Le chercheur en sécurité Andreas Kurtz vient de lâcher un grain de sable dans la communication d’Apple. La grosse pomme affirmait que les documents communiquées par courriel d’un iPhone ou d’un Ipad étaient sécurisés quand elles étaient sauvegardés dans ces « précieux ». Les pièces jointes ne pouvaient être lues, car chiffrées « à partir des capacités de chiffrement matériel de l’iPhone et de l’iPad, la sécurité des e-mails et pièces jointes stockés sur l’appareil peut être renforcée par l’utilisation des fonctionnalités de protection des données intégrées à iOS« . Bref, un charabia qui indique que l’on peut dormir tranquille, c’est « secure ».
Sauf que Kurtz vient de démontrer le contraire. Via son iPhone 4, sous iOS 7, et une fois l’option de protection des données activée, le chercheur s’est rendu compte que ses courriels étaient bien inaccessibles. Les pièces jointes, elles, étaient lisibles et non sécurisées. Inquiétant, Apple semble au courant de la faille et ne l’a toujours pas corrigé. La nouvelle version d’iOS (V. 7.1.1) n’a pas pris en compte cette potentialité malveillante, et ne la corrige pas. C’est étonnant, car Andreas Kurtz a prouvé qu’il était possible à un malveillant de mettre la main sur les données envoyées d’un appareil Apple.
Fin avril les Sénateurs Alain Anziani et Antoine Lefèvre sont revenus sur le vote électronique en France. Une innovation qui n’a pas prospéré. DataSecurityBreach.fr a reçu le rapport des deux sénateurs. Découverte ! Le vote par machine figure dans notre droit électoral depuis 45 ans comme une alternative au bulletin papier (vote à l’urne). Leur utilisation relève du libre choix des communes. Les nombreuses critiques qu’elles ont suscitées à l’occasion de l’élection présidentielle de 2007, « bien qu’aucun fait majeur n’ait perturbé la régularité des scrutins organisés dans les bureaux dotés de machines à voter », indique les sénateurs Alain Anziani et Antoine Lefèvre ont conduit le Gouvernement à geler, en 2008, le périmètre des communes utilisatrices. Cette décision est toujours en vigueur.
Plus de six ans après, Alain Anziani et Antoine Lefèvre ont proposé que ce dossier soit réouvert en tenant compte des données récentes. Critiqué dès sa création, ce dispositif n’est jamais parvenu à écarter toutes les craintes résultant de ce bouleversement de notre rituel républicain. Son implantation reste modeste. Quant au débat sur sa conformité aux exigences entourant l’exercice du droit de vote, il n’est pas clos, malgré l’évolution des technologies.
Lutter contre la fraude électorale
Inspiré des États-Unis, le recours à des machines comme mode alternatif du vote à l’urne pour les élections politiques a été prévu par la loi n° 69-419 du 10 mai 1969 modifiant certaines dispositions du code électoral. Ce texte avait pour objectif de lutter contre la fraude constatée dans plusieurs circonscriptions. Il prévoyait d’introduire des machines à voter dans les communes de plus de 30 000 habitants. Pour le secrétaire d’État à l’intérieur, André Bord, « l’utilisation de ces machines est de nature à éliminer les fraudes qui peuvent être commises pendant le déroulement des opérations de vote et pendant le dépouillement du scrutin ». Le Gouvernement soulignait aussi que cette technique moderniserait les opérations de vote « en évitant l’emploi de scrutateurs et en supprimant tout risque d’erreur, dans les circonscriptions qui comptent un nombre élevé d’électeurs ».
Machine de la ville d’Annoeullin (59).
La première expérience intervint lors des élections législatives des 4 et 11 mars 1973. Elle donna lieu à de nombreux incidents : « un des modèles agréés ne présentait pas de garanties suffisantes de fiabilité ». Après son retrait, les deux autres modèles furent à nouveau utilisés pour les scrutins suivants (élections cantonales de 1973 et 1976, municipales de 1977, législatives de 1978 et diverses élections partielles) sans que leur mise en service soit très concluante : « les défaillances, les pannes subies par ces matériels de même que le coût très élevé de leur maintenance, ont conduit à les retirer peu à peu du service».
420 machines étaient en service en 1977. Elles furent supprimées dans la région parisienne à compter de 1984 après les conclusions d’un nouveau bilan. En 1988, elles ne subsistaient que dans les communes de Bastia et d’Ajaccio. Lors de l’élection présidentielle de 2007, quatre-vingt-trois communes étaient autorisées à utiliser des machines à voter. Elles comptaient 1,5 million d’électeurs, soit 3 % du corps électoral. Plusieurs difficultés survenues au cours du premier tour ont à nouveau conduit à de nombreuses critiques répertoriées par le groupe de travail mis en place par le ministre de l’intérieur en septembre 2007.
114 critères techniques
Sur la base des 114 critères techniques fixés par le règlement technique, trois types de machines à voter sont aujourd’hui agréés : les machines ESF1 fabriquées par la société néerlandaise NEDAP et commercialisées par France Élections. Leur agrément a été délivré par un arrêté du 12 avril 2007 ; les machines iVotronic de la société américaine Election Systems & Software (ES&S), distribuées par Berger Levrault et agréées par un arrêté du 15 février 2008 ; les machines Point & Vote plus de la société espagnole Indra Sistemas SA. Le maintien de l’agrément est soumis à un contrôle de la machine tous les deux ans. Le ministère de l’intérieur a indiqué aux sénateurs Alain Anziani et Antoine Lefèvre que le bureau Veritas a inspecté les machines ESF1 et iVotronic en 2012. En revanche, il ne détient aujourd’hui aucune information sur le matériel Point & Vote plus. Il est précisé, à cet égard, que les constructeurs et organismes certificateurs ne sont pas soumis à une obligation de transmission au ministère des rapports de contrôle. France élections estime entre 5 000 et 6 000 euros hors taxe (HT) le coût moyen d’équipement d’un bureau de vote. Les frais de maintenance et prestations annexes s’élèvent de 65 à 150 euros HT par bureau –donc par machine- et par élection. Pour Berger Levrault, le coût estimatif de la location d’une machine est de 2 300 euros HT pour une élection à deux tours et de 1 400 euros HT pour une élection à un tour lorsque celle-ci est postérieure à l’élection à deux tours. Ces montants incluent les matériels associés (BIP, Flash card, scellés, pack de communication) et l’ensemble des prestations induites (programmation, paramétrage, formation des présidents de bureau de vote, mise sous scellés, mise en place d’un serveur de centralisation le cas échéant, mise à disposition de techniciens le jour du scrutin, gestion de projet). Le prix de vente de la machine Point & Vote plus d’Indra est estimé
à 3 800 euros environ.
Trois types d’incidents
M. François Pellegrini a recensé trois types d’incidents susceptibles d’altérer la sincérité des résultats du scrutin : un dysfonctionnement de la machine comme celui de Schaerbeek, des rayonnements cosmiques, la malveillance. Celle-ci peut s’exercer par l’introduction d’un logiciel de détournement du vote qui, ensuite, s’autodétruit ou la modification du code du logiciel pour falsifier les résultats. Ces fragilités techniques justifient la procédure rigoureuse et sécurisée de stockage des machines destinée à préserver l’intégrité des équipements. Ce défaut de fiabilité du vote électronique a conduit l’Irlande, en 2009, à renoncer à l’utilisation des machines à voter. Même l’Estonie, à la pointe des nouvelles technologies, préfère le papier au numérique. Ces exigences ont conduit, en 2006, les Pays-Bas à interdire un modèle de machines à voter à la suite d’un grave incident. Leur ambassade indiquait alors à Alain Anziani et Antoine Lefèvre qu’« un certain type d’irradiation des écrans, due à la présence de caractères accentués dans le texte, s’est avérée non sécurisée et pourrait être lue à distance». Dans le même temps, des chercheurs prouvaient la simplicité à modifier les équipements. Dès lors que la confiance dans le vote était rompue, les machines ont été supprimées. Une étude du Chaos computer club a prouvé que « les appareils utilisés étaient facilement manipulables, sans que lesdites manipulations puissent être perçues par le votant ou par le président de la commission électorale». Et ce en dépit du fait que les appareils utilisés avaient été agréés par le ministère fédéral de l’intérieur, comme l’exigeait la procédure, après la délivrance d’un avis favorable de l’office fédéral de physique et de technique. Le groupe de travail du ministère de l’intérieur Français (2007) a, notamment, déploré qu’il « se révèle largement insuffisant sur certains points en ce qui concerne la sécurité informatique des machines, ce qui explique également que les trois modèles agréés présentent des niveaux de sécurité relativement différents ».
Exemples de faille
En 2011, une faille découverte dans l´un de ces isoloirs hitech. Une vulnérabilité informatique découverte dans le système de vote électronique Diebold AccuVote. La faille pouvait être utilisée pour altérer les résultats du vote. Bien évidement, ce « bug » ne laisse aucune trace d’effraction. Un dispositif peu couteux, aucune reprogrammation et encore moins devenir dans les jours qui viennent un génie de l’informatique. La vidéo ci-dessous montre comment il était simple de prendre le contrôle quasi complet sur ?la machine. Le plus délirant est que cela pourra se faire, à distance.
Démonter un bureau de vote en 59 secondes… pour le piéger
C’est pourquoi, au terme de leur réflexion, Alain Anziani et Antoine Lefèvre n’étaient pas, en l’état, favorables à la levée du moratoire décidé en 2007. « En définitive, le seul avantage décelé réside dans le gain de temps permis par le dépouillement électronique, indiquent les Sénateurs. Mérite-t-il de prendre, en contrepartie, tous les risques attachés à l’utilisation de l’électronique? » Alain Anziani et Antoine Lefèvre ne le pensent pas.
La dernière étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) annonce plus de 700.000 piratages bancaires en France, par an. Voilà qui devient intéressant. Les chiffres de la dernière étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) montre qu’il y aurait eu une hausse de 43% des piratages de données bancaires, en France, entre 2010 et 2013. Plus de 700.000 victimes se sont déclarées.
Le rythme des arnaques à la carte bancaire en France ne cesserait d’augmenter indique le Figaro à la suite de cette étude de l’Observatoire national de la délinquance et des réponses pénales (ONDRP) relative aux « débits frauduleux sur les comptes bancaires ». Des faits déclarés par des victimes lors d’une enquête « cadre de vie et sécurité» lancée par l’Insee. 14.500 ménages ont été interrogés pour cette enquête.
En 2010, 500.000 cas de fraudes bancaires avaient été annoncés. Trois ans plus tard, 200.000 nouveaux se sont invités dans ce compteur qui ne cesse d’augmenter. A noter que le rapport officiel de l’Observatoire de la Sécurité des Cartes de Paiement (OSCP) sur ce sujet doit être publié en juillet prochain. En 2012 (le site n’affiche aucun rapport pour 2013, ndr) l’OSCP annonçait un taux de fraude pour l’année 2011 à 0,077 % « en légère augmentation pour la quatrième année consécutive« . Cela correspondait à un montant total de fraude de 413,2 millions d’euros (contre 0,074 % et 368,9 millions d’euros en 2010).
Le géant américain de l’Internet AOL a lancé une enquête à la suite d’une fuite de données clients. Les clients américains d’AOL sont invités, depuis quelques heures, à modifier leurs mots de passe. Il semble qu’un pirate soit passé dans l’un des serveurs de la société et a mis la main sur des données sensibles qui ont permis de lancer plusieurs vagues de faux courriels aux couleurs du FAI.
AOL a annoncé ce lundi avoir lancé une plainte auprès des autorités fédérales à la suite de la découverte d’une probable fuite de sécurité dans l’une de ses machines. Fuite qui aurait permis à un pirate informatique l’accès à des comptes électroniques de ses clients. L’enquête et la plainte ont été lancées à la suite d’une hausse significative de phishing via des comptes AOL.
2% des comptes de l’entreprise auraient été utilisés
« L’enquête d’AOL est toujours en cours, nous avons déterminé qu’il y a eu un accès non autorisé à des informations pour un nombre important d’utilisateurs de comptes » explique le service presse d’AOL. Ces informations comprennent les adresses courriel d’utilisateurs AOL, leurs adresses postales, leurs listes de contacts, leurs mots de passe (Md5), leurs réponses aux questions de sécurité demandées quand un utilisateur modifie son mot de passe, ainsi que certaines informations concernant des employés. American Online indique que « par mesure de précaution, il est fortement conseiller de modifier son mot de passe« .
La justice Belge souhaite poursuivre des pirates russes qui auraient profité de la crise bancaire de 2008 pour s’attaquer à Dexia. En 2008, Russes et Ukrainiens s’aimaient. En 2008, les pirates de ces deux pays jouaient ensemble. En 2008, plusieurs d’entre eux se sont attaqués aux serveurs de la banque Dexia pour voler des données sensibles et privées. A l’époque, Dexia était dans la tourmente de la crise bancaire mondiale. Des pirates russes avaient volé des données bancaires qu’ils avaient revendu à des cybers escrocs Ukrainiens qui avaient blanchi l’argent, entre autres, via une banque Lettone. Bref, une mondialisation du crime qui avait coûté des millions d’euros à Dexia. L’agence Belga vient d’indiquer que le parquet fédéral souhaite poursuivre plusieurs de ces russes et ukrainiens. Le parquet envisage également de poursuivre une banque de Riga (Lettonie). L’enquête serait terminée, il ne reste plus qu’au juge à réclamer la tête des fautifs.
Gemalto, leader mondial de la sécurité numérique, a été choisi par Red Hat pour mettre en place un système de tokens de sécurité numérique permettant un accès à distance sécurisé à plus de 6000 employés de la société. Red Hat est le premier fournisseur mondial de solutions logicielles en accès libre ( » open source « ) qui s’appuie sur une approche communautaire pour mettre à disposition de ses utilisateurs des technologies cloud, Linux®, middleware, de stockage et de virtualisation fiables et hautement performantes. Le token Protivade Gemalto s’adapte en toute aisance à la technologie d’authentification élaborée de Red Hat permettant aux employés de la société de se connecter au réseau privé virtuel (VPN) et aux applications basées sur le langage de balisage d’assertion de sécurité (SAML).
Red Hat est à l’avant-garde des technologies open source. Il est donc d’autant plus important pour elle d’être capable de protéger ses informations sensibles par des mesures de sécurité plus élaborées qu’un simple nom d’utilisateur et mot de passe. Grâce au format de sécurité de Gemalto, Red Hat bénéficie d’un accès à distance sécurisé lui offrant un niveau supplémentaire de sécurité. Etant donné l’importance que revêtent pour Red Hat les solutions standards d’accès libre, l’interopérabilité de la solution de Gemalto permet à Red Hat de l’intégrer très facilement à ses systèmes de TI existants et futurs. Le déploiement d’un système d’authentification mutifacteurs offre des avantages supplémentaires qui s’ajoutent aux bénéfices directs pour les entreprises au plan de la sécurité. Il constitue également une mesure préventive qui permet de réduire les coûts que représentent les appels aboutissant aux helpdesks pour la reconfiguration de mots de passe. « Nous avions besoin d’une solution de sécurité offrant les mêmes standards que ceux nous nous attachons à promouvoir et l’assistance produit et à la clientèle de Gemalto tout au long du déploiement a permis à nos associés d’intégrer facilement et en un clin d’oeil le token au sein de notre processus d’authentification multifacteurs. » explique Jay Madison, Senior Director, Information and Services, Red Hat.
Un collectif Anonymous, via une filiale baptisée Lulz Lab, vient d’annoncer sur GitHub la création du projet AirChat. Dans une vidéo mise en ligne sur Vimeo, Lulz Lab explique que « nous croyons fermement que les communications devraient être libres. Libre autant que l’air lui-même. » AirChat a pour mission d’aider ceux qui n’ont pas les moyens de communiquer. Pauvres, dissidents, ONG, … « Maintenant le feu de notre liberté se consume. Nos voix sont soumises à des contrôles innombrables : financier, brevets, droits, règlements, censure…«
L’outil se compose d’une radio, d’un ordinateur, de quelques outils faits maison. AirChat permet de communiquer gratuitement, sans passer par Internet, ni d’un réseau de téléphonie cellulaire. C’est du moins ce que propose, sur le papier, AirChat. Il s’appuie sur une liaison radio disponible « ou tout autre appareil capable de transmettre de l’audio » souligne Lulz Lab.
Pour le moment, le projet n’est qu’en mode « papier », même si les inventeurs annoncent des essais sur plusieurs centaines de kilomètres de distance. « Ce projet a été conçu de nos leçons apprises lors d »es révolutions égyptienne, libyenne et syrienne« . Des appareils radios bon marché, des minis ordinateurs de poche « Fabriqués en Chine ». Voilà un projet qui pourraient être utilisés par un grand nombre de personnes dont les libertés sont baffouées. On ne peut qu’applaudir des deux mains.
Jusqu’à présent, Lulz Lab a pu jouer à des jeux interactifs d’échecs avec des personnes situées à plus de 200 kilomètres de distance. « Nous avons partagé des photos et établies des chats chiffrés. Nous avons pu aussi lancer une impression 3D sur des distances de 80 miles (128km) et transmis des dossiers médicaux à des distances de plus de 100 miles (160km). »
La faille a été annoncée par un expert en sécurité informatique, ce week-end. Le 0day, vulnérabilité utilisée par des pirates mais qui n’est pas publique, vise toute la famille des Internet Explorer, de la version 6 à la dernière la monture, la V. 11. Il faut, pour l’activer, visiter un site/serveur qui permettra l’exécution d’un code malveillant mal interprété par les navigateurs. Un pirate injecte son code et permet au navigateur, sans que l’internaute ne puisse s’en rendre compte, infiltrer son logiciel espion dans la machine du piégé. Selon FireEye, des pirates informatiques ont exploité ce 0day dans une opération malveillante à l’encontre d’entreprises financières et de la défense baptisée « Operation Clandestine Fox ».
Lors de la dernière conférence Messaging Malware Mobile Anti Abuse Working Group (M3AAWG) à San Francisco, Vade Retro Technology, spécialisée dans le développement et la distribution de solutions pour la protection et la classification intelligente de la messagerie, a présenté « isitphishing.org », un moteur d’exploration de pages web. A cette occasion, l’éditeur en a profité également pour annoncer l’ouverture d’une filiale à San Francisco.
« isitphishing.org » est un moteur d’analyse et d’émulation de sites web qui permet de lutter contre le phishing. Ce service collaboratif est développé par Vade Retro Technology et proposé gratuitement (pour une utilisation non commerciale) à la communauté. « En développant notre propre moteur, cela nous permet d’obtenir des performances d’analyse supérieures à celles proposées sur le marché jusqu’à présent » précise Adrien Gendre, Chef Produit de Vade Retro Technology.
Comment ça marche ?
Lorsqu’une requête est effectuée, le service vérifie dans la liste d’URL de phishing déjà connue par les services de Vade Retro si celle-ci est déjà présente. Si l’URL n’est pas connue, le moteur affiche un bouton vert confirmant ainsi que l’adresse ne renvoie pas vers un site frauduleux. Dans le cas contraire, le bouton est rouge confirmant la malveillance de l’adresse URL. Le moteur s’appuie sur différents brevets, règles heuristiques et profils définis par les ingénieurs du laboratoire de Vade Retro. « L’ensemble du scénario s’effectue en moins de 10 secondes et lorsque le moteur reconnaît l’aspect frauduleux d’un site web, il affiche le statut PHISHING» ajoute Adrien Gendre, Chef Produit de Vade Retro Technology.
Vade Retro utilise cette technologie depuis plus de 2 ans pour détecter les phishing sur l’ensemble des retours de ses clients et ses propres honey pots. « Dès qu’un utilisateur qualifie de « Courrier indésirable » un email, celui-ci remonte directement au sein de l’équipe de filtrage de Vade Retro Technology qui l’intègre à son algorithme de score. A ce jour, nous traitons 6 à 7 millions de « Courriers indésirables » par jour » explique Adrien Gendre. « Nous avons décidé de mettre à disposition ce service gratuitement afin de partager notre savoir-faire sur le phishing et pour en faire profiter tous les acteurs dans le but d’aller encore plus loin dans la lutte contre le phishing », commente Adrien Gendre, Chef Produit de Vade Retro Technology.
« isitphishing.org » s’adresse à la fois aux routeurs qui veulent s’assurer de ne pas transmettre de phishing (pour disposer d’une base clients propre et améliorer ainsi la délivrabilité des emails) ; aux hébergeurs qui souhaitent identifier les pages web frauduleuses pour assainir la base de sites web hébergés ; aux éditeurs de solutions de filtrage d’URL pour compléter leur liste d’URL de phishing ; aux FAI pour leur permettre de confirmer les retours utilisateurs et identifier les comptes émettant du phishing et aux banques et autres entités les plus victimes du phishing.
En ouvrant une filiale à San Francisco, Vade Retro Technology souhaite prendre des parts de marché sur le territoire américain. « Il s’agit d’un projet ambitieux pour Vade Retro Technology. Trois personnes seront présentes dès l’ouverture de la filiale. Le but est de s’imposer auprès des hébergeurs et des FAI comme nous avons su le faire en France et sur le continent nord américain, notamment avec OVH », conclut Georges Lotigier, Président de Vade Retro Technology.
Prosodie-Capgemini, spécialiste des applications « Front Office », annonce aujourd’hui son agrément en tant qu’hébergeur de données de santé à caractère personnel. Prosodie-Capgemini a obtenu cet agrément grâce au caractère hautement sécurisé de son activité d’hébergement, sa solidité financière et une pratique éthique de ses affaires commerciales. La dématérialisation croissante des données médicales, l’évolution des systèmes d’information centralisés vers des systèmes collaboratifs, ou encore la multiplication des parties prenantes intervenant sur les actes de santé (usagers, patients, médecins, entreprises…) sont autant de facteurs qui poussent les professionnels de la santé qui souhaitent externaliser l’hébergement de leurs données à caractère personnel, à se tourner vers des partenaires technologiques disposant de systèmes d’hébergement sécurisés.
Prosodie-Capgemini travaille depuis quinze ans sur les processus de gestion de la sécurité, et adresse très sérieusement les questions de disponibilité, intégrité, confidentialité et traçabilité des données de santé tout au long de leur cycle de vie. Cette démarche implique une adhésion humaine forte, engageant la responsabilité des intervenants de Prosodie-Capgemini sur le respect des obligations relatives à la protection des données de santé à caractère personnel. Elle se traduit par une politique de sécurité des données de santé, par une organisation interne spécifique sur le plan des ressources humaines (personnel accrédité) de la communication (campagnes régulières de sensibilisation) et du contrôle (audits internes réguliers), et par la mise en place de mesures de sécurité physiques et logiques avancées. La biométrie, par exemple, fait partie des mesures de sécurité logique mises en place pour renforcer la fiabilité des données et des applications.
« Grâce à notre grande maîtrise des processus de sécurité, nous avons obtenu cet agrément en moins de sept mois de procédure. Prosodie-Capgemini, porteur de cet agrément pour le Groupe, poursuit son investissement sur des solutions à forte valeur ajoutée qui répondent aux attentes des professionnels de la santé ou d’autres secteurs, tant sur le plan de l’innovation que celui de l’accélération de mise sur le marché de nouvelles offres de service» déclare Nicolas Aidoud, CEO de Prosodie-Capgemini.
Donnée de santé à caractère personnel : information relative à la santé d’une personne physique identifiée ou qui peut être identifiée, directement ou indirectement, par référence à un numéro d’identification ou à un ou plusieurs éléments qui lui sont propres.
Le décret n°2006-6 du 4 janvier 2006 définit les conditions d’agrément des hébergeurs de données de santé à caractère personnel sur support informatique. Cet agrément est délivré après une évaluation des capacités des candidats portant sur des aspects financiers, d’éthiques et de sécurité de leur activité d’hébergement.
Petites entreprises, grandes menaces : restez informés, restez protégés
