Android, Smartphone

Malware android

L’augmentation la plus importante pour les adwares (+34,47%) a été enregistrée entre novembre et décembre 2012, certains développeurs ayant profité des fêtes de fin d’année pour tenter de générer des revenus supplémentaires en misant sur le fait que les nouveaux utilisateurs ignorent le fonctionnement des adwares. Les chevaux de Troie ont connu une augmentation lente mais constante de septembre 2012 à janvier 2013 puis ont légèrement décru en février 2013 (-2,22%).

Les adwares devenant plus intrusifs et programmés plus précisément pour récupérer autant d’informations sensibles que possible, la différence est plus ténue que jamais entre les logiciels légitimes et les applications qui se révèlent en réalité être des malwares. Des adwares virulents portent ainsi de plus en plus préjudice à la vie privée des utilisateurs en recueillant et utilisant des informations personnelles à leur insu.

Bien que les adwares ne soient pas fondamentalement malveillants, data security breach vous montrent souvent qu’ils peuvent recueillir des numéros de téléphone, des coordonnées et des adresses e-mail, qui sont transmis à des tiers ou vendus au plus offrant. Le marché noir valorise énormément ces données qui peuvent être utilisées à des fins marketing pour créer des profils d’utilisateurs.

Puisque la plupart des utilisateurs utilisent leurs appareils personnels à des fins professionnelles, il est logique que l’accès aux fichiers confidentiels et sensibles soit souvent autorisé via ces appareils. Ce n’est donc pas seulement  un problème de risques vis-à-vis de leurs données personnelles, mais cela concerne également les informations critiques des entreprises elles-mêmes. Des politiques de BYOD strictes doivent offrir une protection efficace à la fois contre les malwares et contre les adwares sous Android, puisqu’ils ont tous les deux un impact direct sur la préservation de la confidentialité des données.

La principale famille de chevaux de Troie s’intitule « FakeInst », elle escroque les utilisateurs en leur demandant de payer des applications qui sont normalement gratuites. Si les utilisateurs acceptent, l’application envoie des messages SMS à des numéros surtaxés, faisant ainsi grimper leur facture téléphonique.

Parmi les adwares agressifs, la famille Android.Adware.Plankton est la plus présente puisque les développeurs utilisent le framework intégré à l’appli pour monétiser leur développement. Les adwares peuvent également recueillir des informations personnelles telles que des adresses e-mail et des numéros de téléphone. Plus il y a de frameworks associés à une application, plus celle-ci devient intrusive puisqu’elle diffuse les données à plusieurs tiers.

La tendance à la hausse de ces deux types de détection indique que les pirates sont à la recherche d’argent et de moyens d’en obtenir en vendant les données personnelles des utilisateurs. L’argent est le moteur du développement de ces deux catégories.

Bitdefender annonce un antivirus gratuit pour protéger les appareils Android

Bitdefender, éditeur de solutions de sécurité, annonce Antivirus Free pour Android afin d’inciter les utilisateurs à protéger leur smartphone et tablette contre le nombre croissant de malwares ciblant les appareils Android. Bitdefender Antivirus Free pour Android est une solution antivirus gratuite, rapide et puissante qui utilise les dernières technologies d’analyse in-the-cloud de Bitdefender, garantissant ainsi un impact quasi nul sur la batterie et des mises à jour 24 heures sur 24 contre les dernières menaces. Dès son installation, Bitdefender Antivirus Free pour Android protège les utilisateurs en recherchant immédiatement les activités suspectes.

« L’an dernier, nous avons assisté à une explosion du nombre de malwares Android, il devient donc indispensable que les utilisateurs pensent à protéger leurs appareils Android comme ils le font pour leur ordinateur », déclare à data security Breach Fabrice Le Page, Chef de Produits Bitdefender chez Editions Profil. « Afin d’inciter le plus grand nombre des utilisateurs à se protéger contre ces nouvelles menaces, nous avons souhaité que notre solution soit gratuite mais sans concessions sur la qualité, l’efficacité et la légèreté ».

Le nombre de malwares a augmenté de 27% au cours des six derniers mois, et ce, en raison des efforts redoublés des créateurs de malwares pour dérober les informations personnelles des utilisateurs. Les formes les plus courantes de malwares Android peuvent entre autres rapidement faire grimper la facture téléphonique des utilisateurs en appelant discrètement des numéros surtaxés, dérobant des mots de passe, espionnant les e-mails professionnels et surveillant presque toutes les activités des utilisateurs.

Notre vie privée est de plus en plus affectée par la hausse du nombre d’adwares et de malwares Android Parce que les adwares (logiciels espions publicitaires) recueillent plus de données sur les appareils des utilisateurs que ce dont ils ont réellement besoin et que les développeurs ajoutent souvent plus d’un composant adware (framework adware) au sein de leurs applications, la vie des utilisateurs devient de moins en moins privée  au profit des développeurs et des publicitaires. De plus en plus de tierces parties ont désormais accès à l’historique de navigation des utilisateurs, à leurs numéros de téléphone, à leurs adresses e-mail et à tout ce qui est nécessaire pour créer des profils complets et personnalisés.

C’est d’autant plus inquiétant que les adwares ciblant les appareils Android ont augmenté de 61% au niveau mondial, entre septembre 2012 et janvier 2013 et que les malwares ont progressé dans le même temps de 27%, allant jusqu’à une hausse de 37% pour les chevaux de Troie selon une étude des Laboratoires Bitdefender. L’adoption d’Android a régulièrement progressé au cours des cinq derniers mois, de même que le nombre de détections de malwares et d’adwares. Il n’est ainsi plus rare de dénicher des malwares et des adwares Android aussi bien sur les marchés dits « alternatifs » que sur la plate-forme  officielle Google Play.

Argent, Particuliers

FIA-NET publie son Livre Blanc Certissim 2013 sur la fraude à la carte bancaire

Au cours de l’année 2012, avec 26 millions de transactions analysées pour un chiffre d’affaires de plus de 4 milliards d’euros, Certissim a constaté un taux de tentatives de fraude de 2,98 % en nombre et de 3,91 % en valeur. Cependant, datasecuritybreach.fr moins d’une tentative sur trente se traduit par un impayé frauduleux pour les e-commerçants. En supposant que tous les sites marchands disposent d’un système de lutte contre la fraude efficace et en extrapolant ces analyses à l’ensemble du e-commerce français, soit 45 milliards d’euros de chiffre d’affaires1, les tentatives de fraude auraient représenté plus de 1,7 milliard d’euros en 2012.

Professionnalisation et industrialisation de la fraude dans le e-commerce

Selon Certissim, deux facteurs ont contribué à l’augmentation du risque de fraude sur Internet ces dernières années. D’une part, la démocratisation de la vente en ligne a créée de nouvelles opportunités, tant en volume qu’en valeur, pour les fraudeurs. D’autre part, le secteur a fait face à l’arrivée de nouveaux fraudeurs, professionnels, intégrés au sein d’organisations criminelles, améliorant sans cesse leurs méthodes et cherchant à industrialiser la fraude afin de maximiser le gain.

Cette industrialisation est la différence majeure entre un fraudeur opportuniste et un fraudeur professionnel. Le premier ne donne pas suite à sa tentative lorsqu’elle est réussie alors que le second réitèrera autant que possible une fraude aboutie. Les secteurs traditionnellement fraudés, tels que l’électroménager, la téléphonie et la parfumerie restent parmi leurs cibles de choix. « Néanmoins, le contexte économique fait que toute marchandise est susceptible d’être fraudée et revendue, de l’alimentaire aux voyages jusqu’aux couches pour bébés » explique Alexandre Arcouteil, Responsable d’Activité Certissim.

Usurpations d’identités et procédés frauduleux

Cette professionnalisation implique une structuration des réseaux de fraudeurs. En amont des commandes, ils ont un besoin de données usurpées. Cet aspect est alimenté par des vols ayant lieu dans la vie de tous les jours comme sur Internet, par le biais de phishing ou de hacking. Les fraudeurs utilisent toutes sortes de données, coordonnées bancaires ou simple adresse de livraison. Elles leur permettent d’effectuer des commandes frauduleuses sur Internet en minimisant les risques d’être repérés. Juste après la commande, ils ont un besoin d’intermédiaires complices ou non pour récupérer les marchandises. Le fraudeur peut embaucher une personne honnête, une « mule », via des sites de petites annonces. Son travail est de réceptionner et réexpédier des colis depuis son domicile, sans savoir qu’il s’agit de marchandises volées.

Enfin, ces réseaux ont besoin de débouchés. Les marchandises doivent être revendues, ce qui sous-entend l’existence d’un marché parallèle et d’acheteurs potentiels, ce que datasecuritybreach.fr, ou encore zataz.com vous présente souvent dans leurs colonnes. Certissim rappelle que la vigilance est indispensable pour les e-commerçants comme pour les particuliers afin de se prémunir contre la fraude et les usurpations. Par exemple, appliquer une gommette sur le code CVV2 de la carte bancaire permet de limiter les risques de vol des données au moment d’un règlement en magasin.

2012, Certissim observe un taux de tentatives de fraude de 2,98 % (en nombre) alors que le taux de fraudes abouties n’est que de 0,10 %, soit moins d’une tentative sur trente se traduisant par un impayé frauduleux pour le e-commerçant. Le panier moyen des impayés frauduleux retrouve un niveau équivalent à celui de 2010 à 297 euros, soit 8 % de moins qu’en 2011 (323 euros). Cela s’explique par le fait que les fraudeurs ont compris que les paniers élevés faisaient systématiquement l’objet de contrôles. En conséquence, leurs tentatives portent désormais sur des montants moins importants mais leur nombre a augmenté. La forte capacité d’adaptation des méthodes employées pour détecter les fraudes est également à l’origine de la baisse de ce panier moyen. L’extrapolation des résultats des analyses de Certissim à l’ensemble du marché français identifié par la Fevad, soit 45 milliards d’euros de chiffre d’affaires, montre que l’impact de la fraude reste important. L’ensemble des tentatives de fraude se chiffrerait à plus de 1,7 milliard d’euros en 2012. La cybersécurité et la mutualisation des connaissances doivent donc être plus que jamais des éléments clés de la stratégie des e-commerçants, d’autant plus que tous ne disposent pas des mêmes moyens de contrôle.

Depuis 2000, FIA-NET édite un Livre Blanc annuel consacré à la fraude à la carte bancaire sur Internet. Sa finalité est d’apporter une vision objective de la fraude sur le marché du e-commerce et ainsi d’être un outil d’aide pour les marchands souhaitant optimiser leur gestion de la fraude. Le Livre Blanc Certissim présente les grands indicateurs de la fraude sur Internet, grâce aux chiffres provenant des déclarations d’incidents de paiement de ses sites marchands clients et des fraudes détectées par Certissim. Le savoir-faire de Certissim et son implication dans la lutte contre la fraude lui permet également de détailler les nouvelles techniques des cybercriminels.

Fuite de données

Fraude sur Internet : tous responsables !

Le e-commerce en France continue sa progression, en phase mais encore à la traîne par rapport aux marchés anglais et allemands, qui donnent le La du commerce électronique en Europe. Selon la Fevad, la croissance des ventes en 2012 a atteint 19%, poussée notamment par l’explosion du m-commerce, qui représente désormais 6% des ventes totales (2% en 2011). Avec un taux de satisfaction après achat de 98%, le e-commerce en France a désormais atteint sa maturité, et s’est définitivement installé dans le quotidien des français. Ce constat idyllique contraste fortement avec l’évolution négative du taux de fraude sur Internet. En augmentation continue depuis 2007, celui-ci atteint, selon l’Observatoire de la sécurité des cartes de paiement, le taux record de 0,34%, sans aucun signe de retournement de tendance.

Ainsi l’ensemble des paiements sur Internet ne représente que 8,4% de la valeur des transactions nationales, mais déjà 61% du montant de la fraude sur les cartes de paiement (253 millions sur 413 millions d’Euros). Un chiffre d’autant plus inquiétant que le marché français du paiement en ligne recèle encore un très fort potentiel de croissance. A titre de comparaison, la taille du marché britannique est double de celle du marché français. Tout se passe comme si un boulevard s’ouvrait devant les fraudeurs, d’autant plus grand que l’écosystème du e-commerce français dans sa globalité ne semble pas avoir la volonté de le rétrécir.

Comment en sommes-nous arrivés là et quelles sont les solutions pour y remédier ? Principale cause de la fraude : l’usurpation des numéros de cartes. Ce n’est un secret pour personne : l’origine principale de la fraude sur Internet provient de l’usurpation des numéros de cartes bancaires. Selon l’Observatoire de la sécurité des cartes, cette cause représentait déjà près de 63% du total des fraudes en 2010, loin devant les cartes volées ou les cartes contrefaites. Il est donc évident pour tout le monde que ces numéros ne sont pas suffisamment sécurisés, et qu’il reste relativement simple de les usurper. La carte bancaire n’a pas été conçue au départ pour être utilisée pour des achats à distance. Il en résulte des failles de sécurité évidentes.

Hormis tout ce qui est stocké dans la puce, tous ses identifiants sont en clair par exemple, y compris le fameux cryptogramme visuel, valable deux ans. Les différents acteurs du marché e-commerce ont-ils conscience de cette réalité ? La réponse est oui. Une série de solutions de sécurité ont d’ailleurs été conçues depuis le milieu des années 2000 pour y remédier. A commencer par e-Carte Bleue et 3D Secure, conçu par les grands opérateurs de cartes bancaires, mis en place en Europe dès 2008, visant à introduire une seconde phase d’authentification par la génération d’un code à usage unique. En outre, le standard de sécurité PCI DSS, qui regroupe un ensemble de bonnes pratiques, s’impose désormais à tous les e-commerçants. Sur les sites marchands, d’autres technologies de sécurité peuvent également être mises en œuvre, telles que les certificats SSL déjà très répandus, les systèmes Capcha ou les emails certifiés.

Les solutions anti-fraude mises en œuvre : un constat d’échec La mise en œuvre en France de ces diverses solutions de sécurité anti-fraude a-t-elle été couronnée de succès ? La réponse est clairement non. L’échec de 3D Secure dans notre pays est patent. Aujourd’hui dans sa deuxième version, ce système de sécurité pourtant efficace n’a jamais réussi à s’imposer. Certes, 40% des e-commerçants l’utilisent aujourd’hui, mais ceux-ci ne représentent qu’environ 10% des paiements par carte et 15% seulement des montants. Toutes les banques l’ont certes adopté, mais avec retard et en ordre dispersé. Leur implémentation du système s’est révélée trop complexe. De fait, le processus d’authentification n’est pas normalisé et les consommateurs doivent jongler entre plusieurs systèmes différents selon les banques, ce qui n’encourage pas la simplicité d’utilisation … Du côté des e-commerçants, le rejet est encore plus net. Toutes les grandes enseignes, c’est-à-dire la vingtaine de sites qui réalisent la grande majorité des transactions en ligne, n’ont pas à ce jour adopté le système, notamment en raison de ses conséquences sur le taux d’abandon de commande.

La norme PCI DSS n’ont plus n’a pas eu le résultat escompté. D’abord parce qu’elle n’est pas infaillible, des cas célèbres de vols massifs de données l’ont montré. Ensuite parce que la législation française ne l’impose pas formellement. Il en résulte un flou manifeste dans l’interprétation de sa liste de bonnes pratiques, notamment dans le durée de vie des données carte bancaire stockées. Certains sites les conservent pendant plusieurs années au-delà de la simple nécessité liée au paiement, voire ne les effacent jamais, ce qui augmente d’autant le risque de vol d’identifiants. D’autres systèmes de sécurité telles que l’email certifié, qui est pourtant l’arme absolue contre le « phishing », ne sont quasiment jamais utilisés.

Une seule victime : le consommateur Plusieurs raisons expliquent ce paradoxe, qui toutes convergent vers les principes élémentaires de la gestion du risque. En premier lieu, même si le coût financier de la fraude sur Internet  est supporté environ à égalité par les banques et les commerçants, et non par les consommateurs, qui sont généralement remboursés, ce sont en fait ces derniers qui paient seuls les pots cassés. En effet, les banques sont assurées contre le risque de non-paiement, et répercutent le coût de cette assurance sur le prix de leurs services. De même les commerçants répercutent leurs pertes financières sur les prix de leurs produits, comme la fameuse ‘démarque inconnue’ de la grande distribution. Banques et commerçants ne sont donc pas directement impactés par la fraude, et se contentent de gérer le risque.

En second lieu, les commerçants sont avant tout concentrés sur la croissance de leurs ventes. Ils répondent aux attentes des internautes, et facilitent le processus d’achat au maximum, afin d’éviter tout abandon de panier. Résultat : les vérifications d’identité sont réduites au minimum, et la sécurisation des paiements est sacrifiée à l’autel de la simplicité d’utilisation. La montée en puissance des fonctions de ‘paiement en un clic’ sur les sites de e-commerce en est l’exemple le plus flagrant. Ces sites font tout pour simplifier la vie de leurs clients, mais la plupart ne maîtrisent pas les impacts que cela implique en matière de sécurité. La cohérence des comptes clients créés par exemple n’est quasiment jamais vérifiée.

En troisième lieu, les pouvoirs publics ne se sont jamais vraiment impliqués dans la résolution du problème. Pour 3D Secure par exemple, la Banque de France qui est pourtant garante de la sécurité des moyens de paiement, n’a pas le pouvoir d’imposer une règle précise au groupement qui gère les cartes bleues, n’ayant que le statut d’observateur. De même, l’administration n’a jamais communiqué en direction du grand public pour encourager l’adoption du système, comme ce fut le cas dans d’autres pays, ou pour le cadenas SSL.

Les acteurs doivent assumer leurs responsabilités La montée inexorable de la fraude sur Internet n’est pourtant pas une fatalité. Le cas du marché britannique en constitue un exemple éclatant. Dans ce pays, le taux de fraude en e-commerce se rapproche de celui constaté dans les points de vente ‘traditionnels’. 96% des transactions sur Internet utilisent 3D Secure, et le taux d’échec d’authentification 3D Secure ne dépasse pas 3%, alors qu’il est de 13% en France. La raison de ce succès réside dans l’établissement d’un cercle vertueux associant la mise en place d’une procédure unique d’authentification  adoptée par toutes les banques et tous les opérateurs de cartes bancaires, et une adoption massive des commerçants. Pour inverser la tendance en France, plusieurs mesures de bon sens pourraient rapidement être mises en œuvre.

A commencer par une meilleure sensibilisation des consommateurs aux risques liés au paiement sur Internet. De la part des e-commerçants d’abord, qui doivent mieux informer leurs clients sur les risques qu’ils prennent lorsqu’ils saisissent des données personnelles sur Internet. Beaucoup de sites bancaires diffusent régulièrement des alertes de sécurité, aucun grand site de e-commerce ne fait de même par exemple. Il serait logique que la Fevad prenne en charge une réelle sensibilisation du grand public sur ce sujet. De la part des pouvoirs publics ensuite. Une véritable communication gouvernementale sur la sécurité des paiements devrait être développée, comme c’est le cas dans de nombreux autres pays. En France, ce sont surtout les entreprises qui sont sensibilisées sur la sécurité, et non les consommateurs. D’autre part, les banques doivent logiquement s’entendre  sur une procédure unique d’authentification, simple à comprendre et à mettre en œuvre, qui permette d’obtenir l’adhésion à la fois des consommateurs et des commerçants. Enfin, les consommateurs ont également leur part de responsabilité, et doivent prendre conscience que le respect de règles élémentaires de sécurité s’impose à eux tout au long de leur acte d’achat sur Internet. Le taux de fraude ne pouvant continuer à croître indéfiniment, cette évidence finira par s’imposer. Pour l’intérêt des consommateurs comme celui de l’industrie du e-commerce, le mieux serait qu’elle le soit rapidement. (Par Fabien Dachicourt pour DataSecurityBreach.fr / RSSI de Coreye)

Virus

Les sites de jeu en ligne visés par une campagne de cyberespionnage active

L’organisation cybercriminelle « Winnti » cible les serveurs de jeu à travers le monde et dérobe de la propriété intellectuelle ainsi que des certificats numériques à des fins malveillantes. Selon le rapport de Kaspersky Lab reçu à la rédaction de Data Security Breach, le groupe Winnti, encore actif aujourd’hui s’attaque à des sites de jeu en ligne depuis 2009. Il a pour objectifs de dérober non seulement de la propriété intellectuelle – notamment le code source des jeux en ligne – mais aussi des certificats numériques signés par des éditeurs de logiciels légitimes.

Le premier incident qui a attiré l’attention sur les activités malveillantes du groupe Winnti s’est produit à l’automne 2011, lorsqu’un cheval de Troie a été détecté sur les ordinateurs d’un grand nombre d’utilisateurs à travers le monde. Le lien manifeste entre toutes les machines infectées est que celles-ci ont été utilisées pour jouer en ligne.

Peu de temps après, il est apparu que le programme malveillant à l’origine de l’infection faisait partie d’une mise à jour régulière du serveur officiel du site de jeu. Les utilisateurs contaminés et les joueurs en général ont soupçonné l’éditeur d’avoir installé le malware afin d’espionner ses clients. Cependant, il s’est avéré par la suite que le programme malveillant avait été installé sur les ordinateurs des joueurs par accident, alors que les cybercriminels visaient en réalité le site de jeu lui-même. En réponse, l’éditeur propriétaire des serveurs ayant propagé le cheval de Troie à ses utilisateurs a demandé à Kaspersky Lab d’analyser le programme malveillant. Le cheval de Troie s’est révélé être une bibliothèque DLL compilée pour un environnement Microsoft Windows 64 bits, utilisant une signature appropriée. Il s’agissait d’un outil de type RAT (Remote Administration Tool) aux fonctionnalités complètes, qui donne aux auteurs de l’attaque la possibilité de prendre le contrôle de l’ordinateur d’une victime à son insu. La découverte est de taille car ce cheval de Troie est le premier programme malveillant opérant sur une version 64 bits de Windows avec une signature numérique valide.

Plus de 30 sites de jeu en ligne avaient été infectés par celle-ci, la majorité d’entre eux appartenant à des éditeurs de logiciels du sud-est asiatique. Cependant, des entreprises du secteur situées dans d’autres pays (Allemagne, Etats-Unis, Japon, Chine, Russie, Brésil, Pérou, Biélorussie) ont également été identifiées comme des victimes de Winnti. En dehors de l’espionnage industriel, trois principales techniques susceptibles d’être employées par le groupe Winnti pour en tirer des profits illicites : accumulation et manipulation de sommes d’argent virtuelles utilisées par les joueurs, pour une conversion en argent réel ; exploitation du code source volé sur les serveurs de jeu en ligne pour la recherche de vulnérabilités dans les jeux en vue d’accentuer la manipulation d’argent virtuel et d’en accumuler sans éveiller les soupçons ;  exploitation du code source volé sur des serveurs très fréquentés pour la création de sites pirates. Actuellement, le groupe Winnti est toujours actif.

Hacking

Action malveillante possible pour BeatsByDrDre

Action malveillante possible pour BeatsByDrDre La marque hi-fi, Beats (le fameux b) souffre d’un problème de sécurité sur son site Internet qui pourrait nuire à ses visiteurs/clients. C’est Mazaki, un lecteur, qui nous a alerté sur le sujet. La vulnérabilité, une XSS, un cross-site scripting. L’idée de cette faille, provoquer un enchainement d’actions malveillantes à partir d’un site officiel. En gros, soit par courrier électronique (XSS non-permanent comme pour gMail, ndlr datasecuritybreach.fr) ou directement stocké sur le site incriminé par la faille (XSS permanent), le pirate peut orchestrer différents types de piratages.

Vous vous demandez comment, par exemple, un pirate a pu voler la session de votre compte de courrier électronique, votre accès web ? Tout « simplement » via un vol du cookies. Le XSS permet l’interception de ce document caché au fin fond de votre ordinateur. Le pirate peut aussi afficher de fausses informations à l’écran, mettre en place une page de type hameçonnage de données ou, plus vicieux encore, installer un code malveillant (logiciel espion, keylogger) dans l’ordinateur de l’espace visité. Il est aussi possible, dans certains cas, d’accéder à la base de données et à ses petits secrets (mails, mots de passe, messages privés). Bref, comme le précise un expert du genre dans notre émission tv d’avril sur zatazweb.tv, le Cross-Site Scripting n’est pas à prendre à la légère. Notre cas du jour, vise donc B. Le protocole d’alerte de ZATAZ a été déclenché au sujet de cette potentialité malveillante. En attendant une hypothétique correction, datasecuritybreach.fr vous déconseille fortement de cliquer sur le moindre lien renvoyant vers le portail de Beats. Préférez taper directement, dans votre navigateur, l’url concerné.

Une correction ? Il existe moult méthodes pour éviter un XSS. Nous vous passerons l’utilisation d’un firewall (pare-feu) qui permet de filtrer les informations envoyées au serveur/site. Un contrôle du flux de données rentrantes/sortantes loin d’être négligeable. Le coût est l’un des freins de son utilisation. Parmi les solutions, mettre son nez dans le code source de son « précieux ». D’abord, protéger les variables (form et/ou url et/ou cgi et/ou cookies). Pour cela, il faut définir « scriptProtect » du tag <cfapplication>.

Comme le rappel Wikipedia : « Filtrer les variables affichées ou enregistrées avec des caractères ‘<‘ et ‘>’ (en CGI comme en PHP). De façon plus générale, donner des noms préfixés par exemple par « us » (user string) aux variables contenant des chaînes venant de l’extérieur pour les distinguer des autres, et ne jamais utiliser aucune des valeurs correspondantes dans une chaîne exécutable (en particulier une chaine SQL, qui peut aussi être ciblée par une injection SQL d’autant plus dangereuse) sans filtrage préalable« . Dernier point, non négligeable, faites appels à des personnes compétentes à qui vous laisserez du temps pour auditer sérieusement code source et espaces numériques exploités.

BYOD, Entreprise, Fuite de données

Les données stockées dans son réseaux

Les entreprises sont souvent impuissantes face à la protection de leur bien le plus précieux : les données stockées dans leurs réseaux. Alors que les services concernés ont souvent une bonne vue d’ensemble des données conservées au sein de la société et peuvent très facilement évaluer les dommages éventuels, une nouvelle étude commanditée par Kaspersky Lab, que datasecuritybreach.fr a pu consulter, révèle que la plupart des entreprises ont une idée peu précise des données de l’entreprise que les employés stockent sur leurs propres terminaux mobiles. Ceux-ci étant de plus en plus nombreux à utiliser des équipements personnels à des fins professionnelles, une telle méconnaissance pose des problèmes inédits.

Cette enquête, menée par TNS Infratest, révèle que, parmi les sondés en France, : seuls 33% des responsables informatique ont mis en place des règles suffisamment strictes pour disposer d’une vision complète et précise des informations stockées sur ces terminaux mobiles. 45% indiquent ne pas savoir où se trouvent toutes les données, mais avoir un aperçu raisonnable de la situation. 17% reconnaissent n’en avoir aucune idée.

Globalement, il ressort que ce sont les entreprises britanniques et espagnoles qui ont mis en place les règles les plus complètes en matière de protection des données. Ainsi : 57% des responsables interrogés au Royaume-Uni et 54% en Espagne déclarent avoir une vision complète de l’emplacement de leurs données. En Suède; ce chiffre descend à 19%. L’Espagne est également le pays présentant le plus faible nombre de responsables informatiques admettant n’avoir aucune idée à ce sujet (5%). Les entreprises scandinaves, à titre de comparaison, sont, soit très honnêtes, soit font implicitement confiance à leurs employés. En Suède (26%) et au Danemark (22%), soit un nombre exceptionnellement élevé de responsables informatiques reconnaissent ne pas avoir une idée claire des données présentes sur les terminaux mobiles.

« En cas de perte ou de vol d’un appareil mobile d’un employé, il est crucial de savoir ce qu’il contenait en termes de données et surtout de pouvoir mettre en œuvre rapidement les mesures nécessaires pour réagir efficacement », commente à datasecuritybreach.fr Tanguy de Coatpont, directeur général de Kaspersky Lab France. « Si, pour une raison ou pour une autre, il n’est pas possible de savoir où se trouvent les informations de l’entreprise, il convient au moins de pouvoir les crypter afin de les rendre inaccessibles à toute personne malveillante. »

Cyber-attaque, DDoS, Piratage

Cyber-attaques d’entreprises : de plus en plus d’inquiétude

Datasecuritybreach.fr a reçu une étude indépendante, commandée par Corero Network Security, leader mondial des systèmes de défense contre les attaques par déni de service (DoS/DDoS) et les intrusions en première ligne de défense, qui indique que les entreprises redoutent plus que jamais de devenir la cible d’attaques par déni de service distribué (DDoS).

Cette enquête réalisée auprès d’entreprises britanniques révèle que 41% des responsables informatiques sont « très » ou « extrêmement » préoccupés et craignent d’être victimes d’une attaque, contre 29% en 2012. Réalisée par l’Institut de sondages Vanson Bourne, l’enquête compare l’attitude de 100 moyennes et grandes entreprises, au cours des deux dernières années. Ce sondage dévoile également que le nombre d’entreprises ayant eu à faire face à des attaques a atteint 25% en 2013, contre 18% en 2012. Les responsables informatiques du secteur financier sont les plus inquiets. Actuellement, 56% d’entre eux expriment un niveau de préoccupation élevé ou extrême contre 28% l’année dernière.

Une impression de protection trompeuse 31% des personnes interrogées disent avoir déjà mis en place une technologie anti-DDoS spécialisée. 36% déclarent ne compter que sur leur pare-feu pour les protéger des attaques DDoS et ne projettent pas d’accroître leur protection. Par contre, 24% disent avoir l’intention d’acquérir une technologie anti-DDoS spécifique en plus du pare-feu en place.

Les analystes s’accordent à penser que les entreprises estiment être protégées contre les attaques ciblées comme les DDoS, alors qu’en fait, elles se réfèrent à des technologies de sécurité traditionnelles. Il semblerait que beaucoup comprennent l’évolution des menaces actuelles mais surestiment leur propre capacité à les contrer.

Fun, argent et espionnage Une évolution majeure par rapport au sondage de l’année dernière, porte sur les motivations des attaques. En 2012, les motifs politiques ou stratégiques étaient le plus souvent invoqués. C’était la principale motivation pour 33% des personnes interrogées. En 2013, 36% des sondés estiment également que c’est « juste pour rire ». Cependant, les motivations varient radicalement d’un secteur économique à l’autre. Les secteurs de la distribution et des finances considèrent que l’extorsion d’argent est la motivation principale des attaques, le secteur industriel pour sa part invoque unanimement les raisons politiques. Une autre conclusion intéressante de l’enquête est la variété des attaques ciblées et leur sophistication croissante. 33% des attaques ciblées sont des attaques DDoS de la couche applicative, 37% des attaques volumétriques et 30% des attaques d’un autre type ou des attaques zero-day. Emmanuel Le Bohec, Regional Manager de Corero Network Security en France, commente à Data Security Breach : « Il est intéressant de noter qu’en dépit de l’augmentation significative de protection contre les attaques par déni de service au cours de l’année passée, les responsables informatiques redoutent plus que jamais la menace d’une attaque. Il ressort en outre clairement de cette enquête que les responsables IT n’appréhendent toujours pas la variété et la sophistication des attaques DDoS ainsi que les risques pris par leurs entreprises en faisant confiance à leur seul pare-feu pour les protéger. »

Virus

Le Botnet ZeroAccess Générant des Bitcoins a été la Principale Menace au premier trimestre 2013

Le Botnet ZeroAccess Générant des Bitcoins a été la Principale Menace au premier trimestre 2013 Fortinet, l’un des leaders de la sécurité réseau haute-performance, a communiqué à DataSecurityBreach.fr sa nouvelle recherche sur les principales menaces menée par FortiGuard au cours de la période du 1er Janvier au 31 Mars 2013. Data Security Breach a observé que le botnet ZeroAccess générant des Bitcoins, a été la principale menace de ce trimestre d’après les données recueillies par les boitiers FortiGate situés à travers le monde. Le rapport livre également une analyse des cyber-attaques de la Corée du Sud ainsi que deux nouvelles variantes d’adware sur les appareils Android au cours des 90 derniers jours.

ZeroAccess ne montre aucun signe de ralentissement “Au premier trimestre 2013, nous avons vu les propriétaires du botnet ZeroAccess assurer et augmenter le nombre de bots sous son contrôle,” déclare à dataSecurityBreach.fr Richard Henderson, stratégiste de sécurité et chercheur en menaces au sein de FortiGuard Labs de Fortinet. “Au cours des derniers 90 jours, les propriétaires de ZeroAccess ont envoyé à leurs hôtes infectés 20 mises à jour logicielles.”

ZeroAccess est la principale menace en matière de botnets que l’équipe a observé. ZeroAccess est principalement utilisé pour la fraude par clic et la création de Bitcoins. La valeur de la monnaie électronique, décentralisée et basée sur l’open source, continue à exploser, ce qui signifie probablement que la somme d’argent  qui est générée par ZeroAccess se chiffre en millions de dollars ou plus. “Comme la popularité et la valeur de Bitcoin augmente, nous pourrions voir d’autres propriétaires de botnets tenter de les utiliser à l’identique ou pour perturber le marché des Bitcoins,” poursuit Henderson.

En Mars et Avril, Mt. Gox, la plus grande bourse d’échange Bitcoin du monde, a lutté contre une attaque continue par déni de services distribués  (DDoS) visant à déstabiliser la devise et/ou à en profiter. L’analyse de ZeroAccess par FortiGuard Labs, qui peut charger des modules DDoS sur les machines infectées, révèle que le botnet ne dispose pas actuellement d’un module DDoS attaché à son arsenal. Ceci indique que d’autres propriétaires de botnets tentent de profiter des fluctuations de la devise Bitcoin.

Le développement de nouvelles infections ZeroAccess est resté régulier au cours des 90 derniers jours. Depuis Août 2012, FortiGuard Labs surveille activement ZeroAccess, et l’équipe a constaté une croissance quasiment linéaire en matière de nouvelles infections. Plus récemment, l’équipe a noté 100 000 nouvelles infections par semaine et près de 3 millions d’adresses IP uniques rapportant des infections. On estime que ZeroAccess pourrait générer à ses propriétaires jusqu’à 100 000$ par jour en recettes publicitaires frauduleuses.

L’Attaque Wiper Touche les Entreprises Sud Coréennes Une attaque massive de malwares ciblant les institutions financières et réseaux de télévision Sud Coréens en Mars a causé d’énormes dommages, détruisant des milliers de disques durs. FortiGuard Labs, s’appuyant sur son partenariat avec les secteurs publics et privés en Corée du Sud, a découvert des informations relatives à la nature de l’attaque et à la façon dont le malware s’est propagé. La recherche de l’équipe montre que les assaillants ont réussi à reprendre le contrôle des systèmes de gestion des correctifs et utiliser la nature fiable de ces systèmes pour distribuer des malwares dans les réseaux de leurs cibles. Le nettoyage et la remise en état continuent, et les coupables responsables de ces faits restent non identifiés.

Deux Nouvelles Variantes d’Adware se Propageant sur les appareils Android Deux nouvelles variantes d’adware sur les appareils Android, Android.NewyearL.B et Android.Plankton.B, ont provoqué un grand nombre d’infections mondiales au cours des 90 derniers jours. “Les nouveaux kits de publicité que nous avons observé indiquent que les auteurs font de leur mieux  pour éviter la détection,” déclare à datasecuritybreach.fr David Maciejak, chercheur sénior de FortiGuard Labs chez Fortinet. “Il est également possible que Newyear et Plankton soient créés par le même auteur, mais maintenus distincts afin de générer plus d’infections.” Les deux  malwares sont intégrés dans diverses applications et peuvent afficher des publicités, pister les utilisateurs à travers le numéro IMEI du téléphone et modifier l’écran du téléphone.

La forte augmentation d’adware sur Android peut très vraisemblablement être attribuée aux utilisateurs qui croient installer des applications légitimes contenant un code embarqué d’adware,” déclare à data security Breach Guillaume Lovet, Responsable Senior à FortiGuard Labs. “Cela indique que quelqu’un ou un groupe a été capable de monétiser ces infections, probablement par le biais de programmes illicites d’affiliation publicitaires.” Les utilisateurs peuvent se protéger en prêtant une attention particulière aux droits demandés par l’application au moment de l’installation. Il est également recommandé de télécharger des applications mobiles qui ont été très bien notées et vérifiées.

DDoS, Piratage

Cyber-attaques : la menace s’amplifie, la résistance s’organise

Dire que les attaques par DDoS (Déni de Service Distribué) sont de plus en plus fréquentes et de plus en plus graves est une lapalissade. La menace est diffuse, souvent discrète, mais bien réelle. La gravité du phénomène est difficile à cerner avec précision, mais on peut affirmer que la plupart des grandes entreprises et administrations ont subi des intrusions. Plusieurs études révèlent en effet que 65 à 70 % des entreprises ont été victimes de cyber-attaques ciblées en 2012. Une enquête de Ponemon Institute aux Etats-Unis dévoile que l’année dernière, les deux tiers des banques et entreprises du secteur financier  ont été frappées par des attaques DDoS. Pourtant, seules 17% d’entre elles se disent bien protégées.

L’alerte est donnée Autrefois, servant exclusivement dans les tentatives d’intrusion pour désactiver des équipements réseau ou sécurité, puis plus récemment utilisées comme moyen d’expression idéologique par les Anonymous – bien que ce but annoncé puisse parfois laisser dubitatif – les cyber-attaques apparaissent désormais comme un problème beaucoup plus grave et plus global, devenu surtout géopolitique et économique. Bien que peu d’entreprises admettent encore publiquement en être la cible, certains éléments montrent qu’il s’agit d’un phénomène généralisé. La question est assez préoccupante pour que l’administration américaine ait donné l’alerte et milite activement pour une meilleure protection des infrastructures du pays En effet, les États-Unis, particulièrement concernés, prennent la chose très au sérieux. Les responsables des services de renseignement ont récemment fait part au Sénat de la vulnérabilité de la nation face au cyber-espionnage, au cyber-crime et à la destruction des réseaux informatiques, à la suite d’attaques menées par certains états, par les cyber-terroristes, les cybercriminels ou encore les hacktivistes. En France, on note un certain retard de prise de conscience de la menace malgré l’alerte donnée par Jean-Marie Bockel et la montée en puissance de l’Agence Nationale de la Sécurité des Systèmes d’Information (ANSSI), appartenant aux services du Premier Ministre. Dans son rapport, le sénateur critique les moyens alloués par l’Etat pour se défendre contre des attaques informatiques de grande ampleur et contre une cyber-guerre. On ne peut que s’inquiéter de cette situation. Bercy, l’Elysée – tout comme des institutions publiques de plusieurs pays – n’ont-ils pas déjà été l’objet d’attaques ?

Le risque du chaos La lutte contre les cyber-attaques s’inscrit dans une conception globale de défense. Elle est aujourd’hui devenue prioritaire, au même titre que la lutte contre le terrorisme ou la prolifération nucléaire, et tout ce qui risque de mettre en cause la sécurité nationale. La remise prochainement au gouvernement du Livre blanc « Sécurité & Défense 2013 » insiste bien, à la fois sur cette nécessité et sur le retard pris par la France. Des mesures de protection propres aux activités socio-économiques doivent être prises, tout comme elles le sont pour la sécurité du territoire ou la garantie des institutions. Cela devrait se traduire en particulier par la prise de dispositions rendant obligatoire la mise en place d’outils de sécurité sur les systèmes d’information. L’attaque des systèmes d’information ne pourrait-elle pas conduire à la prise de commande des organes vitaux de la Nation, via les fameux Opérateurs d’Importance Vitale (OIV), menant au chaos dans les transports, l’énergie, la distribution, les médias et la finance ? Cette éventualité est prise très au sérieux et ne relève pas d’un scenario de film catastrophe.

Data Securit Breach se pose la question : Mensonge ou aveuglement ? Devons-nous craindre un manque de moyens de défense face à la multiplication des agressions subies par les entreprises ? On observe une lente mobilisation des Etats et une prise de conscience encore très limitée des entreprises dans le monde. Beaucoup, lorsqu’elles n’y sont pas obligées, ne signalent pas les attaques qu’elles subissent, craignant pour leur image. Ce qui est potentiellement dangereux pour leurs clients, leurs partenaires… et tous ceux qui échangent régulièrement avec elles. La prise de conscience n’est pas partagée par tous et le déni des attaques s’apparente à l’aveuglement, allant même jusqu’au mensonge sur la gravité des faits.

Aux Etats-Unis, les 27 plus grandes entreprises américaines cotées en bourse, ont nié avoir enregistré des pertes financières importantes à cause des attaques subies. Cela est contraire aux affirmations des autorités fédérales américaines pour lesquelles des milliards de dollars de secrets confidentiels ont été dérobés par ce biais. Le décalage s’explique. Les sociétés déclarent qu’elles ont été attaquées mais minimise les conséquences.

Le rapport Bockel préconise également l’obligation de déclarer les attaques importantes du système d’information. Informer qu’on a été attaqué est sans aucun doute une démarche responsable. Bien qu’elles soient encore trop peu, on note que de plus en plus d’entreprises prennent vraiment conscience des dangers du piratage informatique, en révélant les tentatives des hackers pour infiltrer leurs réseaux et dérober des données sensibles. C’est le cas par exemple d’EADS et ThyssenKrupp, qui selon Der Spiegel ont été les cibles, l’année dernière, de cyber-attaques venues de Chine. Officiellement, EADS confirme qu’il s’agit d’une « attaque standard » sans conséquence. Mais pour l’hebdomadaire allemand, la cyber-attaque a été jugée suffisamment importante pour que le groupe aéronautique et aérospatial civil et militaire alerte le gouvernement allemand.

Le cyber-espionnage s’amplifie Les attaques DDoS augmentent en fréquence mais aussi en gravité. Au-delà des attaques impliquant un très gros débit, ce sont surtout les attaques par déni de service applicatif qui ont le vent en poupe. Plus faciles à mettre en œuvre, plus discrètes, elles n’en sont pas moins dévastatrices et représentent désormais entre 60 et 80% des attaques, selon les études. Et la tendance ne semble pas prête à s’inverser. Mais le plus important est de comprendre que les attaques par déni de service, quel que soit leur type, ne sont que la partie émergée de l’iceberg. L’attaque vise en réalité à pénétrer le réseau de l’entreprise-cible. D’ailleurs, les entreprises sont les premières visées car détentrices de brevets, de données personnelles, financières, géographiques, météorologiques, sanitaires… Et, chaque attaque par déni de service majeure a donné lieu par la suite, à une seconde vague prenant la forme d’une divulgation d’informations volées au moment de l’attaque. Comme si, au cas où les effets du DDoS n’auraient pas été suffisamment remarqués et la réputation de l’entreprise entachée, l’attaquant voulait s’assurer que ses actions éclatent bien au grand jour et soient révélées au plus grand nombre. Chaque entreprise, PME ou grand compte, est une cible potentielle pour les criminels informatiques. A la demande de Corero Network Security, le Ponemon Institute a mené une enquête. 650 professionnels de l’informatique et de la sécurité, représentant 351 banques dont les plus importantes au monde, ont été interrogés. Il s’avère que 64% des professionnels sondés révèlent que leur banque a subi de multiples attaques DDoS en 2012 et 78% d’entre eux s’attendent à ce que le phénomène persiste voire s’amplifie. Les attaques DDoS et les attaques zero-day –  qui exploitent une vulnérabilité jusqu’alors inconnue – sont les menaces les plus graves. On observe d’ailleurs de plus en plus la combinaison des deux. Une personne sur deux interrogées dans le cadre de l’enquête, déclare que la pénurie de personnels compétents, le manque de technologies de sécurité efficaces et l’insuffisance de ressources budgétaires sont les obstacles majeurs qui empêchent de contrer les attaques par déni de service distribué.

Toute entreprise connectée à Internet peut subir une attaque DDoS. Pourtant, on s’aperçoit avec inquiétude que la grande majorité des organisations compte sur des solutions inefficaces (parce que non conçues pour cela) comme les anti-virus et les pare-feu pour se protéger contre ces attaques par DDoS.

Chaque technologie doit pouvoir jouer son rôle Face à ce danger omniprésent, l’inquiétude est légitime. Nos entreprises sont-elles bien préparées à contrer les attaques de nouvelle génération ? Font-elles les bons choix techniques et stratégiques de défense ? Des solutions nouvelles existent pour résister à la déferlante des attaques DDoS, des attaques ciblées, des botnets, des attaques force-brute et empêcher la fuite et le vol de données. Datasecuritybreach.fr vous rappelle qu’il s’agit d’unités qui filtrent les flux et éliminent le trafic de l’attaque avant qu’il ne frappe le réseau et sans que le trafic légitime ne soit ralenti ou bloqué. Parce que les attaques DDoS visent de plus en plus fréquemment la couche applicative du système d’information, une nouvelle approche est nécessaire pour se défendre. La technologie traditionnelle des pare-feu, proxies et IPS détectant sur signatures, n’a pas été conçue pour arrêter les attaques visant la couche applicative et cherchant à simuler des acteurs légitimes. Les attaquants le savent.

De plus, l’attaque par DDoS n’est parfois qu’une diversion pour pénétrer sur le réseau et effectuer une invasion plus insidieuse. Pour ce faire, les pirates ciblent le pare-feu, mis en place par l’organisation pour se protéger et qu’ils utilisent contre elle ! Aussi convient-il de disposer une première ligne de défense – moyen simple pour bloquer le trafic indésirable avant qu’il n’atteigne le pare-feu et l’IPS – laissant ces derniers faire le travail pour lequel ils ont été conçus. Pourquoi s’en priver ? Les attaques n’arrivent pas qu’aux autres. Par Emmanuel Le Bohec, pour Data Security Breach, Regional Manager chez Corero Network Security.

ID, Particuliers

Documents électroniques d’identité (eID et e-Passeport): quels sont les défis à relever ?

La gestion des documents d’identité est en pleine mutation : avec la généralisation des programmes de cartes nationales d’identification électronique (appelés également CNIe), les gouvernements souhaitent déployer un véritable bouclier contre les fraudes et la contrefaçon à grande échelle. Cependant, certains programmes nationaux prennent du retard – notamment en France – et certains écueils ne semblent toujours pas résolus.

Quels sont les défis technologiques auxquels les administrations et gouvernements doivent faire face ?
Sur le terrain, la sécurité des documents officiels d’identité reste une préoccupation majeure : les populations n’ont jamais été aussi mobiles et nous sommes toujours plus nombreux à passer les frontières ; du côté de l’administration électronique, le but est de gagner en simplicité. Car les administrations ont besoin non seulement de documents d’identification robustes et multiservices bénéficiant d’une sécurité optimale, mais facilitant aussi les mouvements transfrontaliers et l’accès à des services sociaux ou de santé.

En 2015, 85% des documents d’identification seront électroniques, et les gouvernements qui proposeront ces CNIe seront jusqu’à 4 fois plus nombreux que ceux qui resteront sur des formats plus classiques (sans technologie), selon l’analyste Acuity Market Intelligence. L’utilisation d’identifiants multi-applicatifs semble devenir la norme pour le développement de carte d’identité multiservice et durable, et, dans ce contexte, la prévention des fraudes, le déploiement de programmes de bout en bout et l’expertise en matière d’intégration sont essentiels pour le développement de programmes d’identification nationaux.

Il s’agit, en effet, d’éliminer les problématiques d’interopérabilité technologique, d’assurer les mises à jour des cartes existantes et des systèmes sous-jacents, et d’encourager la longévité des documents d’identification, autant de vecteurs qui peuvent induire des coûts supplémentaires. C’est la raison pour laquelle une expertise en matière de conception, de technologie et de fabrication est essentielle pour s’assurer que les documents d’identification soient conformes aux normes internationales qui régissent leurs dimensions, leur sécurisation, leurs fonctionnalités et leur longévité.

Une longévité optimale
La longévité des documents d’identification est un point crucial : ces documents doivent en effet résister à une utilisation intensive et à différents vecteurs d’usure. Les matériaux comme le polycarbonate se sont imposés en tant que matériau de choix en matière de durabilité et de résistance. On note néanmoins que l’ajout de technologies intelligentes embarquées telles que le RFID ou les puces avec ou sans contact pourraient être considérés comme des freins potentiels à la durabilité des supports en plastique.

Ce constat est à l’origine du développement de nouvelles technologies qui, à l’image de la technologie polycarbonate prévenant la formation de fissure, brevetée de HID Global, assure l’intégrité de la structure des documents d’identification.

La mise à jour des documents d’identification
Le retour sur investissement des programmes CNIe évolués fait l’objet de nombreux débats. En effet, les discussions portent notamment sur l’investissement initial du projet, qui varie selon les fonctionnalités et la durée de vie des cartes d’identité. La possibilité et le processus de mise à jour des cartes déjà en circulation sont essentiels en matière de conception du programme et d’allocation des budgets.

Pourquoi en effet payer pour une carte qui devra être rapidement renouvelée (par ex. suite à un changement d’adresse)? Dans un tel scénario, les cartes à puce déployées dans le cadre d’applications embarquées et sécurisées de gestion des données peuvent être mises à jour. Grâce à ces programmes, la mise à niveau des informations sur la carte est assurée, incluant la possibilité de télécharger de nouvelles applications ou d’activer de nouveaux services, dès que ces derniers sont disponibles. Cette évolutivité offre aux gouvernements la possibilité d’étendre leurs programmes de manière sécurisée, même lorsque les cartes sont déjà entre les mains des citoyens.

Des technologies innovantes, telles que l’OSM (Optical Security Media) facilitent les mises à jour des documents d’identification en circulation. D’ailleurs, cette technologie a fait ses preuves et a été utilisée dans le cadre de la délivrance des permis de résident américains dits « Green Cards » . L’information présente sur la piste optique de ces cartes ne peut être modifiée de manière frauduleuse, et ne peut être mise à jour que par des instances légitimes, le tout, sans avoir à remplacer la carte.
 
Un document d’identification valable 10 ans, durera-t-il vraiment 10 ans ?
Le remplacement des cartes d’identité traditionnelles par des cartes de type eID, l’intégration d’une ou de plusieurs technologies de carte à puce en d’identification, et l’innovation qui favorise la durabilité des cartes sont autant de leviers qui assurent la pérennité des identifiants de demain.

Dans les 5 années à venir, les priorités porteront sur les fonctionnalités des cartes multi-technologiques, davantage d’intégration au niveau de la conception des cartes, l’amélioration des systèmes de délivrance, les différentes possibilités de mise à jour, et l’innovation en matière de production des cartes. Ce sont ces facteurs, entre autres, qui feront de la carte d’identité à puce, valable 10 ans, une réalité. (Par Craig Sandness, pour Data Security Breach, Vice-président chez HID Global, en charge des solutions d’identification officielle.)

Petites entreprises, grandes menaces : restez informés, restez protégés

Quitter la version mobile