La crise vide les bourses et ramène l’inquiétude. Le crime informatique est à nos portes et son économie prospère.
Chevaux de Troie, virus, martingales dites "malicieuses" ou "malignes" se multiplient malgré les mesures de sécurité proposées par le commerce informatique. Et bon nombre d’entreprises oublient le danger présenté par les clés Flash USB !
Les achats sur Internet
Peut-on faire ses achats en ligne en toute sécurité ? Les Européens semblent faire confiance à la Toile, puisqu’ils sont passés de 107 à 200 millions entre 2007 et 2008. En France, le nombre de sites marchands est passé de 37 000 à 43 000 en un an et les deux millions d’utilisateurs en semblent satisfaits. Sur tous les secteurs d’achat, la tranche 35-49 ans est la plus consommatrice, l’Internaute masculin ayant un léger avantage (en nombre de connexions) sur l’Internaute féminine. Selon l’ACSEL (Association pour le commerce et les services en ligne, le chiffre d’affaires des cybermarchands français a atteint l’an dernier 17,1 milliards d’euros, soit une progression de 33 % par rapport à l’année précédente. Ce chiffre ne comprend pas les petites annonces en ligne et les services financiers. Les paiements effectués par carte bancaire représentent à eux seuls un volume d’affaires de 14 milliards d’euros. Le solde est constitué de paiement par des cartes cobrandées, prépayées ou par l’intermédiaire de PayPal. Le nombre de commandes effectuées en ligne connaît une progression quasi identique à celui du chiffre d’affaires : environ 186 millions d’achats ont été effectués chez les cybermarchands en 2008, soit une croissance de 32 %. La confiance repose sur deux protocoles HTPPS (Hypertext Transfer Protocol Secured) et SSL (Secure Socket Layer) qui sont intégrés dans le navigateur Internet et sur l’existence d’un réseau "d’autorités de certification" (AC). Mais pour le moment, les transactions sur liaisons mobiles ne peuvent pas encore donner lieu à authentification, donc elles ne peuvent servir aux achats en ligne.
Sécurisation d’Internet
Le Department of Homeland Security (DHS) investit dans la recherche dédiée à la sécurisation du protocole BGP (Border Gateway Protocol) grâce à l’ajout des signatures numériques aux communications entre routeurs. BGP est un protocole de routage qui est utilisé dans le réseau interne de l’Internet. Ce nouveau protocole, nommé BGPSEC, devrait permettre d’éviter les piratages de détournement de routeurs et les erreurs de configuration accidentelles de données de routage. Plusieurs années de développement seront nécessaires avant de disposer des prototypes et des normes cohérentes.
Gemalto informe sur la sécurité
Alors qu’un Français sur deux s’estime encore mal informé sur les questions liées à la sécurité numérique, Gemalto a décidé de mettre à la disposition du grand public son expertise du domaine, pour répondre aux questions que se posent au quotidien les usagers du monde numérique moderne. Gemalto vient d’ouvrir en effet un site sur la Toile dont la vocation est de devenir ’’le premier espace d’information et d’échanges grand public dédié à la sécurité numérique’’. Le site vise à informer de manière très simple sur des activités quotidiennes, telles que l’utilisation sûre de la carte bancaire sur Internet, la consultation d’un compte bancaire en ligne, la confidentialité des données personnelles incluses dans un passeport électronique, un passe Navigo ou une carte Vitale, ou encore la sauvegarde des contacts personnels enregistrés dans un téléphone portable. Pour communiquer auprès du grand public (une première pour l’entreprise française), Gemalto accompagne le lancement de son site par une campagne de publicité alliant presse, la Toile et un programme de relation en ligne via Facebook et Twitter. [www.justaskgemalto.com]
Le vol par téléphone portable
Les laboratoires Kaspersky mettent en garde les utilisateurs de terminaux mobiles disposant de logiciel Symbian contre la fraude susceptible d’être pratiquée à l’aide d’une variante de la technique du cheval de Troie. Il s’agit d’une variante indonésienne d’un virus utilisé en Russie qui se présente sous la forme d’un achat de sonnerie d’appel par un SMS fallacieux. Le transfert d’argent se fait à l’insu du propriétaire du terminal vers un compte complice et il porte sur des petits montants (entre un demi et un dollar, selon la version du programme installé). [www.kapersky.com]
La chasse au phishing (hameçonnage)
Aux États-Unis, une proposition de loi visant à prohiber le hameçonnage sur l’Internet est en cours d’examen par la Commission sur le commerce, les sciences et le transport. Cette proposition de loi (Anti-Phishing Consumer Protection Act, ou APCPA) complète une précédente proposition de 2005. Le Congrès s’inquiète du volume du "phishing" conforté lui-même par celui du "cybersquatting". Pour enrayer cette pratique, la proposition de loi envisage des sanctions civiles pouvant aller jusqu’à six millions de dollars et des sanctions pénales à hauteur de cinq ans d’emprisonnement. [www.domaineinfo.fr]
Investissements majeurs contre la fraude en ligne
Selon une étude réalisée par "Forester Researchs" intitulée "The State of Enterprise IT Security : 2008 to 2009", le budget de la sécurité ainsi que le nombre d’emplois dans les nouvelles technologies de la communication est en augmentation constante en Europe et en Amérique du Nord. Les points forts de ces investissements concernent la sécurisation de l’externalisation, la consultance, les services gérés, ainsi que les nouvelles initiatives en matière de sécurité. Les technologies de gestion d’accès et d’identification (IAM) ont également beaucoup de succès, ainsi que celles de prévention contre les fuites d’information (DLP). Les justifications des coûts et la complexité des architectures nouvelles nécessaires constituent les principaux obstacles rencontrés dans les réalisations opérationnelles.
L’évaluation du risque et sa normalisation
Le Conseil pour la gouvernance des données, auquel IBM participe, réunit de grandes organisations financières du monde entier. Ce groupe d’experts s’est penché récemment sur la possibilité de normaliser un ensemble de règles permettant d’exprimer le risque entre institutions spécialisées. Le protocole proposé, XBLR (extensible business reporting language), s’appuyant sur les acquis de XML, permettrait une description précise des éléments des documents financiers qui en simplifierait la lecture et l’analyse. IBM souhaite obtenir l’avis de ses partenaires afin d’améliorer cette proposition.
Un poste de police dans sa poche
Les terminaux de téléphonie mobile ont provoqué une révolution dans la lutte contre le crime et d’ici à trois ans, des changements profonds seront visibles à ce propos. Les 43 brigades de police réparties en Angleterre et au Pays de Gales vont recevoir près de 30 000 terminaux portables d’ici la fin de l’année 2009. Un nombre impressionnant de services et de bases de données sera accessible au moyen de ces portables. En particulier, ces terminaux seront capables de lire et de comparer les empreintes digitales et des photographies. Le contrôle d’identité reposera sur les ressources du projet Midas et pourra se faire à distance, sans que l’équipe d’investigation et le suspect retourne au poste de police. Dès 2010, la police britannique sera ainsi mieux outillée sur le plan de la coordination des investigations et de la recherche des malfaiteurs.
Du danger des clés Flash USB en entreprise
Une enquête, réalisée par SanDisk auprès de responsables informatiques, révèle que ces derniers ne mesurent pas l’ampleur de la présence de clés flash non sécurisées dans leur entreprise. 77% des utilisateurs interrogés déclarent avoir utilisé des clés personnelles à des fins professionnelles. Or, consultés sur cette même question, les responsables informatiques estiment cette proportion à seulement 35%. Les utilisateurs citent, parmi les données les plus susceptibles d’être copiées sur une clé flash personnelle, des fichiers clients (25%), des
informations financières (17%), des business plans (15%), des fichiers d’employés (13%), des plans marketing (13%), des éléments de propriété intellectuelle (6%) et du code source de logiciel (6%). Les résultats de l’enquête indiquent que la portabilité des clés flash USB représente un risque significatif de perte de données. Environ un dixième (12%) des utilisateurs en entreprise signalent avoir trouvé une clé flash égarée dans un lieu accessible au public. En outre, interrogés sur ce qu’ils feraient en pareil cas, 55% ont répondu qu’ils en examineraient le contenu. Les résultats de l’enquête révèlent que, si certaines entreprises ont pris des mesures pour mettre en oeuvre des règles et sensibiliser leurs employés à l’utilisation appropriée des clés flash USB, ces mesures sont principalement réactives. Plus de deux tiers des responsables informatiques consultés mettent ou ont mis en place une charte à la suite d’une fuite de données ou d’une atteinte à la sécurité dans leur entreprise. Par ailleurs, à peine plus de la moitié (52%) d’entre eux ont mis en œuvre une solution de sécurisation des postes de travail. Environ 41% des responsables informatiques se disent au minimum mal à l’aise à propos du degré d’utilisation des clés flash USB dans leur entreprise, ce qui dénote un niveau non négligeable de risque potentiel. [www.sandisk.com/enterprise]
Crestel - Evénement partenaire, Le 13 Octobre 2010, Espace Hamelin, 17 rue de l’Amiral Hamelin, Paris., Les Rencontres de l’Usine (...) ... [suite]
Edition 2010 de l’Ecole Systèmes de Systèmes 2010, Les 12 et 13 Octobre 2010, à l’ENSTA, 32 boulevard Victor, Paris, Partage mutuel des expériences ... [suite]
