Archives de catégorie : Identité numérique

Cyber-attaque, Fuite de données, Identité numérique, Leak, Piratage, Vie privée

Piratage de KickStarter

2 commentaires

Nouvelle attaque, nouvelle fuite et nouveau vol de données appartenant à des internautes. Cette fois, c’est le portail de financement participatif KickStarter (Un MajorCompagny américain, ndr) qui vient de subir le passage d’un pirate dans sa base de données.

Une injection SQL plus tard et le malveillant est reparti avec les données clients : noms, adresses … Les mots de passe compris. Ces derniers sont chiffrés en MD5, détail technique qui ne devrait pas durer bien longtemps face à un logiciel de reverse de mot de passe.

KickStarter ne s’est jamais rendu compte de rien. C’est la police qui a contacté l’entreprise, mercredi 12 février, pour l’avertir de l’attaque. Depuis, la faille SQL a été corrigée. Pas être rassurant, KickStarter indique que les données bancaires de ses clients n’ont été impactés. Il n’avait aucune preuve de l’utilisation des données volées. Déjà qu’ils n’ont pas vu l’attaque, alors dire qu’il n’y a pas eu d’utilisation est légèrement prématurée. « Par mesure de précaution, nous vous recommandons fortement de créer un nouveau mot de passe pour votre compte Kickstarter, et autres comptes où vous utilisez ce même mot de passe« .

 

Entreprise, Fuite de données, Identité numérique, Vie privée

La commission « Libertés civiles » du Parlement européen ouvre la voie à une réelle protection de la neutralité du Net

Le 12 février, la commission « Libertés civiles » (LIBE) du Parlement européen a adopté son rapport pour avis [1] sur la proposition de règlement relatif au marché unique européen pour les communications électroniques. Des amendements clés ont été adoptés, qui, s’ils étaient inclus dans la version finale du texte, garantiraient l’application de la neutralité du Net au sein de l’Union européenne. La Quadrature du Net met en garde la commission « Industrie » (ITRE), en charge du dossier, contre les tentatives d’adoption d’amendements édulcorés qui permettraient aux opérateurs de télécommunication de distribuer des services spécialisés d’une manière qui limiterait radicalement la liberté de communication et l’innovation sur Internet.

Grâce aux amendements déposés par les groupes Verts, S&D et ALDE, des versions solides des articles clés 2(15) [2] et 23 [3], et de leurs considérants, ainsi que des dispositions sur les services spécialisés et des dispositions assurant l’application effective de la neutralité du Net, sont maintenant incluses dans le rapport de la commission « Libertés civiles ». Le rapporteur PPE Salvador Sedó i Alabart (ES – PPE) a lui-même soutenu des dispositions positives. La Quadrature du Net remercie tous les eurodéputés qui ont contribué à ce vote.

Le texte adopté doit maintenant être considéré comme une référence pour le reste de la procédure législative, particulièrement pour la commission ITRE, qui prépare la version finale des recommandations adressées à l’ensemble du Parlement européen sur ce dossier. Néanmoins, des inquiétudes importantes subsistent concernant l’issue du vote de la commission ITRE. Les amendements de compromis [4] proposés par la rapporteure Pilar del Castillo Vera (ES – EPP) ouvrent la porte aux abus des opérateurs de télécommunications de manière scandaleuse. Pire encore, ces amendements ignorent entièrement la substance des meilleures propositions déposées par les autres députés de la commission – y compris par les membres de son propre groupe politique [5]. Enfin, ils entrent fortement en contradiction avec les principaux amendements votés en commission LIBE aujourd’hui, qui assureraient que le futur règlement protège les droits fondamentaux.

À ce stade de la procédure, il est inquiétant que même les rapporteurs fictifs des groupes politiques favorables aux amendements positifs ne s’opposent que extrêmement timidement à la rapporteure. Soutenir les amendements de compromis de del Castillo équivaut à ignorer les intérêts et droits des citoyens européens, et à laisser carte blanche aux opérateurs télécom pour mettre en place une discrimination illégitime des communications sur Internet. Tous les rapporteurs fictifs de la commission ITRE – Jens Rohde (DK – ALDE), Catherine Trautmann (FR – S&D), Amelia Andersdotter (SE – Verts/ALE), Giles Chichester (UK – ECR) – doivent rendre leur position publique, et permettre à tous de juger leurs responsabilités dans la version définitive du rapport ITRE, adoptée durant le vote prévu pour le 24 février. Si ces députés, ou d’autres membres de leur groupe, refusent de tenir compte des recommandations émanant de leur propre groupe politique au sein de la commission LIBE, et adoptent des amendements de compromis faibles, ou même mettant en danger la neutralité du Net, les citoyens européens les tiendront pour responsables, particulièrement lors des élections européennes [6] à venir.

« Les citoyens européens doivent faire entendre aux membres de la commission « Industrie » qu’il n’existe qu’un seul vote acceptable : le rejet des soi-disant « amendements de compromis » de Mme Pilar del Castillo Vera et l’adoption d’amendements aux articles 2(15) et 23 similaires à ceux de la commission LIBE. Pour qu’Internet puisse continuer à bénéficier de l’innovation et de la liberté de communication, le droit européen doit clairement interdire aux opérateurs télécom de commercialiser des services spécialisés techniquement identiques aux services en ligne déjà disponibles sur Internet » déclare Philippe Aigrain, cofondateur de La Quadrature du Net.

« Chaque voix comptera le 24 février, lors de l’adoption de la version finale du rapport de la commission « Industrie » sur la proposition de règlement. Nous appelons chacun de ses membres à s’opposer à la position de la rapporteure Pilar Del Castillo Vera et à voter en faveur des amendements clés adoptés en commission « Libertés civiles », qui seuls peuvent assurer la protection des droits fondamentaux, de la libre concurrence et de l’innovation sur l’Internet ouvert », conclut Miriam Artino, analyste politique et juridique pour La Quadrature du Net.

* Références *
1. http://www.europarl.europa.eu/sides/getDoc.do?pubRef=-%2f%2fEP%2f%2fNONSGML%2bCOMPARL%2bPE-523.069%2b01%2bDOC%2bPDF%2bV0%2f%2fFR
2. Article 2(15) : « « service spécialisé », un service de communications électroniques ou un service de la société de l’information qui fournit une capacité d’accès à des contenus, des applications ou des services spécifiques, ou à une combinaison de ces derniers, ou bien la capacité d’envoyer ou de recevoir des données à destination ou en provenance d’un nombre déterminé de parties ou points terminaux et qui n’est pas commercialisé ou largement utilisé comme produit de substitution à un service d’accès à l’internet; »
3. Article 23, sur la « liberté de fournir et de se prévaloir des offres d’accès à un internet ouvert, et gestion raisonnable du trafic »
4. https://www.laquadrature.net/files/NN-Castillo-ITRE-CA.pdf
5. Voir : http://edri.org/bad-leadership-kill-open-internet-europe/ [en]
6. http://www.wepromise.eu/

BYOD, Cloud, Entreprise, Fuite de données, Identité numérique

La gestion de l’identité au cœur des préoccupations des services informatiques en 2014

Andre Durand, CEO de Ping Identity, le leader de la gestion sécurisée de l’identité, partage ses prédictions avec les lecteurs de DataSecurityBreach.fr pour l’année 2014. Si l’on se fie à l’évolution des 12 derniers mois, 2014 va connaître d’autres avancées en matière de gestion des identités. En 2013, l’évolution a revêtu de multiples facettes. Les acronymes ont gagné en notoriété : MFA, IoE, API, REST, JSON et JWT. La norme OAuth a été approuvée et OpenID Connect approche de son terme. Le duo forme la base qui va agir sur l’évolution de l’identité numérique en 2014 : mobile, cloud, contrôle d’accès, fédération, infrastructure et plates-formes d’identité. « Le vol de millions de mots de passe en 2013 sur des sites allant d’Adobe à Facebook et GitHub peut avoir ébranlé suffisamment les utilisateurs, les fournisseurs de services et les commerçants en ligne pour que la question de la sécurité supplante finalement celle du confort d’utilisation ». Conscient de tous ces changements, voici une liste de six prédictions pour 2014 :

1. Le MFA (Multi-Factor Authentification) pour la facilité d’utilisation
Le MFA pour les terminaux mobiles va se répandre de plus en plus et gagner en qualité. Chacun possède un système différent pour s’authentifier sur son terminal mobile (mot de passe, code chiffré, etc.) mais en 2014, les plus fondamentaux vont prévaloir. Cet intérêt à l’égard du MFA marque le début d’une tendance plus vaste qui va finir par en engendrer une autre : les objets comme facteur d’authentification. Par exemple, votre bracelet Fitbit Flex pourra probablement vous permettre de déverrouiller votre smartphone…

2. L’essor du BYOI (Bring Your Own Identity)
La connexion aux applications d’entreprise se fera de plus en plus via nos identifiants et mots de passe personnels utilisés pour les réseaux sociaux. La mise en place du MFA permettra notamment de généraliser cet usage. Toutefois, les exigences en matière de sécurité ne seront pas à négliger pour autant. Ce mode d’identification conviendra pour les ressources demandant un degré minimal de sécurité, mais un autre type d’identification (fourni ou approuvé par l’entreprise) sera requis en cas d’exigences plus strictes.

3. L’authentification continue : un seul couple identifiant/mot de passe pour un accès à des milliers d’applications en toute sécurité
Le dispositif d’authentification continue renforce le degré de sécurité lors d’une ouverture de session sur un terminal, mais aussi pendant toute la durée d’utilisation du terminal. Les entreprises vont tendre de plus en plus à adopter ce dispositif d’authentification continue. Conjuguée à des solutions de gestion des identités et d’authentification biométrique, l’authentification continue va permettre de réduire les coûts et améliorer la facilité d’utilisation. Il ne sera plus nécessaire de rentrer son identifiant et son mot de passe pour accéder à une application. En revanche, la procédure de connexion à l’ouverture de cession sera plus lourde.

4. La fédération des identités évolutive
Les entreprises utilisant des solutions classiques de fédération des identités, et souhaitant multiplier par cent voire milles leur nombre de partenaires, et donc ajouter plus d’identités à leur solution de fédération, devront faire face à des limitations fonctionnelles ou technologiques. C’est là qu’intervient la fédération évolutive. Elle va permettre d’intégrer des technologies comme Trust Frameworks, Multi-Party Federation (comme par exemple InCommon), des architectures de Centralized Proxy ou encore du Metadata Peering. La fédération évolutive va demander de combiner tous ces éléments, ou une partie.

5. Le nombre de fournisseurs de solutions de gestion des identités se réduit au profit d’une meilleure qualité de prestation
La liste des fournisseurs en solutions IAM (Identity Access Management) n’a cessé de s’agrandir. Cependant, elle va se réduire en 2014. Certains d’entre eux seront sous le contrôle d’autres plus dynamiques ou mieux établis. Les solutions d’authentification sur les terminaux mobiles, la gestion des mots de passe et le SSO (Single Sign-On) en mode cloud figurent parmi les domaines d’activités où la concurrence s’avère intense car c’est là où la demande est la plus forte.

6. La gestion des identités devient un aspect fondamental de la sécurité du cloud
L’importance des solutions IAM devient de plus en plus une évidence pour les entreprises. De ce fait, ces solutions vont désormais être reconnues parmi les références en matière de gestion sécurisée des identités notamment pour l’accès au cloud. La RSA Conference en février, le Cloud Identity Summit en juillet et le Cloud Security Alliance Congress en décembre vont assoir ce statut. (Andre Durand, CEO de Ping Identity)