Cybersécurité

Problème de sécurité pour un espace Google

Un commentaire

Un bug aux potentialités malveillantes découvert dans un espace googlecode.com. Découverte d’un problème de sécurité qui pourrait, entre de mauvaises mains, nuire aux potentiels visiteurs du site GoogleCode.com. Cet espace, dédié aux développeurs, recèle des pages pouvant être exploitées de biens mauvaises façons. Dans l’un de ses espaces, une faille de type XSS. Un Cross Site Scripting qui pourrait permettre, comme le montre dans son émission du mois d’avril de ZATAZWeb.tv, d’afficher un message, diffuser un code malveillant, de mettre en place un espace phishing, …

L’entreprise a été alertée [#1254414323] mais a expliqué que ce problème n’était pas de son ressort (sic!). En attendant une correction, il est fortement conseillé de ne cliquer sur aucun lien renvoyant vers GoogleCode.com. DataSecuritybreach.fr vous conseille de taper, par vous même, l’url dans la barre de navigation de votre butineur préféré.

Argent, Banque, Particuliers

Problème pour la Banque ING

Intéressant bug, ces dernières heures, dans le système Internet de la banque ING. La banque néerlandaise a subi une défaillance majeure dans son système bancaire. Des dizaines de clients ont rapporté que leurs comptes en banque affichaient de mauvais soldes. Certains de ces clients se sont retrouvés avec des débits de plusieurs centaines d’euros. Bilan du « bug », les systèmes ont été coupés. Trop de visiteurs et, ce qui semble être une roue de secours, la coupure pure et simple des connexions à la page d’administration des comptes.

Au moment de l’écriture de cet article, Data Security Breach pouvait lire sur le site d’ING : «  Drukte op Mijn ING. Op dit moment zijn er zeer veel bezoekers op Mijn ING. Hierdoor is het nu helaas niet mogelijk om in te loggen. Probeert u het over enkele minuten nogmaals. Onze excuses voor het ongemak. » traduisez : « À l’heure actuelle, il y a de très nombreux visiteurs qui tente de joindre mon ING (l’espace privé des clients, ndlr DataSecurityBreach.fr). Il n’est malheureusement pas possible de se connecter. S’il vous plaît, essayez de nouveau dans quelques minutes. Nous nous excusons pour la gêne occasionnée. »

D’après les premières constatations, le problème viendrait de la société Rabobank. Certains services ne sont d’ailleurs plus disponibles. Les banques indiquent que cela est dû à un problème technique et pas un « hack ». En attendant, des clients ont cru au jackpot en étant crédités de plusieurs millions d’euros, pendant que d’autres perdaient l’ensemble de leurs économies !

D’après notre expérience, une mise à jour qui a du mal tourner. En France, en 2011, le Crédit Agricole avait connu le même yoyo bancaire. Après avoir été débités deux fois, des clients s’étaient vus crédités de l’argent trop perçu par la banque … deux fois ! Une coquille numérique qui avait prélevé deux fois le même montant lors d’un achat par carte bancaire. La banque avait été rapide à répondre à ses clients et à corriger le « bug ». Sauf que certains clients avaient été correctement remboursés… deux fois.

Entreprise, Fuite de données, Leak

Mise à jour de sécurité Postgres

Le projet PostgreSQL a informé ses utilisateurs de la publication d’un correctif de sécurité pour une vulnérabilité critique dans leur logiciel de serveur de base de données. Toutes les versions actuellement supportées sont touchées et le correctif sera publié le jeudi 4 avril.

The PostgreSQL Project will be releasing a security update for all
supported versions on Thursday April 4th, 2013. This release will include a
fix for a high-exposure security vulnerability. All users are strongly
urged to apply the update as soon as it is available.

We are providing this advance notice so that users may schedule an update
of their production systems on or shortly after April 4th.

As always, update releases only require installation of packages and a
database system restart. You do not need to dump/restore or use pg_upgrade
for this update release.

À notre connaissance, c’est la première fois qu’un projet Open Source annonce en amont de sa sortie un correctif de sécurité. Nous nous attendons à ce que le correctif corrige une vulnérabilité permettant l’exécution de code à distance dans ce moteur de base de données. Nous recommandons à tous les utilisateurs de PostgreSQL d’effectuer cette mise à jour dès que possible, spécialement si leur serveur de base de données est connecté directement à Internet. Le moteur de recherche Shodan répertorie actuellement plus de 30.000 systèmes ayant un serveur PostgreSQL accessible depuis Internet. Soulignant la gravité de la vulnérabilité, la plate-forme cloud Heroku a annoncé avoir débuté la mise à jour de toutes les installations PostgreSQL de ses clients.

Leak

Piratage des données du Boss de la CIA et des Services Secrets

Un commentaire

Nouvelles fuites de données bancaires appartenant au patron de la CIA, de la directrice des Services Secrets, ainsi que d’Angelina Jolie, Hillary Clinton, ou encore Lady gaga.

Il y a 15 jours, un pirate informatique diffusait sur le site Exposed.su (fermé depuis, ndlr Data Security Breach) des informations sensibles et confidentielles appartenant à de nombreuses stars américaines (politiques, sportives ou culturelles). Deux semaines plus tard, retour des pirates avec cette fois, un nouveau site (plusieurs domaines ont été enregistrés, ndlr datasecuritybreach.fr) avec de nouvelles données dont celles de Michelle Obama, Beyonce, Hillary Clinton, Angelina Jolie, Lady Gaga. Dans les fichiers mis en ligne Tom Cruise, John Brennan (le directeur de la CIA), Dennis Rodman (boxeur), P. Diddy (rappeur), Robert De Niro ou encore Julia Pierson (Directrice du Secret Service).

Mi-mars, Britney Spears, Mel Gibson, Arnold Schwarzeneger, Beyonce, Jay Z, Hulk Hogan étaient piratés via l’infiltration de serveurs de sociétés de crédit : Equifax et, d’après les informations collectées par DSB et zataz.com, TransUnion. Nous avons retrouvé ce qui semble être un des instigateurs de cette grande fuite. Nous le baptiserons « Nippon ». Cet informaticien nous a confié ne pas être seul dans ce piratage. « La vulnérabilité est Cookie Logged, après nous n’avons eu qu’à jouer au DOM pour bypasser le Pop-uP » explique  le présumé pirate.

Nous avons donc tenté d’en savoir plus. Usurpateur, mythomane, … « J’ai la femme et les trois enfants du patron de la CIA, va nous confirmer Nippon, mais je préserve l’anonymat de la famille. Ce serait un déshonneur de s’attaquer à eux. » Il semble, à l’analyse de notre discussion, que l’équipe derrière cette diffusion ne soit pas particulièrement raccord sur la méthode à employer pour parler de cette infiltration. Certains ayant décidé de diffuser sans l’accord global du groupe.

Pour finir, nous avons demandé à notre interlocuteur de prouver les données qu’il annonçait avoir piraté avec ses « amis ». Il nous a communiqué un document comprenant l’intégralité des données appartenant au patron de la CIA. Autant dire totalement invérifiable… à moins de savoir nager dans le béton ! Les derniers documents volés, dont plusieurs à la société Credit Sesame et Credit Karma, datent du 31 mars, preuve que les pirates ont encore des accès.

Argent

Faille pour BitCoin Central

Un commentaire

Une faille découverte dans le service BitCoin oblige BitCoin Central à fermer pour maintenance. Comme l’annonçait, en début de soirée, le twitter officiel de @zataz, un problème est survenu pour le système monétique Bitcoin. Dans la nuit de dimanche à lundi, le site BitCoin Central à confirmer les informations que possédait la rédaction de zataz.com, un problème de sécurité est intervenu dans les bits des Bitcoins. « Nous avons détecté une faille de sécurité, indique l’équipe de BitCoin Central. Les services sont temporairement suspendus jusqu’à ce que nous ayons soigneusement étudié la situation. Nous allons reprendre les services dans les plus brefs délais. » Datasecuritybreach.fr vous conseille de ne SURTOUT PAS envoyer d’argent avec votre adresse, du moins pour le moment. A noter que les bitcoins des clients (en euros) sont en sécurité et ne sont pas affectés par la brèche de sécurité découverte. L’adresse 1LrPYjto3hsLzWJNstghuwdrQXB96KbrCy est sous le contrôle de Bitcoin-Central et Paytunia. « Nous nous engageons à reprendre du service dès que possible, termine BitCoin Central. Attendez-vous à une reprise normale du service dans les 48 heures. »

Piratage

Darkode infiltré, secrets révélés

L’un des espaces les plus confidentiel du web piraté. Les secrets du business de ce black market space révélés. Le moins que l’on puisse dire est que ce 1er avril 2013 aura un goût amère pour les administrateurs de l’espace Darkode. Darkode, en quelques mots, est un espace « très » privé dédié au black market, au business du piratage (données bancaires, failles, …). il est possible d’y croiser de nombreuses « stars » du milieu « black hat », qu’elles soient aujourd’hui en prison (bx1, TinKode) ou encore en activité, sans parler d’informations et vendeurs d’outils pirates comme Zeus ; numéros de cartes bancaires dérobées, …

L’activité de cet espace risque de prendre un sérieux coût dans l’aile. Xylitol, un internaute francophone connu pour son talent numérique, vient de démonter ce black space. Premier élément, le « hacker » semble persuadé que la page d’accès à Darkode sniffe les mots de passe. Autant dire que les visiteurs, triés sur le volet, ont leurs identifiants dans les mains de l’administrateur. Lors de ce piratage en règle, il a été découvert qu’un des membres de cette famille underground s’était fait, excusé du peu, plus de 11 000 $ en commercialisant les actions du bot SpyEye.

Parmi les révélation réalisées après le passage de Xylitol, la page dédiée à la naissance d’un « exploit kit » du nom d’EgyPack. Couteau Suisse pirate apparu en 2011. Autre détail révélé, plusieurs administrateurs de Hack Forum, un autre espace pirate moins privé que Darkode, seraient aussi admins sur ce dernier.

Un « leak », une diffusion loin d’être négligeable. Xylitol, sur son blog Xylibox, annonce avoir réalisé 4 500 captures écrans. « ma version privée, explique l’hacktiviste à zataz.com, c’est une version complète de la base de données, avec en plus une copie sql qui date de 2009« . L’auteur nous explique garder la chose pour les représentants de la loi qui lui en feraient la demande. Bref, poisson d’avril ou pas ?

Hacking

Votre enfant confronté à du porno, sur le web ?

Un sondage réalisé par Profil Technology et Mafamillezen, que Data Security Breach a pu consulter, révèle que les parents ont conscience des dangers d’Internet, mais ne protègent pas pour autant leurs enfants. Profil Technology, division de la société française Editions Profil, spécialisée en filtrage de contenus numériques, a effectué un sondage en partenariat avec Mafamillezen auprès de 300 parents. Les résultats de ce sondage confirment les craintes de DataSecurityBreach.fr.

Votre enfant a-t-il été confronté à des contenus inappropriés sur Internet (pornographie, violence, piratage, drogue…) ?

Selon vous, pour votre enfant, surfer sur Internet est :

Avez-vous discuté avec votre enfant des dangers d’Internet ?

Utilisez-vous un logiciel de contrôle parental ?

 

« Ce sondage révèle qu’une majorité de parents (71%) est consciente des dangers qui circulent sur Internet et en parle avec leurs enfants (80%). En revanche, on peut se demander s’ils posent les bonnes questions, car seulement 38% des parents interrogés savent si leurs enfants ont été confrontés à des contenus inappropriés. Ce sondage nous confirme malheureusement, malgré les recommandations de nombreuses associations de protection des enfants, que les parents ne sont pas à proximité des jeunes enfants lorsque ces derniers surfent sur Internet alors même que les médias relaient régulièrement des histoires sordides où tout commence avec un enfant laissé sans surveillance devant un ordinateur », déclare à DataSecurityBreach.fr Nicolas Lacourte, Chef de produits Profil Technology.

Si les parents sont conscients des risques engendrés par Internet, ils semblent ne pas s’astreindre à faire le minimum requis pour s’assurer de la bonne utilisation d’Internet par leurs enfants. Y-aurait-il une forme de découragement voire de renoncement de la part des parents face à la multiplication des sources d’accès à Internet ? Voici donc trois recommandations essentielles, faciles à appliquer et évidemment très efficaces pour accompagner les parents et protéger leurs enfants : Placer l’ordinateur de la maison dans un lieu de passage, de manière à garder un œil sur l’écran ; discuter ouvertement avec les enfants des rencontres mal intentionnées que l’on peut faire sur la toile et les accompagner dans leurs premiers surfs sur Internet ; installer sur les ordinateurs de la maison accessibles aux enfants, une solution de contrôle parental capable de filtrer les sites Internet par catégorie de contenus et de personnaliser le niveau de filtrage par enfant sans omettre de leur expliquer l’objectif de ce filtrage. Ne pas oublier les smartphones et les tablettes qui facilitent l’accès à Internet, mais qui rendent la tâche des parents encore plus difficile en raison de la transportabilité aisée de ces appareils.

Particuliers

Les failles fatales de la neutralité du Net selon le CNNum

Un commentaire

Dans son avis [1] rendu le 12 mars 2013, le Conseil National du Numérique (CNNum) invite le gouvernement à faire reconnaître le principe de neutralité du Net « comme un principe fondamental nécessaire à l’exercice de la liberté de communication et de la liberté d’expression ». Que les autorités publiques semblent prendre conscience de la nécessité de consacrer ce principe essentiel apparait comme une bonne nouvelle, toutefois la proposition de mise en œuvre formulée par le CNNum, via la loi de 1986 concernant la télévision, semble vouée à l’échec. ***

La neutralité du Net « au plus haut niveau de la hiérarchie des normes » ?

Afin de protéger la neutralité du Net, le CNNum propose d’intégrer un « principe de neutralité » dans la loi de 1986, ce qui le placerait, prétend-il, « au plus haut niveau de la hiérarchie des normes ». Une telle proposition se fonde sur le postulat selon lequel « la liberté d’expression n’est pas suffisamment protégée dans la loi française ». En se focalisant sur l’édifice législatif, le CNNum semble oublier l’article 11 [2] de la Déclaration des droits de l’homme et du citoyen, tout comme son appartenance au bloc de constitutionnalité. Le CNNum semble oublier aussi que la liberté d’expression est d’ores et déjà sollicitée par le juge, qu’il soit européen, administratif, judiciaire ou constitutionnel, notamment pour faire contrepoids à des mesures disproportionnées visant à la protection de la propriété intellectuelle.

La loi de 1986 [3] est une loi ordinaire qui n’a jamais fait partie du bloc de constitutionnalité [4] – le seul et unique « plus haut niveau de la hiérarchie des normes ». Il est donc faux de prétendre qu’y inscrire le principe de neutralité du Net suffise à hisser ce dernier au dessus des lois. Le législateur ne pourrait parvenir à ce résultat qu’en enclenchant la lourde procédure de révision de la Constitution, ce qui serait peu probable en la matière, et ce que l’avis n’envisage de toute façon pas.

Chercher à introduire un principe général de neutralité dans une loi ne suffit pas à répondre au problème posé, qui est celui de la sanction des atteintes à la liberté d’expression. C’est avant tout en établissant une définition claire d’infractions et de sanctions dissuasives que la neutralité du Net pourrait être garantie, ce que le CNNum s’abstient de proposer [5], préférant placer ce principe au sein d’une loi datée qui n’a pas été conçue pour le recevoir.

La neutralité du Net bridée par les règles inadaptées taillées pour la télévision

Dans son avis, le CNNum propose d’insérer le principe de neutralité dans le premier article [6] de la loi de 1986. Si le CNNum a précisément choisi cet article de cette loi, c’est parce qu’il y est établi que « la communication au public par voie électronique est libre », et que la neutralité du Net devrait devenir une composante de cette liberté. Or, dans sa conception, l’objet de la loi de 1986 ne fut pas de garantir cette liberté mais, au contraire, d’encadrer le secteur de l’audiovisuel qu’elle libéralisait en le soumettant à des règles strictes et en le plaçant sous le contrôle du CSA. Ainsi, dès son premier article et à peine le principe de liberté de communication proclamé, la loi s’empresse de dresser la liste exhaustive des valeurs pouvant justifier qu’elle soit limitée.

Parmi ces exceptions, on retrouve « le respect de la dignité de la personne humaine, […] de la propriété d’autrui [et] la protection de l’enfance », autant de valeurs qui, bien qu’exigeant une attention certaine, sont constamment invoquées afin de justifier toutes les atteintes portées aux libertés fondamentales sur Internet. Et la loi de 1986 les définit si largement que les opérateurs télécom et autre acteurs industriels n’auraient aucun mal à les exploiter devant le juge, afin de justifier n’importe quelle restriction d’accès à Internet. Ainsi, l’exception pour « protection de la propriété d’autrui » sera inévitablement utilisée par les industries du divertissement, au nom de leurs droits d’auteur, pour déroger à la neutralité du Net.

Plus grave encore, l’article prévoit que la liberté de communication peut être limitée par « les contraintes techniques inhérentes aux moyens de communication ». Nul doute que les opérateurs sauraient parfaitement se saisir de ce concept particulièrement flou, qu’ils sont les premiers à pouvoir définir, afin de porter atteinte à la neutralité des réseaux, à la liberté d’expression, à l’innovation et à l’équité au nom de contraintes techniques et économiques. Bref, tout est déjà dans la loi de 1986 pour permettre aux opérateurs de maintenir le statu quo actuel justifiant toutes les restrictions d’accès par de plus ou moins fumeuses raisons techniques.

Et il n’est en rien surprenant que cette loi soit parfaitement inadaptée à accueillir le principe de neutralité lorsque l’on sait combien le secteur auquel elle est destinée – la télévision – se distingue, par sa nature centralisée et par la rareté des canaux de communication, du fonctionnement même de l’Internet – ce que le CNNum reconnaît [7] lui-même dans son rapport.

L’audiovisuel ne se compose que de communications unilatérales en nombre fini, auxquelles le concept de neutralité n’a pas lieu de s’appliquer, quand Internet est la somme de communications multilatérales et illimitées. Imposer les règles de la gestion de la rareté des communications télévisuelles comme limitation de l’organisation de l’abondance des communications Internet serait un contre-sens historique.

La définition de la mise en œuvre de la neutralité du Net abandonnée au pouvoir judiciaire

L’inscription de la neutralité du Net dans une loi pré-existante souligne la volonté du CNNum de ne pas créer un cadre juridique nouveau, spécifique et adapté, afin de protéger la neutralité du Net. L’avis l’explique d’ailleurs clairement : « le principe de neutralité doit venir compléter et éclairer les dispositions juridiques existantes » et n’a donc pas vocation à être protégé en tant que tel.

Or, la neutralité du Net est un enjeu majeur pour notre société, un enjeu politique, qui dépasse de loin le cadre des procédures judiciaires, individuelles et isolées. C’est au législateur seul de définir les infractions et sanctions – avant tout dissuasives -, en fonction d’exceptions précises et limitées permettant de déroger à la neutralité du Net et de rendre légitime une restriction d’accès à Internet.

En abandonnant ces choix politiques au pouvoir judiciaire, une mise en œuvre des proposition du CNNum laisserait les puissants avocats des opérateurs obtenir par la jurisprudence la liberté de s’engouffrer dans les larges exceptions que leur offre la loi de 1986 et de justifier tous les abus. D’ailleurs, le CNNum ne laisse encore une fois pas de place au doute. Pour lui, « il convient de mettre en place des indicateurs pour mesurer le niveau de neutralité des réseaux et des services ouverts au public ». Que l’on ne s’y trompe pas. Un opérateur s’abstient ou non de contrôler et de prioriser le contenu qu’il véhicule. Il ne peut s’abstenir à moitié. L’idée qu’il y aurait une échelle de neutralité est inconciliable avec l’idée même de neutralité.

Il faut espérer que le gouvernement fasse preuve de courage en allant plus loin que le Conseil national du numérique ne l’y invite : qu’il ne se contente pas d’inscrire le principe de neutralité dans une loi inadaptée qui le priverait de tout effet, mais propose un cadre juridique nouveau qui le protégerait spécifiquement, en sanctionnant sévèrement les entorses [8].

Si cet avis marque le début d’une prise en compte des enjeux de la neutralité du Net par les pouvoirs publics, les citoyens doivent plus que jamais rester vigilants, pour que ce principe essentiel ne soit pas vidé de sa substance par le législateur, résultat qui serait bien pire que de n’avoir aucune loi sur la question. Les travaux à venir entre les différents ministères (Ayrault, Pellerin, Taubira, Valls), et l’examen d’un éventuel projet de loi au Parlement devront faire l’objet d’une attention toute particulière, afin que nos libertés en ligne soient efficacement protégées.

Références

1. https://www.laquadrature.net/files/CNNum-avis-sur-la-neutralite-du-net.pdf

2. Article XI de la Déclaration universelle des droits de l’homme : « La libre communication des pensées et des opinions est un des droits les plus précieux de l’Homme : tout Citoyen peut donc parler, écrire, imprimer librement, sauf à répondre de l’abus de cette liberté, dans les cas déterminés par la Loi. »

3. La « loi du 30 septembre 1986 relative à la liberté de communication », dite « loi Léotard », libéralisa le secteur de la téléphonie mobile et de la télévision par câble, ce qui permit notamment la privatisation de TF1 l’année suivante. Afin d’encadrer ce nouveau secteur privé, elle institua une Commission nationale de la communication et des libertés, qui deviendra rapidement le Conseil supérieur de l’audiovisuel (CSA).

Dans son premier article, la loi proclame que « la communication au public par voie électronique est libre », reprenant la jurisprudence du Conseil constitutionnel qui reconnaissait, dès 1982, la valeur constitutionnelle du principe de « liberté de communication des pensées et des opinions par les moyens audiovisuels », directement tiré de l’article 11 de la Déclaration universelle des droits de l’homme et du citoyen.

4. Le bloc de constitutionnalité réunit l’ensemble des normes placées au sommet de l’ordre juridique français – auxquelles aucune loi ni traité international ne peut déroger. Ces normes sont celles de la Constitution de 1958, de son préambule, du préambule de la Constitution de 1946, de la Déclaration des droits de l’homme et du citoyen de 1789 et de la charte de l’environnement, ainsi que les « principes fondamentaux reconnus par les lois de la République » dégagés par le Conseil constitutionnel et le Conseil d’État et les principes et objectifs reconnus de valeur constitutionnelle par le Conseil constitutionnel.

5. Le CNNum s’abstient de proposer toute sanction alors même qu’il regrette, dans son rapport, que la résolution du Parlement européen adoptée en 2011 en faveur du principe de neutralité « se refus[e] à demander une action législative immédiate ou des sanctions à l’encontre des opérateurs qui restreignent l’accès à Internet de leurs abonnés ».

6. Article 1 de la loi de 1986 : « La communication au public par voie électronique est libre.

L’exercice de cette liberté ne peut être limité que dans la mesure requise, d’une part, par le respect de la dignité de la personne humaine, de la liberté et de la propriété d’autrui, du caractère pluraliste de l’expression des courants de pensée et d’opinion et, d’autre part, par la protection de l’enfance et de l’adolescence, par la sauvegarde de l’ordre public, par les besoins de la défense nationale, par les exigences de service public, par les contraintes techniques inhérentes aux moyens de communication, ainsi que par la nécessité, pour les services audiovisuels, de développer la production audiovisuelle.

Les services audiovisuels comprennent les services de communication audiovisuelle telle que définie à l’article 2 ainsi que l’ensemble des services mettant à disposition du public ou d’une catégorie de public des œuvres audiovisuelles, cinématographiques ou sonores, quelles que soient les modalités techniques de cette mise à disposition. »

7. Le CNNum reconnaît dans son rapport que « en matière de droit de la communication et de l’expression sur les réseaux numériques[,] la bidirectionnalité intrinsèque diffère radicalement des réseaux de communication analogiques que régule, entre autres, la loi de 1986 sur la liberté de communication ».

8. Paradoxalement, le rapport admet que, quant à la définition du principe de neutralité, « l’objectif à atteindre est toujours clairement décrit comme le contrôle des pratiques de filtrage, de blocage, de censure ou de ralentissement de l’accès à l’information par le public », mais que cet objectif « implique toujours un grand nombre d’exceptions tels quel l’intérêt économique des acteurs, la lutte contre le spam ou le maintien de la qualité du réseau ».

Pour échapper à cette approche qui, bien qu’ayant « l’avantage de la simplicité,[…] a l’inconvénient d’être pratiquement inopérante », le rapport reconnaît qu’il faut « définir le principe de neutralité de façon positive ». Or, il ne propose aucune mesure pour y parvenir : l’insertion du principe dans la loi de 1986 est l’approche simple et inefficace, et la définition positive aurait été la création d’un cadre nouveau, accompagné de sanctions efficaces.

Assez étrangement, le CNNum semble inviter le gouvernement à aller plus loin que ce qu’il ne lui propose, et intitule l’un des titres de son rapport « Un cadre juridique nouveau posant un principe fort de neutralité […] » alors qu’il ne propose, dans son avis, que d’inscrire ce principe dans un cadre juridique ancien et inadaptée.

Cybersécurité, Livres

A lire : les livres du mois de Mars

La rédaction a lu pour vous quatre livres sortis en ce mois de mars, dédiés à la sécurité des données. Des livres qui ont attiré notre attention et qui, nous le pensons, méritent de finir dans votre bibliothèque de part leurs contenus et les informations qu’ils peuvent vous apporter dans votre vie numérique. A noter que nous vous proposons l’accès à ces livres, via Amazon.

Nous commencerons « notre revue de livre » par « Traitement des données personnelles » de Fabrice Mattatia. Un guide juridique indispensable aux éditions Eyrolles. L’entreprise qui protège les données personnelles de ses clients bénéficie d’un avantage concurrentiel, notamment pour son image de marque. Cet excellent écrit revient sur le droit des individus à voir leurs données personnelles protégées, sur les obligations des organisations et des entreprises en la matière, et sur les sanctions encourues en cas de manquement. Cet ouvrage initie à la culture juridique des données personnelles les directeurs des systèmes d’informations, responsables de traitements de données, et plus largement tous les techniciens confrontés à la problématique de la gestion des données personnelles, avec un luxe de détail concernant les différentes jurisprudences. Il présente notamment des cas concrets de cyber-attaques et les réponses pénales ou administratives associées. Ainsi, si une entreprise est victime d’un phishing utilisant une copie de sa page web, que doit-elle faire ? Que risque pénalement une entreprise victime d’un vol de base de données ? Comment faire respecter le droit français par des entreprises étrangères ? Clairement un livre de chevet, documenté, précis et vivant avec son époque.

Chez Lavoisier, un ancien de la Direction de la Surveillance du Territoire (DST), Patrick Le Guyader, revient sur « La protection des données sur Internet« . Un ouvrage qui expose les menaces de confidentialité liées à la cybercriminalité, au niveau des technologies fixes ou mobiles. Avec des exemples, il renseigne sur les législations nationales et internationales et les règles à respecter destinées à protéger l’internaute lorsqu’il navigue sur le Web. Un peu lourd à lire, il faut dire aussi que l’ouvrage propose de très nombreux articles de loi, ce document est parfait dans sa déclinaison des législations nationales et internationales.


<A HREF= »http://ws.amazon.fr/widgets/q?rt=tf_ssw&ServiceVersion=20070822&MarketPlace=FR&ID=V20070822%2FFR%2Fzataznet-21%2F8003%2F27946433-deac-4674-8b98-5864c25e4868&Operation=NoScript »>Widgets Amazon.fr</A>

Dans un autre genre, « Plan de continuité d’activité » chez ENI Editions. Ce livre s’adresse principalement aux Responsables des risques et de la continuité (RPCA, Risks Managers, RSSI), aux Directeurs de Systèmes d’Information (DSI) aux Consultants ou encore aux Chefs de projet sécurité, pour les accompagner dans leur démarche de mise en œuvre d’un Plan de Continuité d’Activité (PCA). 310 pages d’astuces et de bonnes conduites à tenir en cas de panne, piratage, … Très accessible, l’écrit de Bernard CARREZ, Antonio PESSOA et Alexandre PLANCHE propose de nombreux schémas et tableaux.

Nous terminerons notre lecture mensuelle par « Internet sans danger – Le guide du bon sens numérique » édité par Bayard, sous l’impulsion de l’assureur AXA. Un livret qui devrait trouver son public, surtout du côté des parents avec le chapitre « Permettre à son enfant d’acquérir un usage responsable d’Internet« . Le reste du contenu, sous forme de fiches pratiques, n’est pas désagréable à lire, mais recèle quelques erreurs ou « vieilleries » qui pourraient perdre les surfeurs pas vraiment habitué à se sécuriser. A noter quelques sites web classiques ou très « parisiens », en édulcorant totalement ceux qui sont sur le terrain depuis des années, comme zataz.com, qui côté aides aux particuliers et entreprises a fait ses preuves depuis plus de 16 ans (et sans rien à vendre, ndlr datasecuritybreach.fr). Le guide s’inscrit dans une démarche de prévention des risques numériques initiée par AXA et AXA Prévention depuis 2010. Durant l’été 2011 un projet de sensibilisation et d’échange avait déjà impliqué les 15 000 collaborateurs d’AXA. 500 collaborateurs avaient ensuite partagé leurs témoignages et expériences sur le bon usage des médias et des réseaux sociaux à travers une plateforme collaborative en ligne, puis participé à l’écriture de 20 conseils indispensables pour prévenir les risques numériques. Un premier Guide du bon sens numérique avait alors été produit, d’abord pour l’interne puis dès décembre 2011 en téléchargement gratuit pour tous sur le site d’AXA Prévention.

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile