 Your new post is loading...
Your new post is loading...
Elle n’est pas encore disponible que la nouvelle console de jeux de Microsoft fait déjà beaucoup parler d’elle ! Et pas seulement pour ses performances ou ses graphismes, que Microsoft promet exceptionnels grâce notamment au déport des calculs les plus gourmands dans le Cloud. Non, ce qui fait vraiment parler de la Xbox One c’est plutôt sa capacité à observer attentivement ce qui se passe chez vous. Des rumeurs qui la présentent, excusez du peu, comme un petit Big Brother en puissance, confortablement installé dans votre salon.
l’occasion l’évènement ROOMn à Deauville nous évoquions la question de la fraude dans le cadre du commerce et du paiement sur mobile (m-commerce et m-paiement).
Nos invités étaient Diane Mullenex, avocate spécialisée dans la IT, le e-commerce et le jeu en ligne (Ichay & Mullenex Avocats), et Willy Dubost, Directeur du département systèmes et moyens de paiement à la Fédération Bancaire Française.
Aborder spécifiquement le commerce et le paiement mobile n’est pas anecdotique. Les marchands doivent s’y préparer dès à présent. Selon IDC, il y aura 15 millions de PC en moins dans les quatre prochaines années mais 91 millions d’utilisateurs de mobiles supplémentaires. Et Gartner prévoit que dès l’année prochaine 12% des transactions de e-commerce seront réalisées depuis un mobile.
Par François Coupez (@f_coupez), Avocat à la Cour, Associé Cabinet Caprioli & Associés Chargé d’enseignement à l’université Paris II Panthéon-Assas
La question du statut réel de l’adresse IP est une question qui revient avec obstination sur le devant de la scène juridique et parfois médiatique, alors même que les partisans de chaque camp l’estiment résolue. Avec l’adoption de la proposition de règlement européen sur la protection des données à caractère personnel qui se rapproche, le moment est venu d’un petit rappel sur le sujet.
L’attaque par déni de service visant actuellement Spamhaus est-elle une intox ? Une info ?
Les deux, mon capitaine, et c’est bien pour ça que l’affaire est intéressante !
Nous annoncions hier l’existence d’une attaque de type DDOS contre Spamhaus, un fournisseur de services antispam bien connu. L’affaire était révélée par le New-York Times, très vite suivi par la BBC. Il y avait deux informations à ce stade : la première était que Spamhaus subissait une attaque par déni de service d’une ampleur jusqu’à présent inégalée (jusqu’à 300gbs, soit six fois ce qui était dernièrement utilisé pour faire tomber des sites de banques américaines) et la seconde que cet assaut perturbait, par des effets de bord, le trafic de l’Internet mondial.
a mésaventure vécue le mois dernier par un adolescent de la région parisienne vient rappeler que malgré toute la bonne volonté du législateur en matière de répression dans le cyber, sur le terrain déposer plainte peut encore relever du parcours du combattant. Le 27 février au soir, Théo apprend par des amis de classe qu’un faux profil Facebook à son nom vient d’être créé et que de nombreux camarades bernés sont désormais amis avec l’inconnu. Sur le profil, tout est exact : son nom, sa date de naissance, son groupe de musique préféré… A un détail près : son homosexualité. L’auteur du profil publie rapidement des images à caractère pornographique censées révéler la prétendue attirance de Théo pour les hommes, dans le but de nuire à sa réputation.
RSA Conference, San Francisco. Pour Vint Cerf, l’un des pères fondateurs d’Internet, la déferlante d’objets connectés qui s’apprêtent à débarquer dans notre quotidien ne pourra pas avoir lieu sans des mécanismes d’authentification forte intégrés au plus près des objets. Il propose à cet effet un modèle dans lequel chaque objet connecté disposerait d’une paire de clés publique et privée, au même titre qu’un système en ligne dispose aujourd’hui d’une adresse IP. Et il serait en mesure de publier ou de communiquer cette clé publique sur demande.
RSA Conference, San Francisco - Il y a tout juste un mois nous écrivions que la cyber-intelligence serait probablement le buzzword de 2013. Et à en juger par le thème officiel de cette vingtième édition de la RSA Conference, c’est désormais chose faite. RSA a en effet choisi de célébrer cette année le « Big Data pour la sécurité ». Art Coviello, Executive Vice President de EMC et Executive Chairman de RSA, s’est ainsi lancé dans une nouvelle croisade : permettre à la sécurité de tirer partie au mieux de la quantité d’information issue des systèmes et des applications de l’entreprise. Celle-ci doit selon lui désormais se doter d’une stratégie de sécurité pilotée par l’information (« Intelligence-driven security strategy« ).
Comment l’armée française perçoit-elle le domaine cyber ? Lors du dernier FIC de Lille, le Général Eric Bonnemaison, de la Délégation aux affaires stratégiques, a livré quelques éléments de réponse particulièrement intéressants.
L’on apprend ainsi que du point de vue militaire le domaine cyber est vu essentiellement comme un terrain parfaitement asymétrique, qui permet « au faible de se mesurer au fort là où il est faible« , résume le Général Bonnemaison.
Nous reviendrons certainement plus longuement sur l’opération Octobre Rouge révélée par l’éditeur Kaspersky. Il s’agit d’une opération de cyber-espionnage d’envergure qui aurait ciblé, depuis 2007, essentiellement des gouvernements d’Europe de l’Est et d’Asie centrale. Mais vous pouvez dores et déjà lire avec attention les analyses de l’éditeur : elles alimenteront certainement vos prochaines campagnes de sensibilisation. Car si, en effet, les cibles semblent avoir été cette fois-ci gouvernementales, il est courant dès lors qu’une stratégie d’attaque montre son efficacité, qu’elle soit répliquée. Et l’approche employée dans le cadre d’Octobre Rouge pourrait très bien se retrouver, en partie du moins, au programme de prochaines attaques corporate.
Si l’on en croit le Top 10 des articles les plus lus en 2012 sur SecurityVibes, l’année fut placée sous le signe de la prospective. Ce sont en effet globalement les publications traitant de menaces émergentes ou de nouveaux modes d’organisation de la SSI qui ont le mieux retenus votre attention.
L'usage de disques durs dits "chiffrants" (SEDs, pour self-encrypting drives) permet de garantir le chiffrement intégral des données d'un système de manière entièrement transparente pour l'utilisateur et quasiment sans douleur pour l'administrateur.
MoneyGram, le service de transfert d’argent concurrent de Western Union, vient de se voir infliger une amende record de 100 millions de dollars par la justice américaine. Celle-ci lui reproche d’être complice des arnaques qui pullulent sur le web - souvent malgré lui et via des agents véreux.
Le libraire américain Barnes & Noble annonce avoir retiré les terminaux de paiement dans 63 de ses boutiques après que plusieurs de ces terminaux aient étés piégés, directement dans les boutiques, par un groupe de criminels. Selon Barnes & Noble seulement 1% de ses terminaux étaient ainsi piégés (un seul dans chacune des 63 boutiques concernées). Les terminaux étaient modifiés par les pirates afin d’enregistrer pour leur compte les informations de paiement et les codes PIN des cartes bancaires.
|
A première vue, l’intérêt de l’OCDE pour la sécurité de l’information pourrait sembler incongru. Qu’est-ce qu’une organisation intergouvernementale vieille de cinquante ans et bâtie sur la notion de collaboration volontaire entre les Etats pourrait bien apprendre aux professionnels de la SSI ? Que pourrait-elle avoir a dire sur la sécurité de systèmes d’information ? Pourtant, l’Organisation de Coopération et de Développement Économiques (OCDE) a beaucoup à dire, et dans de très nombreux domaines : de la lutte contre la corruption à l’agriculture en passant par les migrations internationales, la fiscalité et, bien entendu, les technologies de l’information. A travers ses nombreuses publications et recommendations son rôle est d’aider les décideurs dans l’établissement des politiques publiques.
Dickie George est un vieux de la vielle. Entré à la NSA en 1970 il n’en sortira que pour prendre sa retraite en 2011. En 41 ans de carrière au sein de l’agence ce mathématicien passera par tous les postes et finira par diriger l’Information Assurance Directorate, l’entité chargée de protéger les systèmes d’information du pays (l’homologue de notre ANSSI).
A l’occasion de la dernière RSA Conference de San Francisco nous l’avons écouté revenir sur 41 ans de carrière dans le renseignement. Dickie George évoque un temps « que les moins de vingt ans ne peuvent pas connaître ». Une époque où le cyber n’existait pas vraiment. Et le moins que l’on puisse dire, c’est qu’à l’entendre le monde ne s’en portait pas plus mal…
Avec sa Réserve Citoyenne de Cyberdéfense la France fait un pas de plus en matière de partenariat public-privé dans le cyber. Bien qu’annoncé en septembre dernier ce réseau a été présenté aujourd’hui à la presse.
La Réserve Citoyenne de Cyberdéfense a été décidée dans la continuité du rapport du Sénateur Jean-Marie Bockel. Elle associe des bénévoles civils experts en SSI à des réservistes militaires et des organismes étatiques (Ministère de la Défense, ANSSI, Direction Générale de la Gendarmerie Nationale). Le réseau a pour objectif de « sensibiliser, éduquer, débattre, proposer, organiser et susciter des événements contribuant à faire de la cyberdéfense une priorité nationale« .
Le sociologue Gérald Bronner était hier l'invité du Cercle Européen de la Sécurité. Spécialiste des croyances collectives, il est bien placé pour parler de la rumeur et de son impact sur les entreprises.
La faiblesse de l’algorithme de chiffrement RC4 est bien connue, et cela depuis longtemps (notamment depuis le désastre sécuritaire du protocole WiFi WEP). Pourtant, RC4 demeure encore très utilisé pour assurer la sécurité des flux sous TLS /SSL. Une connexion TLS /SSL sur deux serait encore chiffrée à l’aide de cet algorithme.
Des chercheurs britanniques annoncent avoir découvert une nouvelle attaque contre RC4 et être en mesure de déchiffrer 220 octets d’un stream de données chiffré avec cet algorithme dans le cadre d’une connexion TLS/SSL. L’avantage de leur attaque est qu’elle n’exige aucune finesse (pas de timing précis à respecter, notamment). Mais son défaut majeur est qu’elle nécessite l’interception au préalable d’une très grande quantité de données, et qu’elle n’est donc pas très pratique à mettre en oeuvre.
Plus de détails techniques sont disponibles sur la page web des chercheurs. A l’origine de la faiblesse : la piètre qualité du générateur de nombres pseudo-aléatoires de l’algorithme. Le blog de l’éditeur Sophos propose à ce sujet une excellente analyse de l’attaque.
Inutile toutefois de paniquer pour l’instant : l’attaque ne sera probablement pas mise en oeuvre dans la nature avant un moment. Toutefois les chercheurs proposent malgré tout un scénario impliquant l’envoi répété de cookies d’authentification Gmail à l’insu de l’utilisateur afin d’accumuler une quantité d’information suffisante pour tenter de casser la connexion TLS/SSL. Même alourdies par de telles limitations, une fois découvertes les attaques ont généralement tendance à s’améliorer. Les chercheurs conseillent donc dès à présent supprimer RC4 de la liste des algorithmes acceptés par vos navigateurs et vos serveurs. Et on ne peut qu’approuver ! Sophos conseille quant à lui de privilégier désormais AES-GCM (Galois/Counter Mode).
A noter que RC4 avait fait un retour en force lorsque des attaques avaient été publiées contre TLS en mode CBC (BEAST, Lucky Thirteen). Mais ces dernières attaques sont désormais contournables et l’usage du mode CBC est à nouveau considéré fiable lorsque les contre-mesures adaptées sont appliquées.
C’est peut-être un signe des temps après la succession d’affaires de cyber-espionnage que l’on connaît. Alors qu’il était habituellement un grand défenseur de la coopération public-privé en matière de sécurité, Art Coviello, Executive Chairman de RSA, semble cette année plus mesuré dans ses propos : « de nombreux états sont actifs en matière de cyber-espionnage à la fois contre d’autres états, mais aussi contre des entreprises. Et certains d’entre eux collaborent également avec les mêmes cyber-criminels qui ciblent les entreprises« , avance Coviello. A lire entre les lignes on pourrait presque croire que la coopération public-privé se joue désormais entre pirates et Nations !
Alors bien entendu, il parle ici de nations étrangères. Le patron de RSA n’est évidemment pas allé jusqu’à prôner la défiance vis-à-vis de ses propres autorités ! Dans un entretien récent au Wall Street Journal il conseille d’ailleurs toujours fortement aux entreprises victimes d’attaques de partager leurs informations avec les forces de l’ordre. Mais le changement de ton est tout de même notable : la priorité cette année semble être en faveur du rapprochement des entreprises entre elles, au sein d’une même industrie par exemple, afin de mieux s’organiser et partager l’information sur les attaques.
RSA Conference, San Francisco. Le SSO, que l’on pouvait croire un marché sans grande agitation, semble se faire une nouvelle jeunesse dans les allées de la RSA Conférence à San Francisco.
La popularité des applications en mode SaaS et la multiplication des accès depuis les terminaux mobiles rendent en effet la notion de SSO quasi-indispensable, et plusieurs offres mettent cette années l’accent sur l’unification de l’accès Entreprise / Cloud / Mobile (Centrify, Covisint, OneLogin, Radiant Logic, Symplified…)
Lors d’un point presse organisé par la Gendarmerie Nationale au Fort de Rosny, en préparation du salon FIC de Lille (28 et 29 janvier prochains), le Lieutenant-Colonel Eric Freyssinet, Chef de la division de lutte contre la cybercriminalité, est revenu sur le travail des enquêteurs et ce que la technologie change pour eux.
Premier constat : le volume des données explose. Et si cela peut être un atout pour les enquêteurs, car chaque élément saisi est susceptible de contenir des informations utiles à l’enquête (ordinateurs, disques durs de grande capacité, clés USB, iPod et smartphones, etc…), cela oblige aussi à revoir les méthodes de travail. « Il n’est pas évident de traiter une telle masse de données. Il n’est notamment plus possible de tout passer en revue sans stratégie. Il faut que les enquêteurs apprennent à trier, à prioritiser, ce qui n’était pas toujours nécessaire jusqu’à présent« , explique ainsi Eric Freyssinet.
Soyons honnêtes, les prédictions de début d’année ne sont généralement qu’une extension des tendances observées au cours de l’année écoulée. Et comme toutes tendances, celles-ci peuvent se combiner, s’accentuer ou régresser, et c’est finalement ici que se joue l’aspect prédictif. C’est à dire, sur pas grand chose… Mais que cela ne nous gâche pas pour autant le plaisir de prédire !
Alors, quelles sont les tendances de 2012 dont on peut imaginer qu’elles auront un impact sur l’année 2013 ? Voici notre sélection.
Les services de renseignement extérieur recrutent massivement des spécialistes réseau & IT. Ingénieurs sécurité, développeurs, spécialistes des bases de données, des télécoms, du coeur de réseau et même crypto-mathématiciens sont activement recherchés par la DGSE pour des embauches sous contrat. Ces besoins coïncident avec le renforcement de la capacité cyber-offensive du service, si l’on en croit un article récent de l’Express. Ce dernier précise entre autre que la DGSE envisagerait de faire une exception à sa grille de salaires traditionnelle afin de séduire les meilleurs experts cyber… « en fusionnant plusieurs emplois à temps plein » ! Pour l’heure, et en attendant le renforcement des capacités internes, c’est le secteur privé qui dépannerait…
cyber espionnageElyséeespionnageFlamestuxnet Tout a été écrit au sujet du piratage dont a été victime l’Elysée entre les deux tours de la dernière élection présidentielle. Considérant le peu d’information disponible à ce jour il est difficile d’aller au delà des articles déjà publiés (par l’Express aujourd’hui et, dès cet été, par Le Telegramme) sans tomber dans la spéculation. Contentons-nous donc d’une observation : il paraît abusif de parler de « cyber-guerre ». Tous les Etats s’espionnent régulièrement sans pour autant se faire la guerre. Et ceci même entre alliés…
Le projet de règlement européen sur la protection des données à caractère personnel agite le petit monde des juristes mais pas encore vraiment celui des entreprises. Et pour cause : il ne s’agit encore que d’un projet dont l’application interviendra au mieux en 2015 et au pire en 2017. Et puis le document est dense : 91 articles, soit trois fois la directive européenne actuelle, qui ne concerne elle que l’industrie des télécoms. Mais les entreprises auraient tort de jouer l’autruche : elles devraient s’y pencher dès aujourd’hui tant ce texte prévoit d’obligations qui exigeront la mise en oeuvre de projets structurels.
|
