitter, Linkedin, de comptes Gmail.

True Caller explique sur son blog ne pas stocker « les mots de passe, informations de carte de crédit, ou toute autre information sensible sur nos utilisateurs. a pu lire datasecuritybreach.fr, Il est faux que les attaquants ont pu accéder à Facebook de nos utilisateurs, Twitter, ou autres mots de passe de médias sociaux.« 

L’entreprise américaine explique enquêter sur l’étendue de l’accès non autorisé dans ses bases de données. « Nous pensons qu’il est essentiel de faire connaître l’attaque, car il est important que nous gardions fidèle notre honnêteté et notre intégrité« .

Android, Biométrie, BYOD, Chiffrement, cryptage, Cyber-attaque, Cybersécurité, Fuite de données, ios, Leak, Sécurité

Connection VPN, entre 2 clés USB, en 60 secondes

Dans la nouvelle émission de ZATAZWeb.tv, numéro estival, il est proposé plusieurs sujets qui devraient vous intéresser. En plus de découvrir un jouet chinois qui permet de hacker certaines cartes RFID, l’émission ZATAZ Web TV revient aussi sur les livres à emmener avec soit à la plage, dont le dernier du moment des Editions ENI, Malware.

Particulièrement intéressant, les clés USB iTwin. L’émission a testé la version professionnelle de ces clés USB qui permettent de créer un accès VPN, entre deux portables.  iTwin est composé de deux parties. La première clé est insérée dans l’ordinateur de bureau, et le second – à la maison, par exemple. La connexion, en quelques secondes, est automatiquement établie sous la forme d’une connexion VPN sécurisée entre les deux machines.

A noter que l’émission profite des beaux jours pour lancer le grand jeu de l’été. A gagner : deux Playstation 4 de Sony ; des tee-shirts Nuit du hack et ZATAZ.COM et des livres. Lancement de notre grand jeu de l’été, lundi 22 juillet. Les premiers indices se trouvent déjà dans l’émission.

BYOD, Cloud, Entreprise, Fuite de données, Sauvegarde, Sécurité

Mon terminal mobile sur le lieu de travail

Un commentaire

Les salariés qui utilisent leur propre terminal mobile au bureau sont inquiets à l’idée que leur employeur puisse accéder à leurs informations personnelles. C’est ce qu’a pu constater Data Security Breach dans le rapport reçu d’Aruba Networks, leader de l’accès réseau pour l’entreprise mobile. En France, cette méfiance se traduit en faits concrets. DataSecurityBreach.fr a pu constater que 24% des salariés français déclarent que leur employeur ne sait pas qu’ils utilisent un terminal personnel au travail ; 57% d’entre eux ne déclareraient pas à leur employeur le nouveau terminal qu’ils envisagent d’utiliser au travail ; 65% déclarent que leur employeur n’installe pas de logiciel de sécurité supplémentaire sur leur terminal ; 48%  ne signaleraient pas immédiatement une fuite de données professionnelles.

Le rapport de l’étude « Employees tell the truth about your company’s data », menée auprès de plus de 3 000 salariés dans le monde, révèle que près de la moitié des salariés européens (45 %) redoutent la perte de données personnelles, une crainte que partagent 40 % des personnes interrogées au Moyen-Orient et 66 % aux Etats-Unis. Par ailleurs, ils sont 34 % en Europe, 35 % au Moyen-Orient et 51 % aux Etats-Unis à déclarer que leur service informatique ne prend aucune mesure pour assurer la protection des dossiers et applications professionnels se trouvant sur leurs terminaux personnels.

Ces inquiétudes font que de nombreux salariés rechignent à mettre leur terminal personnel entre les mains du service informatique, mettant ainsi en danger les données de leur entreprise. Près d’un salarié européen sur six (soit 15 %) déclare n’avoir même pas prévenu son employeur qu’il utilise un terminal personnel au travail. Ils sont 17 % dans ce cas au Moyen-Orient et en Amérique.

Encore plus inquiétant pour les entreprises : 13 % des salariés européens, 26 % au Moyen-Orient et 11 % aux Etats-Unis avouent qu’ils n’informeraient pas leur employeur si leur terminal était corrompu, même si cela entraînait une fuite de données professionnelles. Ils sont par ailleurs 40 % en Europe, 41 % au Moyen-Orient et 36 % en Asie à affirmer qu’ils ne signaleraient pas immédiatement une fuite de données.

Cette réticence s’explique par la perception négative que les salariés ont du service informatique de leur entreprise. Ils s’inquiètent plus particulièrement de ce que le personnel informatique pourrait faire de leur terminal et des données qu’il contient. 25 % des salariés européens interrogés, 31 % au Moyen-Orient et 45 % aux Etats-Unis sont inquiets à l’idée que le personnel informatique accède à leurs données personnelles, et ils sont 18 % en Europe et 26 % au Moyen-Orient à craindre que leur service informatique ne fouille dans leurs données privées s’ils lui confiaient leur terminal.

Lorsqu’on leur demande comment elles réagiraient si le personnel informatique de l’entreprise accédait à leurs données personnelles, près de la moitié des personnes interrogées en Europe et au Moyen-Orient répondent qu’elles seraient en colère, tandis qu’elles seraient 41 % en Europe, 47 % au Moyen-Orient et 46 % aux Etats-Unis à percevoir cela comme une violation.

Ben Gibson, directeur marketing chez Aruba Networks, a déclaré à datasecuritybreach.fr : « L’étude menée des deux côtés de l’Atlantique montre que les employés et les services informatiques jouent avec la sécurité des données, mais cela n’est pas uniquement le fait du hasard. Pour résumer : autant les salariés acceptent mal le pouvoir que les employeurs exercent aujourd’hui sur leurs données personnelles, autant ils sont indifférents à la sécurité des données de l’entreprise. »

« L’utilisation de terminaux électroniques personnels pour un usage professionnel (BYOD) est devenue aujourd’hui une réalité face à laquelle les entreprises doivent adopter des solutions pour, d’un côté, garantir le caractère privé des données des employés et, de l’autre, exercer un contrôle plus étroit sur le réseau afin de s’assurer qu’aucune information sensible ne puisse être divulguée, le tout sans perturber l’expérience de l’utilisateur », a-t-il conclu à Data Security Breach.

Il existe clairement un fossé entre ce que les employés veulent et ce dont les services informatiques des entreprises ont besoin. Créer une véritable séparation entre données personnelles et données de l’entreprise contribuerait fortement à résoudre ces problèmes et à tranquilliser les salariés.

A noter que l’éditeur de solutions de sécurité informatique AVG a mis en ligne, dans le Google Play, un outil qui permet de désinstaller, efficacement, toutes les applications que l’on souhaite détruire.