Le spécialiste européen de la formation certifiante en informatique et management pour les entreprises

Sécurité : Jusqu'où s'arrêtera-t-on* ? (*Michel Colucci)


C’est presque la fin de l’été et, toujours les mêmes, certains sujets réapparaissent…
Parmi eux, en pôle position, la sécurité informatique reste un point d’orgue non négligeable, à tel point que, en avance sur le printemps, fleurissent nombre de rapports, tous aussi alarmistes les uns que les autres…

Doit-on, pour autant, croire tous ceux qui crient « au loup » ?
Doit-on penser qu’il ne s’agit là que de thèmes « marronniers » ou d’opérations marketing intelligemment destinées, au choix, à faire vendre du papier ou des logiciels de protection ?
Doit-on s’inquiéter, à juste titre, du maintien de ses droits et données personnelles ?

Je vous laisse seul juge, à la lecture de cette petite compilation, des informations récemment publiées et vous souhaite, vivement, une bonne rentrée !

Rapport « Data Breach 2010 » de Verizon Business sur la Sécurité: Les entreprises sont toujours vulnérables et exposées aux vols de données

En combinant ses propres informations avec celles des Services Secrets américains, Verizon Business a pu mettre à jour une hausse des compromissions de données liées à des menaces internes et à l'utilisation d'outils sociaux.
Les organisations criminelles sont ainsi restées très actives l'an dernier (avec 85% des vols données enregistrés l'an dernier à leur actif), cherchant par tous les moyens à dérober des codes d'accès pour pénétrer au cœur des réseaux des entreprises. Or, la plupart des entreprises est mal protégée et n'est pas préparée à ce genre de problème.

Verizon Business estime en effet que seuls 4% des cas de vols recensés l'an dernier auraient nécessité des mesures de protection complexes et coûteuses à mettre en place. « Une bonne préparation demeure la meilleure défense contre les failles de sécurité » notent les experts de Verizon Business. Mais beaucoup d'entre elles ont encore un mal fou à détecter les incidents et à y remédier. 60% des failles sont d'ailleurs repérées par des tiers externes après un laps de temps considérable, alors que celles-ci sont le plus souvent signalées dans les journaux d’événements (logs). Le problème, c'est que personne ne s'en occupe.

Le rapport « Data Breach 2010 » de Verizon Business pointe donc du doigt tous ces travers et révèle par ailleurs que:
. 48 % des infractions sont le fait d’utilisateurs malintentionnés ayant abusé de leurs droits d’accès pour accéder aux informations de leur entreprise
. 40 % des infractions sont attribuables à des pirates
. 28 % des attaques se basent sur des outils sociaux
. 14 % des attaques relèvent d’attaques physiques.
Par ailleurs, le rapport précise que quasiment toutes les données dérobées l’ont été depuis des serveurs et applications en ligne.

Aussi pour éviter ces problèmes, Verizon Business conseille aux entreprises de :
. Restreindre et surveiller les privilèges accordés aux utilisateurs. Les données recueillies montrent une augmentation sans précédent du nombre d’infractions commises par des sources internes. La meilleure des stratégies serait donc de limiter les droits d'accès ou de ne les accorder qu’après avoir réalisé une enquête avant embauche.
. Ne négliger aucun cas de violation de politique de sécurité. Il existe, en effet, un lien réel entre les cas de violation de politique de sécurité en apparence mineurs et les abus plus sérieux. Tous les cas de violation doivent donc être pris en compte et traités.
. Instaurer des mesures pour contrer les vols de codes d’accès. Empêcher l’installation des logiciels de capture de droits d’accès malveillants sur les systèmes est une priorité absolue. Un double système d’authentification peut aussi constituer une solution efficace. Par ailleurs, il peut s’avérer utile, dans la mesure du possible, d’instaurer des règles sur le temps d’utilisation, d’inscrire les adresses IP suspectes sur une liste noire et de restreindre les connexions administrateur.
. Surveiller et filtrer le trafic sortant.
. Adapter sa stratégie de surveillance des événements et d’analyse des logs. Les entreprises devraient accorder davantage de temps au contrôle du traitement de leurs données et à l’analyse de leurs logs. Il est important qu’elles veillent à disposer du personnel, des outils et des processus adéquats pour détecter et pallier les anomalies.
. Partager ses informations sur les incidents. L’efficacité d’une entreprise à se protéger pleinement repose sur les informations dont elle dispose pour le faire.

Verizon Business, pour qui la mise à disposition et le partage d’informations sont indispensables à la lutte contre les crimes informatiques, encourage évidemment les entreprises à œuvrer dans ce sens, notamment par le biais de programmes de partage de données tels que le framework VERIS.


Etude Harris Interactive : Le spam toujours aussi présent

Le nombre de spams continue d’augmenter à un rythme étonnant. En un an, l’étude en ligne menée par Harris Interactive pour le compte de l’éditeur Cloudmark dénombre un accroissement du nombre de spams sur un an (56% en Chine, 44% en Europeet 42% aux Etats-Unis) ainsi qu’une certaine prise de conscience des utilisateurs concernant les risques encourus par la réception massive de messages non sollicités. Ainsi, les virus contractés suite à la réception de spam constituent la première crainte citée par 74% des américains, 69% des européens et 69% des chinois.
 
Second fléau souligné, l’usurpation d’identité est la conséquence la plus redoutée pour plus de 51% des européens, 56% des américains, et 46% des chinois.
 
Le Spam en provenance des réseaux sociaux, un nouveau fléau d’envergure ? 
Nouvelle tendance importante, les spams en provenance des réseaux sociaux se développent à grande vitesse. Pays le plus touché, les Etats-Unis, où 40% des utilisateurs interrogés déclarent avoir déjà reçu ce type de spam dans les 12 derniers mois. La forme la plus courante de leur manifestation étant la demande d’ajout d’amis - factices - sur les réseaux sociaux aujourd’hui les plus populaires. En France, cette tendance se vérifie également (39%) tandis qu’elle devient préoccupante en Chine avec un chiffre atteignant 74%.
 
Spam contre email légitime non reçu, quel est le pire scénario ? 
Interrogés sur les conséquences de la non réception d’un email légitime - pour cause d’identification comme spam - 69% des européens (72% des français) estiment qu’il est plus grave de manquer un tel courrier électronique que de recevoir un spam supplémentaire. 
___________
L’éditeur de solutions anti-spam Cloudmark a publié les résultats d’une étude qui traite des dernières tendances en matière de spam. Menée conjointement aux Etats-Unis, en France, en Allemagne, au Royaume-Uni et en Chine, cette étude porte sur plus de 6 500 consommateurs qui ont été interrogés sur leurs habitudes d’utilisation et leur perception des courriers électroniques non sollicités.


Dossier Gartner sur les logiciels de sécurité: un marché en pleine croissance…

Les logiciels de sécurité à destination des entreprises (et des particuliers) pullulent et le marché semble prendre aujourd'hui un volume considérable. Selon Gartner, il devrait dépasser les 16,5 milliards de dollars cette année, soit une hausse de 11,3% par rapport à l'an dernier.

Les logiciels de sécurité pour les particuliers resteront cette année encore le segment le plus important du marché avec des revenus qui devraient approcher les 4,2 milliards de dollars cette année. En seconde position, arrivent les solutions de protection complètes pour les entreprises qui devraient rapporter 3 milliards de dollars aux éditeurs.

Cela dit, au cours de l'année à venir, « les logiciels proposés en mode SaaS et les appliances devraient avoir les préférences des utilisateurs en lieu et place des traditionnels achats de licences » précise Matthew Cheung, analyste chez Gartner. Celui-ci ajoute d'ailleurs que malgré le poids de plus en plus important des gros fournisseurs de solutions de sécurité, certaines opportunités devraient subsister pour les petits acteurs avec des prestations très pointues et des solutions spécialisées.

Enfin, Gartner note que le créneau des solutions IAM (Identity & Access Management) devrait être l'un des plus importants pour les entreprises dans les années à venir et qu'il devrait peser 12 milliards de dollars d'ici 2014. 


Des imprimantes espionnées par leur bruit de fonctionnement…

Des chercheurs allemands ont mis au point un procédé pour reconstituer le texte produit par une imprimante matricielle rien qu’à partir du son émis. Le taux de fiabilité du document reconstitué peut atteindre 95 %.
Pour éviter que certains dossiers confidentiels ne tombent entre des mains indélicates, l'usage des destructeurs de documents est chose courante. Mais qui a pensé à insonoriser une imprimante pour éviter le vol d'informations sensibles ? Pourtant il est possible de reconstituer le contenu d'un document imprimé rien qu'à partir du son émis.
Des chercheurs allemands de l'université de Saare en ont fourni la preuve sur une imprimante matricielle à partir de textes en anglais. Leurs travaux seront présentés lors de la conférence Usenix Security qui se déroule du 11 au 13 août à Washington, aux Etats-Unis.
Le système d'espionnage mis au point repose sur un logiciel qui analyse le son produit lorsque les aiguilles de l'imprimante viennent frapper le papier. Les chercheurs sont partis du constat que l'intensité du son découle du nombre d'aiguilles en action. Mais pour déterminer à quel son correspond quel mot, ils ont imprimé des pages de dictionnaires et procédé à leur enregistrement afin de les intégrer dans une base de données.
Pour augmenter la fiabilité du système, certains algorithmes d'un logiciel  de reconnaissance vocale ont aussi été utilisés : ils servent à éliminer les séquences de mots qui ne sont pas correctes d'un point de vue linguistique.
Des machines très répandues chez les médecins et dans les banques : Les chercheurs affichent ainsi un taux de fiabilité du document reconstitué qui peut atteindre 95,2 % si le contexte est connu, car cela permet d'adapter la base de données au vocabulaire spécifique au domaine. Dans le cas d'un document intercepté en dehors de tout contexte, le taux tombe à 72,5 %. Le système peut être appliqué à tous les modèles d'imprimantes matricielles, mais il est nécessaire de procéder à une phase d'apprentissage du logiciel sur chacune d'entre elles, afin de calibrer les sons produits. Cette étape peut se faire sur la machine qui va être espionnée ou sur un modèle identique, cela a peu d'impact sur le résultat.

Le procédé connait toutefois des limites. Il n'est pas forcement facile à mettre en œuvre car il nécessite de positionner un micro à proximité de l'imprimante, à moins de 10 centimètres dans l'idéal. S'il est éloigné de 2 mètres, le taux de reconnaissance chute alors à 4 % ! Et il n'est applicable ni sur les imprimantes à jet d'encre ni sur les modèles laser.
Néanmoins, cette découverte mérite d'être prise au sérieux quand on sait que près de 60 % des médecins en Allemagne sont encore équipés de machines matricielles. Chaque jour, elles servent à imprimer près de 2,4 millions d'ordonnances. Autre profession ayant affaire à des informations confidentielles, les banques : elles sont 30 % dans ce pays à utiliser ce type de machine pour imprimer des relevés de comptes ou des ordres de transactions.


Encore mieux ! Votre nouveau compteur électrique peut vous espionner…
 

Les nouveaux compteurs électriques, dits « intelligents », seraient justement trop intelligents. Ils permettent de « savoir beaucoup de choses sur les habitants d'une maison », s'inquiète la Cnil. Par exemple, l'heure à laquelle vous prenez votre douche ou utilisez votre grille-pain.
D'ici 2020, 80% des 35 millions de compteurs actuels devront avoir été remplacés par ces nouveaux modèles. Des compteursdits « intelligents », parce qu'ils sont informatisés et peuvent :
. Transmettre des informations : un relevé sera envoyé toutes les 10 à 30 minutes à ERDF (Electricité Réseau Distribution de France), le gestionnaire du réseau depuis l'ouverture du marché de l'électricité, et ces données seront ensuite transmise aux fournisseurs d'électricité ;
. Piloter à distance votre installation électrique : ces relevés de consommation en temps réel permettent d'ajuster, par  exemple, la consommation du chauffe-eau ou des radiateurs.

ERDF n'y voit que des avantages, pour les clients comme pour les producteurs d'électricité :
. Pour les clients : des relevés plus précis permettent de mieux maîtriser la consommation d'électricité, et beaucoup d'opérations ne nécessiteront plus qu'un technicien se déplace ;
. Pour les producteurs : EDF et ses concurrents pourront ajuster à la fois leurs offres tarifaires et la production de leurs centrales.

Le compteur connaît l'heure de votre douche… Le système présente pourtant un risque majeur, nuance la Cnil (Commission nationale de l'informatique et des libertés). Dans un article publié sur son site, et repéré par PC Inpact, la Cnil demande des garanties pour le respect de la vie privée :
« Les informations de consommation d'énergie transmises par les compteurs sont très détaillées et permettent de savoir beaucoup de choses sur les occupants d'une habitation, comme leur horaire de réveil, le moment où ils prennent une douche ou bien quand ils utilisent certains appareils (four, bouilloire, toaster…).
Les distributeurs d'énergie devront donc apporter des garanties sérieuses sur la sécurisation de ces données et leur confidentialité. »
Selon la Cnil, les compteurs « intelligents » pourraient faire perdre aux clients le contrôle de leurs installations électriques :
« Les compteurs communicants peuvent également agir directement sur l'installation électrique. Ils permettent notamment de modifier la puissance de l'abonnement, voire même de couper l'alimentation électrique à distance, via une interface web. Ces fonctionnalités devront être parfaitement sécurisées pour éviter toute utilisation frauduleuse. »

Pour ERDF, le compteur ne peut pas distinguer les appareils : Chez ERDF, on nuance les remarques de la Cnil. François Blanc, directeur du projet « Linky » (le nom du compteur testé actuellement), nous explique :
« L'intervalle entre les enregistrements des données ne descendra pas en dessous un quart d'heure ou dix minutes. Le compteur enregistre votre consommation totale. En mesurant tous les quarts d'heure, il est incapable de distinguer les appareils. »

François Blanc se veut aussi rassurant sur la transmission des informations, et leur utilisation par ERDF et les fournisseurs d'électricité :
« Toutes les données sont cryptées, elles sont protégées dès lors qu'elles sont transmises vers notre système, ce qui les préservent d'éventuelles attaques malveillantes. Nos agents sont tenus au respect d'un code de bonne conduite, ils s'abstiennent de transmettre toute information personnelle et leur responsabilité pénale serait engagée […]. Seul le client est propriétaire de ses données de consommation. Elles ne sont transmises à son fournisseur d'électricité qu'avec son plein accord. »

EGILIA a obtenu
4.9 / 5 sur
11 avis avec Avis-vérifiés.com

EGILIA https://www.egilia.com/images/egilia-v3/home/logo-egilia.png 22 rue du General Foy, 75008 PARIS +33 800 800 900 De 295€ à 15455€