La commission « commerce international » (INTA) du Parlement européen a adopté une résolution [1] sur l’accord commercial EU-US proposé – le “Trans-Atlantic Free Trade Agreement” (TAFTA), aussi appelé le “Transatlantic Trade and Investment Partnership” (TTIP). Continuer la lecture de Le Parlement européen ouvre la porte à la répression au nom du droit d’auteur dans TAFTA
Archives de catégorie : Entreprise
Actualités liées à la sécurité informatique des entreprises, PME, PMI, TPE, association, communes.
Le top 10 des arnaques sur Facebook
Data Security Breach a reçu un nouvelle étude sur les arnaques se propageant sur Facebook, les plus répandues à l’échelle mondiale étant de type « qui a vu mon profil ». En seconde position et parmi les stars les plus dangereuses pour la sécurité de votre compte : Rihanna et sa fausse sex tape. Continuer la lecture de Le top 10 des arnaques sur Facebook
Obliger les entreprises à notifier les attaques informatiques qu’elles subissent
Le livre blanc de la défense rendu public le 29 avril par le gouvernement, prévoit une loi obligeant les entreprises non seulement à se doter d’outils de détection et de protection de leurs données, mais aussi à signaler toute attaque qu’elles subissent. Continuer la lecture de Obliger les entreprises à notifier les attaques informatiques qu’elles subissent
Fuites de données : 263 millions d’euros perdus en France
Les cyber-attaques sur les infrastructures de confiance exposent les entreprises françaises à des pertes de l’ordre de 263 millions d’euros, selon une étude de Ponemon et Venafi. La mauvaise gestion de millions de clés cryptographiques et de certificats numériques menace la sécurité et les opérations des entreprises françaises. Continuer la lecture de Fuites de données : 263 millions d’euros perdus en France
Fuite de données via des smartphones nuirait aux entreprises
Un tiers des PME européennes estiment qu’une fuite de données via des smartphones nuirait grandement à leur activité.
Continuer la lecture de Fuite de données via des smartphones nuirait aux entreprises
Protéger l’entreprise contre les cyberattaques est insatisfaisante
En France, les professionnels de la sécurité informatique estiment que leur capacité à protéger leur entreprise contre les cyberattaques est insatisfaisante. Juniper Networks, leader de l’innovation réseaux, annonce à datasecuritybreach.fr les résultats pour la France d’une étude mondiale réalisée par l’Institut Ponemon pour le compte de Juniper Networks. En France, les entreprises interrogées peinent à se protéger contre les attaques menaçant la sécurité de leur réseau en raison du nombre de terminaux grand public et d’applications introduits sur le lieu de travail, ainsi que du manque de visibilité des systèmes. 65 % des entreprises françaises sondées estiment que la migration des systèmes sur site vers des environnements cloud constitue également une menace importante pour la sécurité de leur réseau.
Réalisée auprès de 4 774 informaticiens et responsables de la sécurité informatique dans neuf pays, dont plus de 450 professionnels en France, l’enquête identifie les problématiques auxquelles les entreprises sont confrontées face aux nouvelles menaces et à leurs difficultés à s’en prémunir. L’enquête montre que la sophistication croissante des cyberattaques, l’évolution des menaces et la crainte croissante du vol de propriété intellectuelle et de secrets professionnels stimulent les investissements dans les technologies de sécurité réseau.
De nombreux professionnels de la sécurité informatique interrogés dans le monde estiment que les entreprises sont mal équipées pour détecter, bloquer et prévenir rapidement les attaques. En France, les personnes interrogées considèrent la stratégie mise en place par leur entreprise pour protéger le réseau contre ces attaques comme « insatisfaisante ». 60 % des professionnels français interrogés sont également convaincus que les nouvelles lois européennes relatives à la protection des informations personnelles auront un réel impact sur l’ensemble des opérations de leur entreprise. Cet impact sera notamment vrai quant à l’obligation pour les entreprises de signaler un vol de données sous 24 heures, la plupart des entreprises sondées ayant fait état d’un vol de données une fois par an au cours des deux dernières années.
L’étude identifie plusieurs problématiques de sécurité réseau auxquelles les professionnels de la sécurité informatique sont confrontés aujourd’hui en France :
· Les entreprises françaises se concentrent sur les menaces internes pour gérer les risques pesant sur la cybersécurité : 43 % des professionnels interrogés en France ont déclaré que leur entreprise utilise une solution de protection de réseau pour faire face aux menaces internes (menaces émanant du réseau) ;
· Il est important de sensibiliser les employés aux nouvelles menaces et aux risques relatifs au cloud : en France, 72 % des professionnels de la sécurité informatique ont déclaré que la sensibilisation aux nouvelles menaces est une priorité pour promouvoir l’utilisation des nouvelles technologies de sécurité ;
· Les préoccupations concernant les lois européennes relatives à la protection des informations personnelles : 60 % des professionnels interrogés en France ont déclaré que les nouvelles lois européennes relatives à la protection des informations personnelles auront un impact important sur l’ensemble des opérations des entreprises et leur mise en conformité.
LivingSocial piraté : 50 millions de clients hackés
Les comptes de 50 millions de membres du site Internet d’achats en ligne LivingSocial piratés. Le pirate a exploité une injection sql pour ponctionner le contenu de la base de données. Noms, dates de naissance, mails et mots de passe chiffrés (MD5) ont été copiés par me pirate informatique. D’après LivingSocial. aucune carte de crédit, ni données bancaires n’ont été volées. LivingSocial est un site commercial américain, basé à Washington. Il offre des réductions de prix à 70 millions de clients dans le monde, notamment aux Etats-Unis, en Asie, en Europe et en Amérique Latine.
Fraude sur Internet : tous responsables !
Le e-commerce en France continue sa progression, en phase mais encore à la traîne par rapport aux marchés anglais et allemands, qui donnent le La du commerce électronique en Europe. Selon la Fevad, la croissance des ventes en 2012 a atteint 19%, poussée notamment par l’explosion du m-commerce, qui représente désormais 6% des ventes totales (2% en 2011). Avec un taux de satisfaction après achat de 98%, le e-commerce en France a désormais atteint sa maturité, et s’est définitivement installé dans le quotidien des français. Ce constat idyllique contraste fortement avec l’évolution négative du taux de fraude sur Internet. En augmentation continue depuis 2007, celui-ci atteint, selon l’Observatoire de la sécurité des cartes de paiement, le taux record de 0,34%, sans aucun signe de retournement de tendance.
Ainsi l’ensemble des paiements sur Internet ne représente que 8,4% de la valeur des transactions nationales, mais déjà 61% du montant de la fraude sur les cartes de paiement (253 millions sur 413 millions d’Euros). Un chiffre d’autant plus inquiétant que le marché français du paiement en ligne recèle encore un très fort potentiel de croissance. A titre de comparaison, la taille du marché britannique est double de celle du marché français. Tout se passe comme si un boulevard s’ouvrait devant les fraudeurs, d’autant plus grand que l’écosystème du e-commerce français dans sa globalité ne semble pas avoir la volonté de le rétrécir.
Comment en sommes-nous arrivés là et quelles sont les solutions pour y remédier ? Principale cause de la fraude : l’usurpation des numéros de cartes. Ce n’est un secret pour personne : l’origine principale de la fraude sur Internet provient de l’usurpation des numéros de cartes bancaires. Selon l’Observatoire de la sécurité des cartes, cette cause représentait déjà près de 63% du total des fraudes en 2010, loin devant les cartes volées ou les cartes contrefaites. Il est donc évident pour tout le monde que ces numéros ne sont pas suffisamment sécurisés, et qu’il reste relativement simple de les usurper. La carte bancaire n’a pas été conçue au départ pour être utilisée pour des achats à distance. Il en résulte des failles de sécurité évidentes.
Hormis tout ce qui est stocké dans la puce, tous ses identifiants sont en clair par exemple, y compris le fameux cryptogramme visuel, valable deux ans. Les différents acteurs du marché e-commerce ont-ils conscience de cette réalité ? La réponse est oui. Une série de solutions de sécurité ont d’ailleurs été conçues depuis le milieu des années 2000 pour y remédier. A commencer par e-Carte Bleue et 3D Secure, conçu par les grands opérateurs de cartes bancaires, mis en place en Europe dès 2008, visant à introduire une seconde phase d’authentification par la génération d’un code à usage unique. En outre, le standard de sécurité PCI DSS, qui regroupe un ensemble de bonnes pratiques, s’impose désormais à tous les e-commerçants. Sur les sites marchands, d’autres technologies de sécurité peuvent également être mises en œuvre, telles que les certificats SSL déjà très répandus, les systèmes Capcha ou les emails certifiés.
Les solutions anti-fraude mises en œuvre : un constat d’échec La mise en œuvre en France de ces diverses solutions de sécurité anti-fraude a-t-elle été couronnée de succès ? La réponse est clairement non. L’échec de 3D Secure dans notre pays est patent. Aujourd’hui dans sa deuxième version, ce système de sécurité pourtant efficace n’a jamais réussi à s’imposer. Certes, 40% des e-commerçants l’utilisent aujourd’hui, mais ceux-ci ne représentent qu’environ 10% des paiements par carte et 15% seulement des montants. Toutes les banques l’ont certes adopté, mais avec retard et en ordre dispersé. Leur implémentation du système s’est révélée trop complexe. De fait, le processus d’authentification n’est pas normalisé et les consommateurs doivent jongler entre plusieurs systèmes différents selon les banques, ce qui n’encourage pas la simplicité d’utilisation … Du côté des e-commerçants, le rejet est encore plus net. Toutes les grandes enseignes, c’est-à-dire la vingtaine de sites qui réalisent la grande majorité des transactions en ligne, n’ont pas à ce jour adopté le système, notamment en raison de ses conséquences sur le taux d’abandon de commande.
La norme PCI DSS n’ont plus n’a pas eu le résultat escompté. D’abord parce qu’elle n’est pas infaillible, des cas célèbres de vols massifs de données l’ont montré. Ensuite parce que la législation française ne l’impose pas formellement. Il en résulte un flou manifeste dans l’interprétation de sa liste de bonnes pratiques, notamment dans le durée de vie des données carte bancaire stockées. Certains sites les conservent pendant plusieurs années au-delà de la simple nécessité liée au paiement, voire ne les effacent jamais, ce qui augmente d’autant le risque de vol d’identifiants. D’autres systèmes de sécurité telles que l’email certifié, qui est pourtant l’arme absolue contre le « phishing », ne sont quasiment jamais utilisés.
Une seule victime : le consommateur Plusieurs raisons expliquent ce paradoxe, qui toutes convergent vers les principes élémentaires de la gestion du risque. En premier lieu, même si le coût financier de la fraude sur Internet est supporté environ à égalité par les banques et les commerçants, et non par les consommateurs, qui sont généralement remboursés, ce sont en fait ces derniers qui paient seuls les pots cassés. En effet, les banques sont assurées contre le risque de non-paiement, et répercutent le coût de cette assurance sur le prix de leurs services. De même les commerçants répercutent leurs pertes financières sur les prix de leurs produits, comme la fameuse ‘démarque inconnue’ de la grande distribution. Banques et commerçants ne sont donc pas directement impactés par la fraude, et se contentent de gérer le risque.
En second lieu, les commerçants sont avant tout concentrés sur la croissance de leurs ventes. Ils répondent aux attentes des internautes, et facilitent le processus d’achat au maximum, afin d’éviter tout abandon de panier. Résultat : les vérifications d’identité sont réduites au minimum, et la sécurisation des paiements est sacrifiée à l’autel de la simplicité d’utilisation. La montée en puissance des fonctions de ‘paiement en un clic’ sur les sites de e-commerce en est l’exemple le plus flagrant. Ces sites font tout pour simplifier la vie de leurs clients, mais la plupart ne maîtrisent pas les impacts que cela implique en matière de sécurité. La cohérence des comptes clients créés par exemple n’est quasiment jamais vérifiée.
En troisième lieu, les pouvoirs publics ne se sont jamais vraiment impliqués dans la résolution du problème. Pour 3D Secure par exemple, la Banque de France qui est pourtant garante de la sécurité des moyens de paiement, n’a pas le pouvoir d’imposer une règle précise au groupement qui gère les cartes bleues, n’ayant que le statut d’observateur. De même, l’administration n’a jamais communiqué en direction du grand public pour encourager l’adoption du système, comme ce fut le cas dans d’autres pays, ou pour le cadenas SSL.
Les acteurs doivent assumer leurs responsabilités La montée inexorable de la fraude sur Internet n’est pourtant pas une fatalité. Le cas du marché britannique en constitue un exemple éclatant. Dans ce pays, le taux de fraude en e-commerce se rapproche de celui constaté dans les points de vente ‘traditionnels’. 96% des transactions sur Internet utilisent 3D Secure, et le taux d’échec d’authentification 3D Secure ne dépasse pas 3%, alors qu’il est de 13% en France. La raison de ce succès réside dans l’établissement d’un cercle vertueux associant la mise en place d’une procédure unique d’authentification adoptée par toutes les banques et tous les opérateurs de cartes bancaires, et une adoption massive des commerçants. Pour inverser la tendance en France, plusieurs mesures de bon sens pourraient rapidement être mises en œuvre.
A commencer par une meilleure sensibilisation des consommateurs aux risques liés au paiement sur Internet. De la part des e-commerçants d’abord, qui doivent mieux informer leurs clients sur les risques qu’ils prennent lorsqu’ils saisissent des données personnelles sur Internet. Beaucoup de sites bancaires diffusent régulièrement des alertes de sécurité, aucun grand site de e-commerce ne fait de même par exemple. Il serait logique que la Fevad prenne en charge une réelle sensibilisation du grand public sur ce sujet. De la part des pouvoirs publics ensuite. Une véritable communication gouvernementale sur la sécurité des paiements devrait être développée, comme c’est le cas dans de nombreux autres pays. En France, ce sont surtout les entreprises qui sont sensibilisées sur la sécurité, et non les consommateurs. D’autre part, les banques doivent logiquement s’entendre sur une procédure unique d’authentification, simple à comprendre et à mettre en œuvre, qui permette d’obtenir l’adhésion à la fois des consommateurs et des commerçants. Enfin, les consommateurs ont également leur part de responsabilité, et doivent prendre conscience que le respect de règles élémentaires de sécurité s’impose à eux tout au long de leur acte d’achat sur Internet. Le taux de fraude ne pouvant continuer à croître indéfiniment, cette évidence finira par s’imposer. Pour l’intérêt des consommateurs comme celui de l’industrie du e-commerce, le mieux serait qu’elle le soit rapidement. (Par Fabien Dachicourt pour DataSecurityBreach.fr / RSSI de Coreye)
Les données stockées dans son réseaux
Les entreprises sont souvent impuissantes face à la protection de leur bien le plus précieux : les données stockées dans leurs réseaux. Alors que les services concernés ont souvent une bonne vue d’ensemble des données conservées au sein de la société et peuvent très facilement évaluer les dommages éventuels, une nouvelle étude commanditée par Kaspersky Lab, que datasecuritybreach.fr a pu consulter, révèle que la plupart des entreprises ont une idée peu précise des données de l’entreprise que les employés stockent sur leurs propres terminaux mobiles. Ceux-ci étant de plus en plus nombreux à utiliser des équipements personnels à des fins professionnelles, une telle méconnaissance pose des problèmes inédits.
Cette enquête, menée par TNS Infratest, révèle que, parmi les sondés en France, : seuls 33% des responsables informatique ont mis en place des règles suffisamment strictes pour disposer d’une vision complète et précise des informations stockées sur ces terminaux mobiles. 45% indiquent ne pas savoir où se trouvent toutes les données, mais avoir un aperçu raisonnable de la situation. 17% reconnaissent n’en avoir aucune idée.
Globalement, il ressort que ce sont les entreprises britanniques et espagnoles qui ont mis en place les règles les plus complètes en matière de protection des données. Ainsi : 57% des responsables interrogés au Royaume-Uni et 54% en Espagne déclarent avoir une vision complète de l’emplacement de leurs données. En Suède; ce chiffre descend à 19%. L’Espagne est également le pays présentant le plus faible nombre de responsables informatiques admettant n’avoir aucune idée à ce sujet (5%). Les entreprises scandinaves, à titre de comparaison, sont, soit très honnêtes, soit font implicitement confiance à leurs employés. En Suède (26%) et au Danemark (22%), soit un nombre exceptionnellement élevé de responsables informatiques reconnaissent ne pas avoir une idée claire des données présentes sur les terminaux mobiles.
« En cas de perte ou de vol d’un appareil mobile d’un employé, il est crucial de savoir ce qu’il contenait en termes de données et surtout de pouvoir mettre en œuvre rapidement les mesures nécessaires pour réagir efficacement », commente à datasecuritybreach.fr Tanguy de Coatpont, directeur général de Kaspersky Lab France. « Si, pour une raison ou pour une autre, il n’est pas possible de savoir où se trouvent les informations de l’entreprise, il convient au moins de pouvoir les crypter afin de les rendre inaccessibles à toute personne malveillante. »
Les entreprises sont informées trop tardivement du risque de fuite de données
Communiquer sur la disparition d’un équipement informatique ne semble pas une priorité pour tous les employés européens. Une nouvelle étude révèle que les employés belges (dont 19% attendent au moins trois ou quatre jours), néerlandais (17%) et allemands (16%) sont les plus lents à signaler la disparition d’un équipement. Leurs homologues portugais et danois sont les plus rapides (30% et 31% d’entre eux, respectivement, effectuent le signalement dans l’heure qui suit).
Seul un employé sur cinq, au sein des petites et moyennes entreprises, informe son service informatique dans l’heure qui suit la perte d’un équipement appartenant à la société, selon une enquête que Data Security Breach a pu consulter, et réalisée par TNS Infratest auprès d’un échantillon de PME européennes. Ce chiffre est encore plus alarmant sachant que la majorité des responsables informatiques sont convaincus qu’un mot de passe suffit à protéger les données sensibles stockées sur les terminaux mobiles.
En cas de vol d’un ordinateur portable, d’une tablette ou d’un smartphone d’entreprise, les malfaiteurs disposent d’au moins plusieurs heures devant eux pour tenter d’accéder à son contenu avant que le service informatique ne puisse prendre des mesures préventives ou réactives. Seuls 21% des responsables informatiques, interrogés sur le laps de temps qui s’écoule avant que leurs employés signalent la perte d’un tel équipement, pensent être informés dans l’heure qui suit. 12% estiment ce délai supérieur à une journée, ce qui laisse le temps à un cybercriminel d’extraire des données sensibles de l’entreprise stockées sur l’appareil (contacts, e-mails professionnels…), voire d’accéder à des comptes personnels en ligne (sur Twitter ou Facebook, par exemple) et de modifier les mots de passe de l’utilisateur.
« Un cybercriminel chevronné n’a besoin que de quelques minutes pour contourner une protection par mot de passe à 4 chiffres telle que celle utilisée sur la plupart des appareils, notamment les smartphones », souligne à Data Security Breach David Emm, chercheur senior en sécurité chez Kaspersky Lab. « C’est pourquoi, en cas de perte ou de vol de votre mobile, il est essentiel d’en informer votre service informatique le plus vite possible. Celui-ci pourra alors bloquer l’accès de l’appareil au réseau de l’entreprise et, dans le meilleur des cas, en effacer toutes les données. »
A cet égard, il est plutôt alarmant de constater que seulement 39% des responsables informatiques interrogés admettent que, pour la protection des terminaux mobiles, le chiffrement des données constitue une méthode bien plus efficace qu’un simple mot de passe. « Malheureusement, trop souvent, les utilisateurs n’emploient même pas de mot de passe du tout. Ou, dans le cas contraire, ils ont tendance à se servir d’un simple code PIN de quatre chiffres au lieu d’un mot de passe complexe, c’est-à-dire composé d’au moins douze signes combinant des lettres, des chiffres et des caractères spéciaux », ajoute à datasecuritybreach.fr David Emm. « L’utilisation d’un tel mot de passe fait gagner un temps précieux à l’entreprise après la perte ou le vol d’un appareil : les données professionnelles demeurent en effet protégées jusqu’à ce que l’employé signale la disparition de l’équipement et que le service informatique efface son contenu. »
Insulter votre patron, mais pas à plus de 4 personnes
Insulter son patron sur Facebook est possible, à condition que vous ne dépassiez pas un nombre d’auditeur trop important ! Legalis.net est revenu sur un arrêt de la Cour de cassation du 10 avril 2013 qui confirme que le paramétrage des comptes des réseaux sociaux constitue le critère du caractère public d’une publication. Pour la Cour, des propos qui s’adressaient à quatre personnes autorisées par le titulaire du compte Facebook utilisé ne constituent pas des injures publiques. Un employé avait, sur Facebook et MSN, tenues des propos que son ancien employeur avait qualifiait d’injure publique. La Cour de cassation a estimé que le public susceptible de les lire était trop restreint. L’injure non publique est punie d’une contravention de 38 €. L’injure publique est punie d’une amende maximale de 12 000 €.
Vers une Union européenne de la Sécurité Informatique …
Est-il temps d’inventer une « échelle de Richter » des incidents de sécurité ? Alors qu’un projet de Directive a été présenté par Neelie Kroes, commissaire européenne chargée de la société numérique et au moment où le Conseil et le Parlement européens doivent discuter de ce nouveau texte, François Lavaste, Président de NETASQ, acteur de la sécurité informatique revient pour DataSecurityBreach.fr sur cette nouvelle directive.
L’objectif de cette nouvelle Directive européenne vise à renforcer le niveau de sécurité des systèmes d’information européens et ce, de façon homogène. Au programme, la mise en place, dans chaque état membre, d’une infrastructure complète en matière de cybersécurité et une obligation de notification des violations de la sécurité des données personnelles sur 6 secteurs « cibles » qui sont les services financiers, les services internet clés, l’énergie, la santé, les transports et les administrations publiques. Alors que l’on pouvait s’attendre, par exemple, à une obligation visant à inciter les éditeurs de logiciels à « patcher» les codes défectueux, ou à des obligations pour les acteurs de la filières de mettre en place des mesures de prévention ou de sensibilisation en matière de sécurité des données et des systèmes, le texte ne prévoit, a priori, rien sur ces sujets pour le moment. « Les États membres veillent à ce que les administrations publiques et les acteurs du marché notifient à l’autorité compétente les incidents qui ont un impact significatif sur la sécurité des services essentiels qu’ils fournissent ».
Que recouvre exactement cette notion d’incidents ayant “un impact significatif” sur la SSI ?
La sécurité informatique est, de manière assez surprenante, un domaine qui n’a pas encore inventé ou imposé son « échelle de Richter ». Il existe des indices de gravité pour les vulnérabilités (faible, modéré, important, critique) mais ceux-ci sont assez basiques. Certaines entreprises de sécurité, inspirées probablement par les niveaux d’alerte du plan VIGIPIRATE en France ou par ceux du NTAS (National Terrorism Advisory System) aux Etats-Unis, publient leur propre échelle de menace (basse, medium, élevée, extrême par exemple). Ces indicateurs sont souvent subjectifs et précèdent les incidents potentiels. Cependant après un incident, aucune « échelle » de gravité n’est véritablement communément admise et utilisée. On pourrait imaginer qu’une telle échelle « a posteriori » de la gravité d’un incident de sécurité serait utile pour rapidement mettre en place, pour les victimes prévenues, les mesures à prendre et pour que les médias positionnent ces évènements de manière la plus objective possible.
L’encadrement juridique de l’utilisation de leurs équipements personnels par les salariés
Le BYOD (« Bring your own device »), ou l’utilisation par les employés de leurs équipements personnels (smartphone, pc portable, tablette tactile…) dans un contexte professionnel, est aujourd’hui une pratique courante en entreprise, qui demeure pourtant peu encadrée juridiquement. Donatienne Blin, avocat au sein du département Informatique & Réseaux du cabinet Courtois Lebel, passe en revue, pour Data Security Breach, les points de vigilance. L’accès immédiat et en toutes circonstances au système d’information de l’entreprise grâce aux BYOD améliore la réactivité et la productivité des employés.
Pourtant cette pratique souvent tolérée par les entreprises présente, en l’absence d’encadrement spécifique, des risques substantiels pesant sur la sécurité du système d’information, précisément sur la confidentialité et l’intégrité des données de l’entreprise : négligence de l’utilisateur (prêt ou perte du terminal), applications malveillantes téléchargées, virus ou failles de sécurité de l’OS (operating system) rendent possibles les accès frauduleux au système d’information par des tiers non autorisés. Chaque type de BYOD présente des risques particuliers qui devront être traités différemment.
L’utilisation des équipements personnels et l’anticipation des risques est donc une problématique majeure au sein de l’entreprise et précisément des directions juridiques et des directions des systèmes d’information. Toute perte ou altération des données personnelles peut provoquer des dommages économiques à l’entreprise, mais peut également engager sa responsabilité : l’article 34 de la loi n°78-17 Informatique, fichiers et libertés du 6 janvier 1978 impose au responsable de traitement de données personnelles de prendre toutes précautions utiles, au regard de la nature des données et des risques présentés par le traitement pour « préserver la sécurité des données et notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès.
Ainsi, dans le prolongement de la politique de sécurité mise en œuvre par les DSI (directions des systèmes d’information), les entreprises doivent encadrer l’utilisation des BYOD et garder en toutes circonstances le contrôle de l’accès au réseau et des données y étant accessibles. Cet encadrement devra se matérialiser par la mise en place d’une charte informatique, ou la mise à jour de celle-ci dès lors qu’elle serait existante, en vue d’y inclure les mesures propres à leur utilisation, applicables à l’ensemble des salariés.
Les problématiques suivantes devront y être abordées :
L’accès au système d’information de l’entreprise Compte tenu des risques (introduction de virus, fuite, perte, altération de données personnelles ou sensibles et confidentielles…) pesant notamment sur les données de l’entreprise, des règles d’accès au système d’information de l’entreprise via un équipement personnel devront être adaptées. On pourra prévoir que le salarié utilisant un équipement personnel soit obligé, préalablement à la connexion de son terminal au réseau de l’entreprise, d’avertir le DSI et de faire contrôler son équipement afin de s’assurer de sa conformité en termes de sécurité. De même, le salarié devra toujours disposer d’un équipement en état de fonctionnement, et systématiquement, télécharger les mises à jour proposées par les éditeurs (du système d’exploitation, des logiciels et des applications utilisés).
Il pourra également être imposé au salarié de protéger son équipement par mot de passe afin d’en interdire l’accès aux tiers. L’obligation de faire l’acquisition d’outils permettant de limiter les risques de sécurité pourra également être imposée au salarié : logiciel antivirus, de cryptage des données, ou encore dispositif permettant de supprimer les données à distance dès lors que les données seraient directement stockées sur l’équipement personnel du salarié. Afin d’éviter la perte définitive des données (les applications cloud le permettent, ndlr Datasecuritybreach.fr), il peut également être imposé au salarié d’installer des outils de sauvegardes journalières ou de synchronisation des données avec un autre appareil. En cas de vol, perte, ou constat quelconque d’intrusion frauduleuse sur l’équipement personnel, le salarié devra immédiatement prévenir le DSI afin qu’il prenne toutes mesures nécessaires pour protéger le système d’information de l’entreprise et les données y étant stockées.
La propriété et le contrôle des données accessibles via l’équipement personnel Il devra être précisé que toutes données professionnelles stockées ou accessibles via un équipement personnel demeureront la propriété exclusive de l’employeur. Les cas d’accès et de contrôle aux données stockées sur l’équipement personnel du salarié par l’employeur devront être précisément définis dans la charte.
Pour rappel, Data Security Breach vous énumère les règles à retenir : le salarié utilisant un équipement professionnel doit expressément identifier les éléments personnels comme tels ; à défaut d’identification explicite contraire, le contenu est considéré comme ayant un caractère professionnel et son employeur peut dès lors y accéder.
L’employeur ne peut accéder aux fichiers personnels expressément identifiés comme tels par son salarié hors la présence de ce dernier, et ce sauf risque ou évènement particulier. Il devra être imposé au salarié, en cas de départ de l’entreprise, de transférer à son supérieur hiérarchique l’ensemble des données professionnelles éventuellement stockées sur son équipement personnel. En cas d’application cloud, l’accès doit être coupé au jour du départ.
La problématique du coût ou la participation de l’entreprise aux frais payés par les salariés Dans le cas des BYOD, le coût des équipements personnels utilisés à des fins professionnelles et les éventuels frais annexes (assurance, maintenance, anti-virus, forfait téléphone/internet, logiciels indispensables à l’activité, tel que le Pack Office de Microsoft) sont de fait déportés chez les salariés. Certains coûts pourraient être partiellement pris en charge par les entreprises, dès lors qu’il est raisonnable de considérer que le salarié n’aurait pas fait l’acquisition de ces différents outils, imposés par l’entreprise, dans le cadre d’une utilisation strictement personnelle. Ces règles liées à la prise en charge totale ou partielle des coûts devront être définies et portées à la connaissance des employés. Cette problématique rejoint celle de la discrimination entre les salariés : certains salariés pourront se procurer eux-mêmes leur propre équipement tandis que d’autres ne le pourront pas pour des raisons exclusivement financières.
La durée légale du travail En utilisant son équipement personnel, notamment pour recevoir ses mails professionnels, le salarié reste connecté en permanence avec le réseau de son entreprise.Cela a pour conséquence d’augmenter la durée du travail. Or les entreprises doivent respecter la durée légale du temps de travail sous peine de sanction. La charte devra donc tenir compte du fait que l’utilisation de l’équipement personnel ne doit en aucun cas porter atteinte à la durée légale du travail applicable à chaque salarié concerné. Au même titre, aucune sanction ne devrait découler d’une absence de réactivité d’un salarié en dehors de ses horaires de travail.
Les accès aux applications ou plus généralement au réseau de l’entreprise en dehors des horaires de travail peuvent être directement bloqués à distance par la direction des systèmes d’information. Ce système impose de créer des groupes d’utilisateurs autorisés, en fonction des horaires de travail qui leur sont applicables, du poste ou encore du rang hiérarchique occupé.
La responsabilité en cas de vol ou de dommages matériels causés à l’équipement personnel La question des éventuels dommages causés à l’équipement personnel de l’employé sur le lieu de travail sans aucune faute de sa part devra être tranchée dans la charte. Par exemple un virus pourrait être transmis sur l’équipement personnel du salarié qui se serait connecté au réseau de l’entreprise. Dès lors que l’équipement du salarié serait endommagé par la faute ou la négligence de l’entreprise, celle-ci devrait, dans ces conditions, être responsable des réparations.Les conditions de responsabilité et de réparation totale ou partielle en cas de dommages matériels doivent donc être précisément définies, dans le respect des règles du code du travail applicables.
La redéfinition des règles d’utilisation prohibées Il conviendra d’élargir les règles d’utilisation prohibées des ressources de l’entreprise aux ressources personnelles, dès lors que le réseau internet de l’entreprise devient accessible via un équipement personnel. Ainsi, il faudra rappeler au salarié que les règles d’utilisation prohibées des ressources de l’entreprise s’étendent à son équipement personnel (faits d’atteinte à la vie privée ou à l’image d’un tiers, diffamation, injure, discrimination, dénigrement de l’entreprise, l’atteinte à l’image de marque, à sa réputation ou à ses droits). De même, devront être prohibés les téléchargements de contenus portant atteinte au droit de la propriété intellectuelle qui seraient effectués par le salarié via le réseau de l’entreprise avec son équipement personnel. Enfin, il devra être interdit au salarié de se connecter via des réseaux wifi non sécurisés mais également de télécharger des applications ou logiciels non sécurisés sur son équipement personnel. La DSI pourrait préalablement établir une liste d’applications ou d’éditeurs interdits car présentant des risques en termes de sécurité, et mettre à jour cette liste.
L’opposabilité des règles L’opposabilité de ces règles devra être assurée afin de pouvoir engager la responsabilité disciplinaire ou judiciaire du salarié qui ne les aurait pas respectées et qui aurait été responsable du dommage causé à l’entreprise par sa faute. Ces règles peuvent donc figurer dans la charte informatique de l’entreprise, laquelle sera elle-même annexée au règlement intérieur. Les instances représentatives du personnel devront être consultées.
Pour finir, DataSecurityBreach.fr vous rappelle que dans son arrêt du 12 février 2013, la Cour de cassation a jugé qu’un employeur pouvait contrôler une clé USB d’un employé connectée à son ordinateur professionnel alors même que celle-ci était personnelle et sans la présence de l’employé. En l’espèce, les fichiers contenus n’étaient pas identifiés comme personnels, pas plus que la clé en question. Malheureusement pour l’employé, la clé contenait des informations confidentielles, ce qui a justifié son licenciement. (par Courtois Lebel, pour DataSecurityBreach.fr – PL est membre de deux réseaux de cabinets d’avocats : AEL, réseau européen, et ALFA.)
Impression des documents : un faux sentiment de sécurité ?
Quant à l’exposition des entreprises et des administrations aux risques de pertes de données confidentielles via les documents imprimés. Il repose sur l’étude menée par le cabinet d’analyses Quorcica sur 150 entreprises de plus de 1000 salariés, au Royaume-Uni, en France et en Allemagne. Selon Quocirca, à peine 22 % des entreprises ont mis en place un environnement d’impression sécurisé et 63 % des entreprises déclarent avoir subi des fuites de données dues à des documents imprimés, les entreprises s’exposent à de sérieux problèmes de confidentialité. Le livre blanc de Nuance présente les avantages d’une technologie d’impression sécurisée en matière d’authentification, d’autorisation et de suivi, et explique comment les entreprises peuvent améliorer la sécurité de leurs documents et se conformer aux exigences réglementaires.
Les entreprises qui consolident leur parc d’imprimantes optent très souvent pour des environnements partagés. Inévitablement, le risque de voir des documents tomber entre de mauvaises mains s’accroît. Dans le cadre d’une stratégie de sécurité des impressions, les entreprises doivent pouvoir contrôler l’accès à leurs multifonctions et disposer de fonctionnalités de contrôle et d’audit permettant un suivi des activités par périphérique et par utilisateur. L’efficacité d’une stratégie de protection des informations est toujours limitée à son maillon le plus faible. L’impression de documents demeure une pratique courante pour de nombreuses entreprises, mais celles-ci ne peuvent plus se permettre la moindre négligence en matière de sécurité. Même si l’impression en mode « pull » offre un moyen efficace pour lutter contre la perte de données, elle doit s’inscrire dans une stratégie globale, intégrant formation des utilisateurs, définition de règles et intégration de technologies complémentaires. Ce rapport comporte aussi deux études de cas d’ent solutions Equitrac et SafeCom de Nuance pour mieux protéger leurs impressions.
Mise à jour de sécurité Postgres
Le projet PostgreSQL a informé ses utilisateurs de la publication d’un correctif de sécurité pour une vulnérabilité critique dans leur logiciel de serveur de base de données. Toutes les versions actuellement supportées sont touchées et le correctif sera publié le jeudi 4 avril.
The PostgreSQL Project will be releasing a security update for all
supported versions on Thursday April 4th, 2013. This release will include a
fix for a high-exposure security vulnerability. All users are strongly
urged to apply the update as soon as it is available.
We are providing this advance notice so that users may schedule an update
of their production systems on or shortly after April 4th.
As always, update releases only require installation of packages and a
database system restart. You do not need to dump/restore or use pg_upgrade
for this update release.
À notre connaissance, c’est la première fois qu’un projet Open Source annonce en amont de sa sortie un correctif de sécurité. Nous nous attendons à ce que le correctif corrige une vulnérabilité permettant l’exécution de code à distance dans ce moteur de base de données. Nous recommandons à tous les utilisateurs de PostgreSQL d’effectuer cette mise à jour dès que possible, spécialement si leur serveur de base de données est connecté directement à Internet. Le moteur de recherche Shodan répertorie actuellement plus de 30.000 systèmes ayant un serveur PostgreSQL accessible depuis Internet. Soulignant la gravité de la vulnérabilité, la plate-forme cloud Heroku a annoncé avoir débuté la mise à jour de toutes les installations PostgreSQL de ses clients.
Au boulot, trop surfer est une faute grave
La justice Française décide que l’usage personnel et excessif de l’internet au travail est une faute grave. Le site Internet (indispensable, ndlr datasecuritybreach.fr) Legalise.net revient sur un jugement rendu voilà quelques jours. Il concerne l’utilisation de l’Internet « privé » au bureau. On y apprend que le nombre important de connexions à internet pour un usage personnel pendant le temps de travail peut justifier un licenciement pour faute grave. La Cour de cassation, dans un arrêt du 23 février 2013, l’a décidé. Le jugement visait une responsable juridique qui signait 10 000 connexions à des sites de voyages, de comparaison de prix, de sorties, des réseaux sociaux pendant deux courtes périodes. Des connexions durant son temps de travail. Ce n’est pas la première fois que la Cour de cassation se prononce sur l’usage personnel excessif de l’internet au travail. Dans un arrêt du 18 mars 2009, elle avait considéré que le fait de se connecter de façon importante à internet sur son lieu de travail, et à des fins non professionnelles, constituait une faute grave.
Sauvegarde de données : ça coinçe encore
D’après une récente étude auprès de ses clients, Kroll Ontrack, leader sur le marché de la récupération de données, de la recherche d’informations et de preuves informatiques, a découvert que même si 60 % des personnes interrogées avaient une solution de sauvegarde en place au moment de la perte de données, la sauvegarde n’était pas à jour ou ne fonctionnait pas correctement. À l’approche de la journée mondiale de la sauvegarde, le 31 mars 2013, ces résultats, ainsi que DataSecurityBreach.fr, rappellent qu’il est important de vérifier qu’une sauvegarde fonctionne correctement et capture un ensemble de données actuel et précis. De plus, les résultats de l’étude indiquent que le disque dur externe reste le mode de sauvegarde le plus utilisé pour les données personnelles et professionnelles. En fait, 60 % des personnes interrogées ont eu recours à une solution de disque dur externe, 15 % au cloud computing et 15 % à la sauvegarde sur bande. Quelle que soit la solution, plusieurs scénarios courants peuvent donner lieu à des pertes de données :
· un disque externe connecté de manière occasionnelle et une sauvegarde non automatisée et effectuée à la demande ;
· un ordinateur éteint au moment d’une sauvegarde programmée et non configuré pour l’effectuer à un autre moment ;
· la défaillance d’un logiciel de sauvegarde ;
· une sauvegarde dont l’espace de destination est plein ;
· un profil de sauvegarde ne couvrant pas l’intégralité du périphérique à sauvegarder ;
· un fichier perdu avant la sauvegarde programmée.
« L’utilisation d’une solution de sauvegarde est essentielle pour tout professionnel ou particulier qui veut se protéger contre la perte de données », estime à Data Security Breach Magazine Paul Dujancourt, directeur général de Kroll Ontrack France. « Cependant, comme les résultats de notre récente étude mondiale le démontrent, même une solution de type disque externe ou cloud computing réputée ne donne pas toujours les résultats escomptés. Une solution de sauvegarde n’est efficace que si l’utilisateur ou l’administrateur informatique s’assure que la solution fonctionne comme prévu et que la sauvegarde est complète. »
Sur 600 clients interrogés, dont un tiers ont subi une perte de données personnelles et deux tiers ont perdu des données professionnelles. Après avoir subi une perte de données, 87 % des personnes interrogées ont indiqué qu’il était extrêmement probable ou assez probable qu’elles recherchent une solution de sauvegarde. Parmi elles, près de 60 % recherchent une solution de type disque dur externe et environ un quart envisage le cloud computing pour protéger leurs données. Les 13 % restants qui ne prévoient pas de rechercher une solution de sauvegarde ont cité le temps et les dépenses associés à la recherche et à l’administration comme principal obstacle à sa prise en compte.
DataSecuritybreach.fr vous propose les conseils pour une sauvegarde réussie
· Prenez le temps d’investir dans une solution de sauvegarde et d’établir un calendrier de sauvegarde.
· Vérifiez que les sauvegardes s’exécutent régulièrement, conformément au calendrier établi.
· Consultez les rapports de sauvegarde pour identifier les erreurs ou les échecs.
· Testez régulièrement les sauvegardes pour vous assurer que les données ont été correctement capturées et que les fichiers sont intacts.
Sécurité des impressions : 63% des entreprises déplorent avoir subi une perte de données
L’étude européenne menée par Quocirca, société de recherche et d’édition, à la demande de Nuance, révèle que, malgré l’importance croissante que les entreprises accordent aux systèmes d’impression multifonctions dans le cycle de vie des documents, elles restent exposées à des risques de fuites des données confidentielles. En effet, Data Security Breach a pu découvrir que seules 22 % des entreprises interrogées par Quocirca ont sécurisé leur environnement d’impression et 63 % d’entre elles reconnaissent avoir subi un ou plusieurs cas de pertes de données, alors même qu’elles sont sans cesse plus nombreuses à mesurer les dommages potentiels de l’utilisation abusive ou du vol de données sensibles pour leur réputation et la confiance de leurs clients.
Les résultats de cette étude sont consultables dans le dernier livre blanc de Nuance, intitulé Impression de documents : un faux sentiment de sécurité ?, qui explique aux entreprises et administrations pourquoi et comment s’assurer que leurs activités d’impression sont sécurisées afin de protéger leurs informations confidentielles et celles de leurs clients. Le livre blanc rend également compte que de simples pratiques de sécurisation de l’impression permettent de réduire l’exposition aux risques de fuites de données et de satisfaire aux exigences réglementaires en matière de protection des informations. Nuance recommande même aux entreprises d’inscrire la sécurité des impressions dans sa stratégie plus globale de sécurité de l’information. Afin d’illustrer ces recommandations, le livre blanc comporte deux études de cas d’entreprises du secteur public (le conseil du Comté du Lancashire au Royaume-Uni) et du secteur financier (la banque suisse Graubündner Kantonalbank) utilisant les solutions Equitrac et SafeCom de Nuance pour mieux protéger leurs impressions.
Ce document intervient alors que les entreprises s’efforcent de rationaliser leurs flux de gestion des documents papier (pour gagner en efficacité ou pour se conformer aux obligations légales ou environnementales) et qu’elles se dotent de plus en plus d’imprimantes multifonctions (MFP) et en réseau.
Un DDoS géant perturbe Internet
Une attaque informatique à l’encontre d’un spécialiste de la lutte contre les spams perturbe l’Internet. Spamhaus, une entité basée en Suisse qui s’est donnée pour mission de publier des « listes noires » de serveurs utilisés dans des diffusions massives de spams, des courriels non sollicités. 80% des blocages des pourriels seraient réussis grace à SpamHaus. Depuis quelques jours, une attaque de type DDoS (Dénis Distribués de Service) perturbe le fonctionnement de SpamHaus… et du réseau des réseaux. Matthew Prince, de chez CloudFlare, indique n’avoir jamais vue une attaque prendre une telle ampleur. Tout a débuté la semaine derniére, les Suisses ont placé dans la liste noire du moment le site internet néerlandais Cyberbunker. Motif, le portail serait un repére de pirates et autres spammeurs. « Spamhaus n’a pas été en mesure de prouver ses allégations » indique CyberBunker.
Le New York Times fait parler un « porte-parole » des pirates assaillants. Sven Olaf Kamphuis indique que l’attaque est en représaille contre Spamhaus, qui « abuse de son influence« . L’attaque DDoS a une telle impacte qu’elle aurait « freinée » le débit web, en Europe. A l’AFP Johannes Ullrich, de l’institut de technologie américain SANS, explique que cette attaque est dix fois plus puissantes que les derniérs DDoS enregistrés. Il est vrai que se manger 300 gigabytes de données par seconde, ca à de quoi bloquer des serveurs ! Data Security Breach trouve que le plus inquiétant n’est pas l’attaque en elle même, mais sa facilité de mise en place. Les pirates ont tout simplement profité des vulnérabilités des serveurs DNS. Bilan, chaque attaque est multipliée par 100. Voir Open Resolver Project pour en savoir plus.
Internet a-t-il failli être coupé par une attaque de grande ampleur ?
A cette question que tout le monde se pose en ce moment, la réponse est oui. Avec les attaques qui ont eu lieu récemment et on encore lieu à certaines échelles, Internet a été, tout au moins, déstabilisé pendant plusieurs heures. Que vous ayez un téléphone portable en 3G, un ordinateur pour surfer sur votre site préféré ou voulu recevoir des mails d’outre atlantique, vous avez peut être tous senti à plus ou moins grande échelle des ralentissements.
L’attaque informatique derrière cette déstabilisation est connue, mais n’avait jamais été menée à cette ampleur. Les DDOS et plus spécifiquement les DrDOS sont des attaques par amplification de trafic, ou pour faire simple, les attaquants utilisent des serveurs et des réseaux mal configurés comme des amplificateurs. Ils transforment une ou plusieurs connexions de tailles honorables (mais que tout le monde peut s’offrir pour quelques dizaines d’euros par mois) en canons à trafic de très grande ampleur. Pour prendre une image plus parlante, cela revient à transformer une balle de pistolet en une pluie de munitions. Avec une telle arme, pour chaque « balle » tirée à l’origine, plusieurs centaines de milliers de projectiles arrivent à destination…
Il est important de comprendre cependant qu’aussi puissantes soient ces attaques, elles sont temporaires par essence. Leurs durées de vie se comptent en heures, en dizaines d’heures au maximum, Internet n’est donc pas en risque d’être définitivement « cassé » mais en risque d’être très embouteillé, pendant un long moment. Une question de fond demeure, ces embouteillages dureront-ils très longtemps et seront-ils fréquents ou bien les autorités vont-elles réagir et forcer la prise de mesures concrètes ?
Le laxisme et l’avidité au cœur du problème
Car ce qui rend possible ces attaques, ce sont deux problèmes fondamentaux, tous deux possibles à régler. En effet, ces attaques sont rendues possibles par des serveurs mal configurés. Cette fois-ci ce sont les serveurs DNS qui sont concernés, l’un des services indispensable au fonctionnement d’Internet, qui convertit les noms (comme www.datasecuritybreach.fr) en adresse numériques (dites IP) compréhensibles par les ordinateurs et serveurs. En l’occurrence, ces DNS « ouverts » étaient parfois laissés accessibles en tant que service à la communauté, souvent laissés ouverts par d’autres administrateurs moins compétents par manque de connaissance ou de temps. Mais auparavant, c’était les protocoles utilisés par les serveurs de jeux sur Internet et d’autres sources sont également possibles à exploiter par les pirates. Le point commun à tous ces supports d’attaques est que les personnes ayant soit développé soit déployé ces services ont mal configuré leurs serveurs et permis à ces attaques d’avoir lieu.
Le second problème est lui très matériel. Il y a des grands bénéficiaires à ces flux démesurés. Pour commencer par le point important, ces attaques ne devraient pas exister et sont simplissimes à bloquer. Il suffit à chaque entité participant au réseau Internet de n’acheminer que les paquets légitimes, provenant réellement de son réseau. Actuellement ce n’est pas le cas. En effet, de très nombreux opérateurs (dont les plus grands Français, Allemands et US) ne filtrent pas les paquets transitant par leurs réseaux et acheminent des paquets qu’ils savent illégitimes.
Ces attaques reposent sur un mécanisme central clé : le fait que l’adresse source, l’identité numérique de l’attaquant est faussée. Cette méthode, appelée le spoofing, est laissée libre à l’utilisation de chacun alors qu’il n’est que normal et logique que chacun ne transporte que les paquets réellement issus de son réseau. Cela revient exactement au même que de transporter des valises d’inconnus que l’on vous aurait remis à l’aéroport. Pourquoi le font-ils ? Car les opérateurs de niveau 2 se facturent le trafic envoyés entres eux. En résumé, plus ils envoient de trafic, plus ils facturent le voisin qui reçoit ce trafic. DataSecurityBreach.fr le confirme, c’est donc une raison très monétaire qui les motive plus qu’une très théorique impossibilité technique derrière laquelle ils se cachent pour ne pas résoudre le problème.
La guerre des boutons 2.0
Cette attaque est par bien des aspects uniques. Unique car elle a visé les plus gros « tuyaux » d’Internet (les tiers 1), ce qui est atypique et à bien failli couper tout le réseau pendant quelques heures. Elle est aussi unique par la violence et son ampleur. A notre connaissance, aucune attaque n’avait encore atteint une telle ampleur, avec près de 300 Gbps de trafic vu par les grands opérateurs par moment. Les plus gros points d’échange d’Internet n’acceptent que 100 Gbps, là où cette attaque a dépassé les 300 Gbps par endroits dans le réseau mondial…
Cela représente, disons 1 million de voitures circulant sur une route où l’on en attend 100 000 en général au grand maximum. C’est l’équivalent de plusieurs dizaines de milliers de connexions ADSL classiques qu’il faudrait réunir à plein débit à un instant donné pour atteindre un tel volume. Un très gros canon à paquet donc et cela n’est encore qu’une partie du trafic maximal généré par cette attaque. Unique enfin par sa cible et son origine. Pour une cause qui ne nécessite très probablement pas une telle Vendetta, le spam, Internet a été déstabilisé quelques heures. On ne règle pas les bagarres de gamins dans une cours de récré à coup de taser et de flashball, on ne règle pas un différend avec Spamhaus avec une DDOS de cette taille, cela est déraisonnable.
Unique, cette attaque à malheureusement de grande chance de ne pas le rester car rien n’est fait à l’heure actuelle par les autorités pour forcer des configurations plus efficaces des réseaux opérateurs et des services clef d’Internet. Les solutions sont connues, la volonté de les appliquer manque. Elle ne restera pas unique car mener une telle attaque n’est pas extrêmement complexe, les méthodes sont connues et les personnes capables de les mener se comptent en dizaines de milliers dans le monde, à minima. Bien sûr la très grande majorité d’entre elles sont des personnes raisonnables, mais il suffit d’une seule en l’occurrence pour atteindre un tel résultat…
La structure de base d’internet la rend résiliente à beaucoup de dangers différents, mais d’un autre côté, certains points clés sont toujours très fragiles et les milieux underground le savent …
Moi vouloir tuer Internet L’architecture principale du DNS peut être mise à terre. Ce n’est pas chose aisée mais un DDOS massif peut la faire plier et donc casser le système de résolution de nom et le processus de diffusion, entrainant ainsi un situation très inconfortable. Le second point que je voulais souligner est que la faille dévoilée par Dan Kaminsky durant l’été 2008 est encore présente sur presque un quart des DNS mondiaux et permet une attaque par cache poisoning, aussi simple que redoutablement efficace.
BGP. Cette partie est aussi sensible et fragile. Les membres de la DFZ (Default Free Zone) sont supposés se faire confiance les uns aux autres les yeux fermés. Nous prenons des routes depuis d’autre AS et diffusons notre routage aux autres membres…Mais si des paquets étranges sont envoyés dans le pré-carré, ils peuvent faire chuter l’ensemble, comme par exemple ce fameux mois d’août 2010, durant lequel le Ripe à mener une expérience qui tourna mal, brisant ainsi beaucoup de routes et dérangeant une partie du trafic Internet pour plusieurs minutes. Les Chinois ont aussi commis leur « erreur », générant un des plus spectaculaires détournements de trafic de l’histoire d’Internet. Il est dit que c’était une erreur (par ceux qui l’ont commise 🙂 ) mais il apparait tout de même comme rien de moins que le plus large et important piratage jamais réalisé sur internet, montrant une fois encore que les piliers d’Internet peuvent encore facilement « trembler sur leurs bases.
L’IPV4 est le plus fondamental des protocoles d’Internet. Il est présent depuis des décennies et à été attaqué de tellement de façon différentes que je ne peux imaginer donner un chiffre pertinent à fournir dans cet article. Quelques points sont cependant sûr concernant IPV4, le protocole est utilisé partout (moins de 8% d’internet est prêt pour IPV6), il comporte de nombreuse erreurs de conceptions, il permet de nombreuse attaque par DDOS, spoofing, sniffing et chacun l’implémente « à sa sauce ». Tout cela fait d’IPV4 le plus utilisé des protocoles de niveau 3 du monde et, bien entendu, le plus connu, testé, reversé et attaqué…
Une lutte de pouvoirs ?
CloudFlare après sa méga panne plongeant des centaines de milliers de sites dans le noir le plus total avait bien besoins d’une énorme publicité. En aidant cette fois des « gentils », c’est pour eux l’occasion rêvée pour redorer cette image ternie. Il n’y a pas que les attaques qui peuvent être amplifiées, il y a aussi les paroles. Oui, car contrairement à ce que raconte certains ahuris, le trafic Internet en Europe n’a pas bougé d’un pouce : chiffres à l’appui. Quant aux évènements, il s’agit bien d’un règlement de compte entre Spamhauss et de véritables cybercriminels aguerris qu’il vaut mieux éviter de chicaner, même pour plaisanter.
Spamhauss est sauvé, CloudFlare devient un super-héros auprès des gentils mais laisse une ouverture béante aux whitecollars du CB-31337 qui ne se font pas prier pour récupérer habillement l’histoire en diabolisant à nouveau Spamhauss (ouvertement critiqué pour avoir le cul entre deux chaises et pour ses méthodes de cowboys) et gagnant ainsi de nouveaux clients. Si vous n’avez pas encore compris, Internet va bien, très bien même. Business is business… Cependant ça démontre une nouvelle fois les faiblesses connues qui peuvent (mais ça ce n’est pas nouveau, disons « qu’ils osent ») être utilisées dans d’autres types d’attaques. Avec ces escarmouches, ils ne font que frapper du poing, peut être un avertissement comme tu le soulignes,… ou simplement une évaluation. Ces gens là ont largement la capacité de mener des offensives nettement supérieures (avec dégâts). A mon sens, il faut se souvenir d’une chose très importante : il n’est pas possible d’évaluer les capacités offensives avec certitude de l’ensemble des acteurs en présence car ils sont connectés indirectement avec divers milieux, autres que l’underground traditionnel. Ils peuvent changer de facette l’espace d’un instant et devenir un bras armé. Mettez une dose d’agences de renseignements, une pincée de politiques… et très franchement, je doute que les moyens déployés, même extra-ordinaires, depuis les claques Estoniennes, Géorgiennes,… suffisent à contre-carrer des attaques disons.. hors normes. Quoiqu’ils pourront certainement mener des investigations, compter les morceaux et tenter de recoller ce puzzle bordélique mais ça sera définitivement trop tard. Rassurez-vous, tant qu’il y aura des enjeux financiers, rien de tout cela n’arrivera. (Avec NBS-SYSTEM)
Challenge de sécurité autour de CerberHost
NBS System ouvre un challenge de sécurité autour de CerberHost, son Cloud de Haute Sécurité Ce concours est ouvert à tous : experts en sécurité, pentesteur, hacker de génie ou occasionnel, érudit en informatique et curieux de la sécurité – avec à la clé, des lots allant jusqu’à 5000 € ! NBS SYSTEM, société française fondée en 1999 et spécialisée d’une part dans l’hébergement et l’infogérance de serveurs et la sécurité informatique d’autre part, annonce l’ouverture d’un challenge de sécurité atour de CerberHost, son Cloud de Haute Sécurité lancée en octobre dernier. Ce challenge démarre le lundi 25 mars 2013 et s’achèvera le 21/06/2013. A la clé, jusqu’à 5000 € pour la première personne qui arrivera à pénétrer dans l’environnement de CerberHost (détails complets du concours plus bas).
A l’occasion de ce challenge, Philippe Humeau, CEO de NBS System déclare à Data Security Breach : « Nous ne voulons pas proposer une Cloud sécurisé « sur le papier », qui repose sur de la méthode Coué et un Powerpoint affirmant que « c’est sécurisé ». Après un investissement de R&D considérable, nous pensons que NBS System propose, au travers de CerberHost, l’offre d’hébergement la plus sécurisée à ce jour, et nous souhaitons le démontrer. Ce challenge vise donc à étrenner encore un peu plus nos systèmes déjà solidement testés. »
Qu’est ce que CerberHost ? CerberHost est le fruit de deux années de R&D et de plus de 10 ans d’expérience sur le marché de la sécurité informatique et notamment en matière de tests d’intrusion. Avec plus de 16 méthodes ou systèmes de protections différents, CerberHost a été conçue pour garantir une sécurité informatique proche des 99.9% aux sites Internet LAMP et bientôt Java. Cette particularité permet de rendre tous les sites LAMP pratiquement invulnérables aux attaques informatiques. Elle propose une infrastructure capable de résister aux attaques informatiques et résiliente aux pannes en assurant la sécurité physique, la logique et la redondance. Après des milliers d’attaques bloquées qui ont été lancées contre le site de Charlie Hebdo, protégé par CerberHost depuis septembre 2011, après un test d’intrusion menée par la société HSC sur une Damn Vulnerable Web Application, CerberHost reste inviolé à ce jour.
Mais, rien n’est impossible cependant et NBS System ne souhaite qu’une chose : aller plus loin.
Détails du CerberHost Spring Challenge (CSC)
Contenu du site à tester Le concours consiste à réussir une intrusion sur une plateforme d’entrainement pour les tests d’intrusions de type « Damn Vulnerable Web Application ». Ce logiciel est volontairement « troué » pour permettre de tester des outils, des candidats ou des méthodes d’intrusions et il contiendra de nombreuses failles de différents types. Le code source de ce site de test sera mis à disposition des participants qui pourront l’auditer en local, sur leurs machines. Celui en production sur le serveur de tests sera exactement le même. Paramétrage de la Sécurité de l’instance Toutes les couches de sécurité de CerberHost seront actives à l’exception du firewall à bannissement progressif. En effet CerberHost utilise un système de réputation d’IP qui bannie de manière progressive en dureté et dans le temps, le filtrage appliqué à une IP qui violent des règles de sécurité. Dans le contexte du concours, les IP enregistrées seront « whitelistées » et ne seront pas bannis comme le ferait normalement le système. Pour avoir un ordre d’idée, quand une IP scanne des ports, elle a un comportement anormal vis à vis de la plateforme hébergée et cette IP est progressivement bannie de plus en plus durement (en terme de durée notamment, mais aussi de range d’IP ou de type de réponse, reject, drop, tarpit, etc.) Au final, un tel dispositif à lui seul ralentirait considérablement des experts dans leur travail et ne présente pas spécifiquement d’intérêt dans le cadre de ce concours. Le DVWA sera paramétré en sécurité la plus basse (toutes les failles seront actives/ouvertes). Pour le reste, l’instance CerberHost utilisée sera tout à fait standard, mais la méthodologie sera un peu moins « stricte » que celle dont les clients de NBS System disposent. Lors d’une mise en production « normale » d’un client CerberHost, NBS System effectue un audit rapide et met en place certaines règles spécifiques en plus des protections standards. Ici, le processus sera le même mais rien ne sera spécifiquement dédié à ce site, pas plus de protection ou de dispositifs particuliers, c’est même l’inverse car NBS System souhaite ouvrir le challenge et se mettre « dans la pire des situations possibles », avec un site troué et des défenses amoindries.
Durée du jeu
Le jeu se déroulera du 25/03/13 au 21/06/2013. En cas de victoire ou de victoire partielle d’un participant (voir définition ci-dessous), le jeu s’arrêtera lorsque la preuve de la victoire aura été apportée et validée par le Jury.
Jury
Le jury est constitué de : • Maître Diane Mullenex (associée du cabinet Ichay & Mullenex) • Nicolas Ruff (chercheur au sein de la société EADS) • Philippe Humeau (Directeur Général de la société NBS System) Le Jury validera les potentielles victoires des candidats.
Objectifs
Victoire Une victoire sera attribuée au 1er participant ayant :
• Soit obtenu une invite de commande (« shell ») (non root) sur une des machines intermédiaires : Firewall, Reverse Proxy.
• Soit créé un fichier dans le compte root de la machine hébergeant le site, nommé avec son ID et contenant son email de contact et l’adresse IP depuis laquelle l’intrusion sur le site a été réalisée. Ces conditions sont indépendantes : en remplir une est suffisant pour obtenir une Victoire. Une Victoire est unique et arrête le Jeu.
Victoire partielle Si une faille était trouvée sur le site, qui ne constituerait pas une Victoire mais permettrait : • Soit de récupérer le contenu de la table « SECRET » qui est stockée dans la même base de données, sur la même instance de MySQL, que les autres données du site. La récupération devra être réalisée via l’exploitation d’une des injections SQL présente dans le site,
• Soit d’arriver à exécuter du code PHP (via les vulnérabilités de file inclusion ou file upload présentes sur le site). Exemple : exécution d’un fichier PHP contenant un appel à ‘phpinfo’ et un ‘sleep’,
• Soit d’arriver à réaliser un cross site scripting (ie. affichage du cookie dans un popup javascript), en exploitant une des vulnérabilités de cross-site scripting présentes sur le site,
• Soit d’arriver à obtenir un « shell » non privilégié (non root) persistant sur la machine (via l’exploitation d’une vulnérabilité dans un démon tiers ou dans PHP)
Alors une Victoire Partielle serait accordée. Ces cinq conditions sont indépendantes. En remplir une est suffisant pour obtenir une Victoire Partielle. Une seule Victoire Partielle sera accordée par méthode d’attaque utilisée validant l’une des 5 conditions. Donc un participant utilisant la même méthode que celle d’une Victoire Partielle déjà effectuée (même si elle est encore en cours de validation par le jury), ne pourrait se prévaloir d’une Victoire Partielle.
Une Victoire Partielle n’arrête pas le Jeu. Les Victoires Partielles sont publiées dans un délai de 72 heures à compter de leur validation par le Jury.
Effort méritoire Si une faille était trouvée, qui ne constituerait ni une Victoire, ni une Victoire Partielle mais permettrait :
• de compromettre des données ou de changer la page d’accueil du Site (defacing),
• d’arriver à écrire dans le répertoire /challenge_ME, présent à la racine de la machine, dont le propriétaire sera l’utilisateur faisant tourner le démon Apache sur la machine.
Afin d’authentifier son Effort Méritoire, la personne devra écrire dans un fichier nommé avec son ID, son email de contact et l’adresse IP depuis laquelle l’intrusion a été réalisée. Alors un Effort Méritoire serait accordé.
Ces deux conditions sont indépendantes. En remplir une est suffisant pour obtenir un Effort Méritoire. Un seul Effort Méritoire sera accordé par méthode d’attaque utilisée validant l’une des 2 conditions. Donc un participant utilisant la même méthode que celle d’un Effort Méritoire déjà effectuée (même si elle est encore en cours de validation par le jury), ne pourrait se prévaloir d’un Effort Méritoire.
Un Effort Méritoire n’arrête pas le jeu. Les Efforts Méritoires sont publiés dans un délai de 72 heures à compter de leur validation par le Jury. Validité de la victoire, victoire partielle ou de l’effort méritoire. Ne seront considérés comme valides que des victoires, victoires partielles ou efforts méritoires qui seront effectués par des personnes enregistrées dans le concours avec le formulaire disponible et possédant leur ID. L’attaque ayant menée à la compromission devra être expliquée et reproductible. Le potentiel code source de l’attaque n’aura pas à être divulgué cependant.
Lots A une victoire serait attribué :
• un prix de 5000 €
• un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert
• Une autorisation de la société à communiquer sous seing privé sur cette réalisation (par exemple sur un CV) La faille utilisée peut être expliquée sans être totalement révélée « techniquement »
A une victoire partielle :
• un prix de 500 €
• un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert
• Une autorisation de la société à communiquer sous seing privé sur cette réalisation (par exemple sur un CV) La faille utilisée devra être révélée complètement.
A un effort méritoire :
• Un article sur le blog de la société NBS (ou celui de CerberHost) pour échanger avec l’expert derrière l’exploit. La faille utilisée devra être révélée complètement. Limites & méthodes autorisées
Les DOS & DDOS n’ont pas leur place dans ces tests. NBS System cherche à évaluer la robustesse des barrières mises en place, pas à tester la capacité du réseau à absorber ou contrer des DDOS. Un autre test sera mené ultérieurement en ce sens avec plusieurs dizaines de Gb/s de trafic généré. Les CSRF et bruteforce applicatifs ne constituent pas non plus une possibilité de victoire ou d’effort méritoire. En effet, les CSRF impliquent un tiers et ne reposent donc pas seulement sur la plateforme NBS System et ses dispositifs de sécurité et ils ne sauraient garantir la sécurité des tiers. De même, les bruteforce applicatifs n’ont pas d’intérêt puisque les candidats disposeront du mot de passe pour accéder au DVWA. Les autres méthodes de compromission, techniques d’attaques (donc non physiques et non sociales), comme par exemple les overflow, XSS, SQLi, etc. sont toutes acceptées. NBS System ne souhaite pas de menaces physiques sur son personnel, pas plus que de méthodes sociales qui déborderaient sur les vies privées de ses employés, d’où les limites posées. La seule machine qui peut être visée est celle hébergeant la DVWA, qui répond au FQDN suivant : challenge.cerberhost.com et à l’IP associée. Toute autre machine /IP / serveur / service est en dehors de la zone de test, sauf s’il s’agit d’une machine protégeant la machine challenge.cerberhost.com (son Firewall ou son Reverse Proxy). Aucune autre machine / service / IP du réseau NBS System ou de ses clients ne peut et ne devra être ciblée, sous peine de poursuites.
Identification & inscription des participants
Les participants peuvent être anonymes durant le concours, mais ils doivent fournir une adresse IP qui sera enregistrée dans le firewall de NBS System pour « alléger » les mesures de bannissement progressif. Le vainqueur devra lui être identifié avec nom & prénom pour recevoir son prix, cependant, son nom ne sera pas révélé s’il ne le souhaite pas. Ils doivent aussi fournir une adresse email valide qui servira aux échanges entre les équipes. Ces données sont privées et ne seront pas révélées, ci-dessous le formulaire d’inscription : Règlement complet et exact du concours.
Les sénateurs Français rejettent une sécurité bancaire
Les Sénateurs Français viennent de rejeter un amendement qui devait imposer une sécurité efficace lors des transactions sur Internet. Les sénateurs et sénatrice M. BOCQUET, Mme BEAUFILS, M. FOUCAUD et les membres du Groupe communiste républicain et citoyen ont proposé un amendement qui aurait pu s’inclure dans le Projet de loi « Séparation et régulation des activités bancaires« .
Les trois sages proposaient que soit rajoutée, à l’article 18, une obligation de sécurisation de nos transactions bancaires. Le texte expliquait que cet amendement tend à généraliser l’adoption d’un dispositif de sécurisation des transactions de type 3D Secure, en particulier pour les paiements sur internet. 3D Secure est connu et reconnu. Alors que l’équipement de tous les professionnels en 3D Secure a permis au Royaume-Uni une baisse de 52 % de la fraude en 4 ans, la France est très en retard. L’équipement des commerçants ne progresse que lentement : 24 % des transactions fin 2012 contre 15 % en 2010. Seule la moitié des opérateurs l’ont adopté, mais il ne s’agit pas des principaux : la plupart des grands commerçants en ligne (Amazon, Fnac ou PriceMinister par exemple) se refusent à ajouter une étape au cours de la vente. « Cette situation n’est plus admissible, expliquent les 3 Sénateurs, surtout lorsqu’on constate l’efficacité de la sécurisation. » Les sites de jeux en ligne, qui l’ont adoptée, ont fait baisser leur taux de fraude de 59 % en 3 ans.
Un système d’authentification du client, utilisé lors de toute opération de paiement par téléphone ou par internet entre un particulier et un professionnel, est mis en place au plus tard le 1er janvier 2014. Ce système est commun à tous les professionnels, d’application obligatoire et basé sur un code non réutilisable. Un comité composé à parité de représentants des organismes bancaires, des professionnels de la vente à distance et des consommateurs est chargé de déterminer les modalités techniques de mise en place de ce dispositif. L’Observatoire national de la délinquance et des réponses pénales a publié en janvier 2013 un rapport accablant sur la hausse des fraudes à la carte bancaire sur internet. Fin 2012, un autre organisme, l’Observatoire de la sécurité des cartes de paiement, indiquait que le commerce à distance représentait 61 % de la fraude pour seulement 8,4 % des transactions. Il est donc crucial de prendre des mesures contre ce phénomène qui met en danger les consommateurs, mais aussi leur confiance dans le commerce en ligne.
Avec autant d’argument, les Sénateurs avaient de quoi comprendre l’importance de l’amendement. Devinez ce qu’ils ont décidé de faire ? Ils ont voté contre !
Trademark ClearingHouse
Noms de domaine personnalisés : La « Trademark ClearingHouse » au secours des titulaires de marques à partir du 26 mars 2013. Le lancement des nouvelles extensions personnalisées (.PARIS; .SKI; .SNCF) dont la presse s’est largement fait l’écho, est imminent. Plus de 1000 demandes devraient être acceptées cette année qui s’ajouteront aux extensions actuelles génériques (.com, .net, etc.) et régionales (.fr, .eu, etc.), et dans lesquelles des noms de domaine pourront être réservés.
La protection des marques contre le cybersquatting sera, davantage encore, un véritable enjeu stratégique pour les titulaires de droits. Dans cette perspective, l’ICANN a mis en place un mécanisme de protection des droits par la création d’une base de donnée, appelée Trademark ClearingHouse (TMCH), qui sera accessible à partir du 26 mars aux titulaires de marques, sous réserve d’une inscription préalable. La TMCH est un système de déclaration et de veille entre marques antérieures et réservations postérieures de noms de domaine sous les nouvelles extensions.
L’intérêt de l’inscription des marques dans la TMCH est double : – Seule l’inscription d’une marque dans la base permettra de participer aux périodes de réservations prioritaires dites « Sunrise », qui devront être proposées par les Registres pour chaque nouvelle extension. En d’autres termes, le titulaire d’une extension personnalisée, ex: .PARIS ou .SHOP, sera tenu de donner la priorité sur la réservation du nom de domaine au titulaire de la marque antérieure déclarée, ex: www.loreal.paris ou encore www.lacoste.shop.
– Les candidats à la réservation d’un nom de domaine seront, le cas échéant, informés de l’existence d’une marque antérieure inscrite au sein de la TMCH. De leurs côtés, les titulaires de marques seront également informés de la réservation du nom de domaine identique à leurs droits et pourront éventuellement s’y opposer par le biais d’une nouvelle procédure simplifiée de règlement des litiges appelée : Uniform Rapid Suspension (URS). Outre le paiement de taxes et d’annuités, plusieurs conditions sont requises pour le choix, l’inscription et le maintien des marques au sein de la Trademark Clearinghouse, qui nécessiteront un véritable accompagnement personnalisé par le Conseil en propriété industrielle. (William Lobelson et Julien Fialletout, Juriste Conseil en Propriété Industrielle pour DataSecurityBreach.fr)
Malware NotCompatible : le retour
En mai 2012, Data Security Breach revenait sur l’annonce de Lookout avec l’apparition de NotCompatible, un programme malveillant diffusé par des sites web piratés. Une fois installé, NotCompatible fait office de serveur proxy, permettant à l’appareil qui l’héberge d’envoyer et de recevoir des données relatives au réseau. Pour la première fois, des sites web piratés ont servi de tremplin pour cibler et contaminer des appareils mobiles spécifiques. Depuis les premiers cas mis au jour, nous avons détecté une activité de NotCompatible faible à modérée par moments, avec des pics. La situation est toute autre depuis plusieurs jours : le réseau de surveillance de Lookout concernant les menaces mobiles (Mobile Threat Network) a détecté une hausse soudaine du nombre de cas qui atteint 20 000 par jour entre dimanche et lundi dernier.
Les nouveautés
NotCompatible n’a guère changé sur le plan de ses capacités techniques et de sa conception depuis les premiers cas décelés, en mai 2012. C’est en revanche son mode de diffusion qui diffère désormais : le programme circule principalement via des messages spam envoyés par des comptes de messagerie Email piratés.
Android dans le collimateur
Les premières campagnes d’infection de NotCompatible visaient spécifiquement les utilisateurs d’appareils sous Android, en repérant la présence d’un en-tête (header) contenant le mot « Android » dans le navigateur : sa détection commandait alors le téléchargement du programme malveillant. Désormais, les liens contenus dans le spam en question utilisent une tactique semblable. La tactique est similaire dans les nouveaux cas. En cliquant sur un lien présent dans un spam, sous Windows, iOS et OSX, l’utilisateur est redirigé vers un article prétendument publié sur Fox News relatif à la perte de poids.
Si l’on clique sur le lien à partir d’un appareil sous Android, le navigateur redirige vers un « site de sécurité pour Android », en vue d’une mise à jour. En fonction de sa version d’Android et du navigateur, l’utilisateur peut être poussé à effectuer un téléchargement, à son insu dans un grand nombre de cas. DataSecurityBreach.fr vous explique souvent ce tour de passe-passe via des kits pirates. Le programme se glissera alors dans le dossier des téléchargements. Dans le cas de Chrome, l’utilisateur verra s’afficher une demande de confirmation du téléchargement.
C’est le cas pour une écrasante majorité des cas détectés lors du récent pic d’activité. Le programme a été installé dans seulement 2 % des cas. Comment s’en prémunir ? Evitez d’ouvrir des mails de spam. Des messages surprise de vieux amis perdus de vue ayant pour objet « hot news », « Last all Night » ou encore « You Won $1000 », montrent clairement qu’il s’agit d’un spam.
· Le bon sens doit être de mise avant de cliquer sur un lien. Si le nom du site web vers lequel il pointe ne vous dit rien, mieux vaut s’abstenir. La prudence doit particulièrement être de mise dans le cas de liens au format abrégé tel que bit.ly ou ABCD, car il est encore plus difficile de juger de l’honnêteté du site en question.
· Si votre appareil mobile lance subitement le téléchargement d’un fichier sans aucune action de votre part, ne cliquez surtout pas dessus et supprimez-le immédiatement.
· Téléchargez une application de protection mobile qui passe au crible les contenus à la recherche de programmes malveillants éventuels.
Laisserez-vous disparaitre la protection de vos données ?
La commission des « affaires juridiques » (JURI), menée par Marielle Gallo (France – EPP), vient de voter son avis sur la nouvelle législation relative à la protection des données proposée par la Commission européenne. Avec ce dernier vote pour avis, légèrement moins catastrophique que les précédents, le Parlement européen affaiblit une fois encore la protection des données personnelles des citoyens européens. Les membres des quatre commissions ayant exprimé leur avis ont choisi de se ranger aux côtés des multinationales américaines qui, comme Facebook et Google, collectent, traitent et vendent des données concernant nos vies quotidiennes. La mobilisation citoyenne commence doucement à porter ses fruits, mais doit encore s’intensifier avant le vote crucial de la commission principale « libertés civiles » (LIBE) – actuellement prévu pour les 24-25 April, mais probablement reporté. ***
Une fois encore, Marielle Gallo (France – PPE) a choisi de protéger les intérêts de l’industrie plutôt que les droits des citoyens, et a conduit la commission « affaires juridiques » (JURI) à voter un avis appelant à affaiblir la protection de la vie privée des citoyens dans la proposition de règlement de la Commission européenne. Des amendements déposés par Marielle Gallo et ses collègues conservateurs (soutenus par les membres du groupe libéral (ALDE)) proposent par exemple d’autoriser les entreprises à traiter les données personnelles des citoyens et à les transmettre à des tiers qui pourront ensuite en faire ce qu’ils voudront, dès lors qu’ils invoqueront un « intérêt légitime » [1]. D’autres amendements adoptés aujourd’hui introduisent toutes sortes de failles juridiques, et invitent par exemple le Parlement européen à autoriser le traitement des données personnelles même lorsque l’objectif de ce traitement est incompatible avec celui décrit lors de la collecte des données [2].
Ainsi, ce vote s’inscrit dans la lignée de ceux des commissions « consommateurs » (IMCO) de janvier [3], et de ceux des commissions « industrie » (ITRE) et « emploi » (EMPL) de février [4], qui reprenaient un grand nombre des demandes des lobbies de l’industrie, et menaçaient les protections proposées par la Commission européenne.
Cependant, ce vote, au même titre que les trois précédents, n’a pas de portée législative. Le prochain vote à en avoir un sera celui de la commission principale « libertés civiles » (LIBE), prévu pour fin avril mais probablement reporté, et qui déterminera réellement si l’Union européenne choisira de laisser à ses citoyens le contrôle de leurs données, ou si elle choisira de copier le modèle américain dans lequel les sociétés peuvent collecter, traiter, stocker et vendre les données personnelles des citoyens sans aucune contrainte.
Le vote d’aujourd’hui a pourtant été légèrement moins catastrophique que les précédents, et démontre que les membres du Parlement européen sont sensibles à la mobilisation citoyenne et à la pression médiatique, et qu’ils protégeraient notre droit à la vie privée si nous les y poussions. Avant le vote de la commission LIBE, les citoyens doivent donc renforcer la mobilisation et continuer à contacter leurs députés européens.
« Les enjeux cruciaux liés à notre vie privée et à l’économie numérique se joueront au sein de la commission principale « libertés civiles ». Les citoyens peuvent mettre leurs élus face à leurs responsabilités en se mobilisant et en exigeant que Facebook, Google et les autres géants du Net n’aient pas un accès « Open Bar » à nos données personnelles. Nous devons garder le contrôle de nos données, afin de garder le contrôle de notre vie en ligne. Tout se jouera à partir de maintenant et jusqu’aux élections européennes. » déclare Jérémie Zimmermann, porte-parole de l’association La Quadrature du Net.
* Références * 1. Am. 24 déposé par Marielle Gallo (France – EPP)
2. Am. 144 déposé par Klaus-Heiner Lehne (Allemagne – EPP)
Certification DSD du gouvernement australien
Good for Enterprise aide les départements du gouvernement à minimiser les risques liés à la cyber-sécurité puis à tirer un meilleur parti de leurs appareils iOS.
Good Technology™, le leader des solutions sécurisées de mobilité d’entreprise, annonce aujourd’hui que Good for Enterprise™ (GFE) est devenue la première solution de sécurité mobile utilisant un conteneur à être certifiée par l’organisme Defence Signals Directorate (DSD) du gouvernement australien. Cette certification, DSD Cryptographic Evaluation (DCE) certification1, permettra aux appareils iOS sécurisés avec Good for Enterprise de communiquer et de stocker des informations classifiés jusqu’au niveau ‘Protected’.
« La certification du niveau de sécurité ‘protected’ est le Saint Graal », a commenté à data security Breach Kevin Noonan, Ovum Public Sector Research Director. « A travers cette large palette de fonctionnalités qu’offre Good, telles que l’accès aux e-mails, au calendrier, aux contacts, à l’intranet et le visionnage des documents, il sera beaucoup plus facile de répondre à la majorité des besoins des professionnels dans la plupart des agences gouvernementales australiennes. »
La DSD est une agence de renseignements du Ministère de la Défense australien. La DSD fournit des recommandations et des services de sécurité principalement aux agences fédérales et gouvernementales australiennes. La DSD travaille également en étroite collaboration avec les industriels pour développer et déployer des produits cryptographiques sécurisés.
« En tant que ministère rattaché au CommonWealth, nous avons des exigences élevées concernant la protection et la sécurisation des informations du gouvernement » a declaré à Datasecuritybreach.fr Al Blake, Chief Information Officer, au Département d’Etat du Développement Durable, de l’Environnement, de l’Eau, de la Population et des Collectivités. « En déployant Good, avec son conteneur chiffré, cela permet aux utilisateurs finaux d’utiliser l’appareil mobile de leur choix, ce qui minimise les frais de gestion des terminaux tout en ayant le niveau de sécurité élevé dont nous avons besoin pour les informations gouvernementales. Le déploiement a été un énorme succès et a permis d’augmenter considérablement la connectivité du personnel et la flexibilité au travail. »
En plus de la solution GFE récemment certifiée, les solutions de Good fournissent une plateforme de mobilité complète au gouvernement. Bien que DSD l’ait certifié pour iOS, GFE prend également en charge Android et Windows Mobile. Les ministères australiens peuvent également bénéficier du meilleur des applications développées par des éditeurs tiers, comme des éditeurs de documents, SharePoint, toutes sécurisées par la plateforme de développement d’applications de Good, Good Dynamics.
En outre, Good Dynamics permet aux utilisateurs de créer et de déployer leurs propres applications sous iOS, enrichissant ainsi l’expérience utilisateur et améliorant la productivité tout en assurant la sécurité des données.
La certification par la DSD du conteneur sécurisé de Good Technology permet aux ministères d’utiliser de manière bien plus productive leurs terminaux iOS, sans faire de compromis sur la cyber-sécurité. La principale exigence pour les organisations du secteur public devrait être de minimiser le risque de compromission des données, telles que des fuites depuis des terminaux ou des réseaux.
La solution de Good Technology de gestion des périphériques mobiles (MDM) offre non seulement une solution complète sécurisé de bout en bout, mais fournit également aux administrateurs la possibilité de surveiller, de gérer et d’aider les utilisateurs d’iOS. Le support technique peut rapidement résoudre les problèmes, et donne une vision complète de tous les appareils iOS déployés au sein d’un département grâce au tableau de bord. A tout moment et de n’importe où, les administrateurs peuvent protéger les réseaux et les données en bloquant l’accès à partir des appareils ‘jailbreakés’, et en effaçant à distance les smartphone et tablettes volés ou perdus.
1 : Common Criteria (CC) certification is ongoing
Smartphone quasi indestructible
La perte de données peut aussi se dérouler après la chute de son portable. Imaginez, sur les pistes, et … paf! … e portable termine sa course contre un sapin. Cet hiver, la neige était au rendez-vous et bon nombre d’utilisateurs de smatphones sont encore sur les pistes à profiter du sport de glisse préféré des français. Avec la croissance effrénée des nouvelles technologies, rester connecter même sur les pistes, devient un jeu d’enfant. Mais qu’en est-il des chutes à grande vitesse lorsque son smartphone dernier cri est dans la poche de sa combinaison ? Températures extrêmes, chutes ou encore neige qui s’insinue partout, beaucoup de smartphones ne tiennent pas le choc face aux conditions hivernales. Caterpillar lève le voile sur son nouveau mobile idéal pour la saison du ski : le Cat B15.
A toutes épreuves
• Protéger des chutes : L’appareil est protégé par de l’aluminium anodisé argent et un caoutchouc absorbant les chocs.
• Waterproof : Le Cat B15 est certifié IP67. Ce standard industriel signifie que le dispositif est étanche, capable de résister à l’immersion dans un mètre d’eau pendant 30 minutes. Pas de problème d’utilisation lorsque les mains sont mouillées.
• Résistance aux températures extrêmes : Le Cat B15 fonctionne par des températures allant de -20º C à +55º C. Il est donc protégé de la neige mais également du sable pour les vacances d’été !
Qui connaît son ennemi comme il se connaît…
Cette citation de Sun Tzu, issue de l’Art de la Guerre et écrite dès le Vème siècle avant Jésus-Christ, continue d’inspirer nombre de stratégies militaires ou commerciales, mais ne vaut que si l’on considère l’ensemble du constat : « Qui se connaît mais ne connaît pas l’ennemi sera victorieux une fois sur deux. Que dire de ceux qui ne se connaissent pas plus que leurs ennemis ? ». Par Eric Soares, Vice-président France de Symantec pour Data Security Breach.
Les entreprises et les gouvernements ont-ils conscience de la multiplication des cyber-menaces ? Les plus connues d’entre elles ne cessent de baisser : seules 4 % d’entre elles sont des virus ; le taux de spam a baissé de plus de 30 % sur les douze dernier mois. Ces « vieilles » menaces sont connues des individus, des entreprises et des gouvernements, qui se sont, au cours des années équipés pour les contrer. Néanmoins, les attaques malveillantes avaient augmenté de 81 % en 2011, les attaques web de 36 % et le nombre de variantes uniques de code malveillant atteignait les 403 millions, des tendances qui n’ont cessé de s’affirmer depuis, avec le succès dont on entend trop souvent parler hélas. Les entreprises et gouvernements doivent en outre faire face à l’augmentation des attaques ciblées, qui touchent non seulement les dirigeants, mais également les différentes fonctions de l’organisation ouvertes sur l’extérieur. Il convient également de tenir compte des attaques visant la production-même des entreprises ou leur fonctionnement, telles que le désormais très connu Stuxnet ou la plus discrète Narilam, qui modifiait des bases de données comptables. Enfin, à ces menaces externes viennent s’ajouter les risques internes : selon une étude récente menée avec le Ponemon Institute, 60 % des employés ont déclaré prendre des données appartenant à leur employeur lorsqu’ils le quittent.
Qu’elles soient internes ou externes, les entreprises tout comme les gouvernements doivent non seulement avoir conscience mais également la connaissance des cyber-menaces qu’elles doivent affronter.
Le périmètre des risques doit également être réévalué. Il y a encore quelques années, les systèmes d’information étaient limités aux ordinateurs et serveurs se trouvant dans les murs des organisations. La moitié de leurs données se trouvent désormais en dehors de leur pare-feu. Aujourd’hui le développement du cloud et celui de la mobilité, séparément et conjointement, sont certes porteurs de nouvelles opportunités pour les entreprises et les gouvernements, mais signifient également une multiplication des points d’entrée pour les menaces et nécessite une approche in-extenso de la sécurité. Celle-ci est en effet l’une des premières préoccupations des entreprises qui transfèrent tout ou partie de leur capital informationnel vers le cloud. C’est également une opportunité majeure de sécurité accrue… à condition de s’être assuré que ce même cloud, qu’il soit privé, public ou hybride, répond aux exigences de sécurité et aux obligations réglementaires les plus rigoureuses.
Le développement des terminaux mobiles à usage professionnel n’est évidemment pas un phénomène que l’on peut contrer, mais qu’il convient d’accompagner, là encore, afin de protéger au mieux les informations de l’entreprise. Aujourd’hui, 23 % des collaborateurs accèdent aux informations de l’entreprise via un appareil mobile. Il s’avère donc nécessaire de renforcer les politiques de sécurité, dont les niveaux doivent varier selon le propriétaire du terminal, et bien sûr de son utilisation.
Les organisations doivent donc tenir compte de ces nouveaux développements dans leur approche de la sécurité de leurs données, ou d’intégrer cette dernière dès la phase initiale de leurs projets de cloud et de mobilité la dimension sécurité. Mais est-ce toujours le cas ?
Les défis à relever sont particulièrement nombreux pour être « cyber-ready » et assurer la cyber résilience d’une organisation. Le risque 0 n’existe certes pas, mais il convient d’apprendre et de comprendre la multiplication et les différents types de cyber-menaces ainsi que les nouveaux périmètres à considérer, pour assurer une protection optimale et maximale des informations.
Astuces pour protéger les données de votre entreprise
Soyez attentifs ! Quelques astuces pour garder les données de votre entreprise à l’abri de l’intérêt de personnes mal intentionnées. Par Wieland Alge, pour Data Security Breach, Vice président Europe – Barracuda Networks.
Pour les informations importantes, n’utilisez que des sources que vous savez être sûres. De manière générale, ne faites pas confiance à un tiers si vous n’avez pas été l’auteur du premier contact. Si votre banque vous téléphone et vous demande des informations spécifiques, évitez de les donner. À la place, il vaut mieux que vous contactiez vous-même votre banque en utilisant les numéros de contact que vous savez être sûrs. Ils sont généralement inscrits au dos de votre carte bancaire ou sur le site internet de votre banque.
Ayez le même réflexe avec vos emails.
Au lieu d’utiliser les URL contenues dans vos emails pour vous assurer qu’elles renvoient bien aux bonnes adresses, il est préférable de ne pas cliquer sur ces liens, car il est toujours possible de tomber dans un piège. Les emails provenant de Paypal ou d’organismes similaires doivent être ignorés. À la place, rendez-vous sur le site internet de l’organisme en question en tapant manuellement l’URL dans votre navigateur, puis connectez-vous à votre compte. S’il y a réellement quelque chose que vous devez savoir, cela sera très clairement indiqué après votre connexion.
Mettez au point une technique d’interrogatoire.
La mise en place de ce genre de technique au sein d’une entreprise est contre nature et peut demander des efforts, mais elle permet également de stopper une grande partie des attaques et de résoudre certains problèmes organisationnels. Il faut régulièrement demander à tous les employés, nouveaux comme anciens, de présenter un badge lorsqu’ils souhaitent accéder à une zone sensible ou à des données importantes. Ils doivent savoir qu’ils sont responsables de leur badge et de l’utilisation qu’ils en font. Cette technique permet également de stopper les employés qui s’accordent plus de permissions sans y être autorisés. Félicitez publiquement ceux qui signalent les problèmes éventuels et qui prennent des mesures pour les corriger, et récompensez-les si possible.
Gardez des rapports d’entrée et de sortie pour les zones sensibles.
Assurez-vous que les employés comprennent que ce n’est pas parce qu’une personne est haut placée dans la hiérarchie de l’entreprise qu’elle peut transgresser les règles.
Méfiez-vous de ceux qui s’intéressent trop à votre entreprise.
si vous les avez rencontrés dans le bar ou le café du coin : ce ne sont probablement que des commerciaux, mais il pourrait aussi s’agir d’escrocs. Vous ne perdrez généralement pas grand-chose à éviter ces deux types de personnes.
Ayez conscience que la technologie et la nature humaine ont leurs limites.
Malheureusement, les configurations techniques en matière de sécurité ont toujours des limites. Une fois que vous l’aurez compris, cela pourra vous aider à prévenir les attaques. Dans le meilleur des cas, les paramètres ne sont juste pas assez suffisants, et même avec des programmes adéquats et des contrôles d’accès, la sécurité est à la merci de l’utilisateur : intermédiaire à la fois le plus fort et le plus faible.
Quelques conseils de Datasecuritybreach.fr pour les entreprises afin d’éviter les vols de données sur les différents réseaux de communication :
Téléphone :
1. Ne donnez jamais à personne vos mots de passe de sécurité.
2. Ne divulguez jamais les informations sensibles de votre entreprise, à moins que ce ne soit à une personne que vous connaissez dans la vraie vie et qu’il ou elle ait une autorisation. Même pour les appels des personnes qui déclarent vouloir joindre le patron de votre entreprise, il vous faut vérifier l’identité de l’appelant avec les protocoles de sécurité de l’entreprise.
3. Donnez l’alerte si vous entendez un de vos collègues transgresser les règles précédentes.
Internet :
4. Soyez toujours prudents avec les URL des pages internet et des emails. Avant de cliquer sur un lien, passez votre souris dessus pour vous assurer qu’il renvoie à la bonne adresse, ou tapez l’URL manuellement dans votre navigateur.
5. Soyez vigilants face aux emails inhabituels dans votre boite de réception. Si vous y répondez, revérifiez le contenu de votre email et de votre liste de destinataires CC.
En personne :
6. Demandez toujours aux employés de présenter leur badge d’identité lorsqu’ils entrent sur le lieu de travail.
7. Utilisez des badges d’identité temporaires pour les visiteurs, les amis, le personnel de service et de distribution ; et raccompagnez-les à chaque fois.
8. Formez vos employés afin qu’ils aient les connaissances appropriées en matière de sécurité, et plus particulièrement ceux qui sont les cibles les plus faciles à atteindre comme le personnel de l’accueil, du service client ou du service commercial.
Rentabiliweb atteint le plus haut degre de securite en matiere de transactions bancaires
Par ailleurs, Rentabiliweb Europe annonce le renouvellement et l’extension de sa certification PCI DSS (Payment Card Industry Data Security Standard) au niveau 1 Service Provider, soit le plus haut niveau d’exigence en matière de sécurité informatique sur le traitement des données bancaires. Largement répandu dans les pays anglo-saxons et de plus en plus en France, le standard PCI DSS est avant tout une mesure de protection des données bancaires pour tous les sites marchands et fournisseurs de solutions de paiement qui traitent, transportent et stockent des données de cartes bancaires.
Etre conforme au standard PCI DSS, ou passer par un prestataire de services de paiement (PSP) certifié, affranchit le marchand de sa responsabilité sur le traitement des données bancaires, notamment en cas de point de compromission (POC) avéré. Dans un environnement PCI DSS, le marchand ne risque plus de subir les pénalités, souvent très lourdes, de la part des réseaux interbancaires (VISA, Mastercard, GCB).
Obtenir la certification PCI DSS est un processus lourd, contraignant et chronophage pour les commerçants. Grâce à la solution de paiement Be2bill, les marchands confient la sécurisation de leurs transactions à un tiers de confiance certifié au plus haut niveau. Be2bill gère en effet 100% du processus de traitement des données bancaires, en assume l’entière responsabilité et permet à ses clients de se consacrer entièrement au développement de leur activité.
En tant que PCI DSS service provider niveau 1, Rentabiliweb Europe se soumet à un audit de conformité rigoureux effectué par un organisme indépendant et reconnu, le Qualified Security Assessor (QSA). Rentabiliweb s’appuie sur une référence française en matière d’audit de sécurité informatique : Hervé Schauer Consultants. Les audits de contrôle seront trimestriels et porteront sur la fiabilité du réseau, l’analyse des règles de configuration, l’absence de failles de sécurité, etc. Ils seront réalisés par un Approved Scanning Vendors : Qualys.
L’extension du certificat PCI DSS au plus haut niveau de sécurité, au-delà des bénéfices qu’elle apporte au groupe et à ses clients, est une étape indispensable pour Rentabiliweb dans la préparation de son dossier d’établissement de crédit. « Depuis 10 ans nous travaillons non seulement à la mise en conformité, mais également à la définition de nouveaux standards de sécurisation des datas. La certification PCI DSS, qui a porté sur 12 exigences et plus de 120 points de contrôle, récompense les investissements humains et techniques que nous avons massivement déployés au cours des 20 derniers mois.» précise à datasecuritybreach.fr Romain Pera, Directeur technique de Rentabiliweb Europe. « Je m’étais engagé à amener le groupe Rentabiliweb au plus niveau technique en termes de traitement de données sensibles, afin de servir nos clients e-commerçants les plus exigeants. C’est chose faite.» indique à Data Security Breach Jean-Baptiste Descroix-Vernier, président du groupe Rentabiliweb.
*La norme PCI DSS est prescrite par les principaux fournisseurs de cartes de paiement. Elle détermine les règles et processus à respecter par les entreprises qui traitent, transportent et stockent des données de cartes bancaires.
Aux calendes grecques la protection des données
Après les Commission du Marché intérieur et de l’Industrie, c’était au tour de la Commission des Affaires juridiques de se prononcer sur la proposition de la Commission européenne. En adoptant aujourd’hui l’avis Gallo (14 voix pour, 6 contre, 1 abstention), la Commission des Affaires juridiques a vidé encore un peu plus de son contenu la proposition de la Commission européenne visant à renforcer la protection des données personnelles. L’eurodéputée socialiste Françoise Castex dénonce, auprès de Datasecuritybreach.fr, le compromis de l’UDI Marielle Gallo avec les ultralibéraux: « le résultat de cette alliance est déplorable pour le consommateur et fait le jeu des géants Google et autres Facebook. Marielle Gallo, qui se prétend depuis des années le héraut de l’identité culturelle française, a sacrifié les données personnelles des citoyens européens sur l’autel des multinationales américaines (…) Comment peut-on être arc-bouté sur les droits de propriété intellectuelle et être aussi hermétique au droit à disposer de ses données personnelles ? Mme Gallo n’aime décidemment pas les internautes!« , ironise-t-elle.
Pour le Vice-présidente de la Commission des Affaires juridiques: « Nous devons renforcer les droits des citoyens si nous voulons restaurer leur confiance dans les entreprises sur internet. La droite, qui avait soutenu la résolution du Parlement du 6 juillet 2011 sur le renforcement de la protection des données, à cédé aux sirènes des lobbyistes et fait marche arrière! Force est de constater qu’elle n’a pas eu le courage d’imposer les règles claires et protectrices qu’elle appelait de ses vœux il y a à peine deux ans. C’est déplorable!«
Pour l’eurodéputée socialiste, « Nous devons exiger un consentement explicite, préalable et informé de l’utilisateur pour chaque acte de collecte, de traitement ou de vente de ses données. Il nous faut par ailleurs protéger les citoyens de toute forme de discrimination résultant des mesures de profilage en encadrant strictement ce dernier. Pour ce faire, nous devons sanctionner lourdement les entreprises dans les cas d’abus et les mettre devant leurs responsabilités en cas de négligences conduisant à la fuite de données personnelles. » Avant de conclure: « Garder la maîtrise de ses données personnelles doit être un droit fondamental. »