Stratégies Télécoms & Multimédia

Intensification de la fraude dans tous les domaines

La fraude bancaire s’intensifie. Trois pirates viennent d’être arrêtés aux Etats-Unis pour avoir pillés les codes bancaires de plus de 130 millions de carte de crédit et de retrait. Il leur a simplement suffit de glisser un petit logiciel adapté aux serveurs bancaires en service pour ordonner à la banque de leur délivrer ces listings. Le même logiciel était également capable de télécommander l’ouverture des tiroirs à billets des distributeurs automatiques. Un jeu d’enfants qui risque de nous coûter cher. Car, si pour le moment, les attaques n’ont concerné que les Etats-Unis, l’Europe sera bientôt attaquée, malgré la sécurité supplémentaire que représente encore la puce électronique de la carte bancaire par rapport à la piste magnétique de la carte américaine. Les pirates, eux aussi, font également des progrès !

Après les ordinateurs, les téléphones mobiles sont à leur tour la proie de pirates informatiques. L’Internet mobile présente des failles et a séduit les pirates de l’informatique. La technologie mobile dite "sans contact" (NFC) et les puces communiquant par radiofréquences (RFID) sont devenues une des cibles favorites avec les offres des sites de socialisation comme Facebook ou MySpace. Les pirates visent aussi par ce biais les entreprises. Le piratage sur terminaux de téléphonie mobile a augmenté de 75 % en un an au Royaume-Uni.

Pour cette raison, probablement, Nokia a choisi de préinstaller son logiciel "F-Secure Internet Security 2010" pour protéger son terminal "Booklet 3G". Efficace et légère, cette solution protège les informations des utilisateurs du terminal mini ordinateur portable Nokia Booklet 3G contre les dernières menaces sans ralentir son fonctionnement. Les utilisateurs sont donc protégés contre les menaces du web dès la première utilisation, pendant une période de 30 jours. F-Secure Internet Security 2010 consomme peu de mémoire, tout en étant rapide et efficace contre les menaces provenant d’Internet. [www.f-secure.fr]

Normes de sécurité pour les transactions mobiles

Le Forum des NFC (communications à courte distance) et le Forum financier Mobey ont conclu ensemble un accord de principe qui vise à la création de normes ouvertes propres à mettre en place des transactions financières mobiles sécurisées et facilement transférables. Les membres du Forum Mobey appartiennent à l’ensemble du MFS (Mobile Financial Services) et cette décision implique l’ensemble des secteurs des communications mobiles, des semiconducteurs et des industriels de l’électronique grand public. Dans ce but, les représentants des 140 industriels appartenant au Forum NFC animeront les quelques quarante sessions de travail prévues au cours de leur réunion de Décembre prochain à la Nouvelle Orléans, en Louisiane. [www.nfc-forum.org] [www.mobeyforum.org/]

Normes de protection sur ordinateur, selon F-Secure

"F-Secure Internet Security 2010" offre une meilleure protection sous tous les plans, grâce à des performances améliorées et à une interface utilisateur plus accessible. Ce lancement commercial représente également une étape importante pour la société F-Secure, car cette offre reflète l’importance de la sécurité des données numériques dans la vie quotidienne de chacun. "F-Secure Internet Security 2010" est une solution de sécurité complète conçue pour répondre aux besoins actuels des utilisateurs, sans ralentir leurs ordinateurs. Elle est rapide et efficace contre les menaces existantes sur la Toile, tout en utilisant peu de mémoire. Selon les tests de performance menés par le laboratoire indépendant AV-Test.org, par rapport à la version précédente (IS 2009), "F-Secure Internet Security 2010" réduit visiblement de 80% son impact sur l’ensemble du système et scanne les virus 60 % plus vite. La solution utilise également 70 % de mémoire en moins. Les mises à jour automatiques et la technologie avancée de "Cloud Computing" de DeepGuard permettent un blocage en temps réel des virus, logiciels espions, vers, chevaux de Troie et menaces encore inconnues. Ces services de détection basés sur la réputation dans le "Cloud" peuvent désormais être utilisés pour renforcer le contrôle parental et les fonctionnalités anti-spam. [www.f-secure.fr/]

Défaut de sécurité du P2P ?

Le partage de fichier P2P (peer to peer) ne semble pas apporter le niveau de sécurité qui serait nécessaire aux échanges de messages confidentiels entre les différents services de la Présidence américaine. Faut-il simplement interdire le P2P dans les services de l’Etat ou faut-il demander plus de prudence aux développeurs de logiciels ou plus d’attention aux agents des services informatiques ? Pendant que les spécialistes et experts échangent leurs points de vue sur l’avenir cette technologie de pointe du P2P qui est encore imparfaitement comprise par les uns et les autres, un certain discrédit apparaît sur la technologie P2P de l’année 2009. La version de l’année prochaine sera meilleure que celle de l’année passée, comme l’affirment souvent les commerciaux des services informatiques ! Dans l’immédiat, les instances de réglementation vont devoir venir à l’aide de cette norme imprécise du P2P ! [www.internetnews.com/]

Sécurité du Cloud Computing

COLT, fournisseur de solutions voix, données et applications gérées pour les entreprises en Europe, est devenu membre de l’Open Cloud Manifesto, qui milite pour la création et l’adoption de normes en matière de "Cloud Computing". Cet engagement est associé au renforcement des services gérés par COLT au travers de ses réseaux, de ses services informatiques "à la demande" et de ses Data Centres. La normalisation du "Cloud Computing" est nécessaire à sa cohérence technique. COLT soutient cette démarche de définition de normes ouvertes, reposant notamment sur un cadre de certification et de normalisation des services de Cloud Computing, qui peuvent concerner la gestion des risques, la mise en conformité, la conservation des données, la sécurité ou la continuité d’activité. [www.colt.net]

Gemalto et la sécurité en Cloud Computing

Gemalto, spécialiste en sécurité numérique, annonce que son dispositif Ezio a été retenu par Amazon Web Services (AWS) pour mettre en œuvre une solution d’authentification à critères multiples. L’Ezio Time Token offre aux utilisateurs d’AWS un moyen pratique et sûr d’accéder à leur compte. C’est un dispositif simple et durable, qui fournit un mot de passe à usage unique de six chiffres (OTP). Il suffit à l’utilisateur d’appuyer sur un bouton du "Token" pour que l’OTP s’affiche sur le lecteur. Le mot de passe généré est valable pour un usage unique et dans un intervalle de temps limité. Avec cette fonctionnalité d’authentification, l’utilisateur combine quelque chose qu’il connaît, son adresse électronique et son mot de passe, à quelque chose qu’il possède, le dispositif Ezio de Gemalto. Ainsi, seuls les utilisateurs autorisés ont accès à leur compte AWS. [onlinenoram.gemalto.com/]

Cryptography Research et les attaques DPA

La société Cryptography Research a signé un accord de licence avec EM Microelectronic- Marin, fabricant de semi-conducteurs du Groupe Swatch, relatif à l’utilisation des brevets de Cryptography Research, afin de renforcer la sécurité de ses cartes à puce d’EM Microelectronic contre les attaques DPA (Analyse des différences de charges électriques) et les attaques dérivées. EM Microelectronic est l’un des principaux fournisseurs de cartes à puce à mémoire Flash pour le marché des télécommunications. Selon les termes de l’accord, EM Microelectronic pourra utiliser les brevets de Cryptography Research pour renforcer la sécurité de ses puces dotées de dispositifs anti-fraude. Ces composants sont utilisés pour des applications sécurisées, telles que les systèmes de paiement bancaire et l’identification électronique. Le DPA est un type d’attaque qui met en évidence les fluctuations de la consommation de courant électrique du dispositif ciblé et qui utilise de méthodes statistiques pour extraire les clés cryptographiques secrètes. Les contre-mesures efficaces contre le DPA développées par Cryptography Research aident à protéger les cartes à puce utilisées pour les moyens de paiement bancaires, la télévision payante, les transports en commun, les documents officiels d’identité, les télécommunications sans fil et bien d’autres applications.

Cryptography Research a également signé un accord de licence avec Atmel Corporation qui porte sur l’utilisation des brevets de Cryptography Research pour renforcer la sécurité des puces de Atmel, déjà munies de dispositifs anti-fraude afin de lutter plus efficacement contre les attaques DPA et les attaques dérivées. Selon les termes de l’accord, Atmel pourra utiliser les brevets de Cryptography Research pour développer et renforcer la sécurité des puces intégrées. La licence couvre également les logiciels opérant sur les puces de Atmel, ce qui permet aux clients de Atmel de développer leurs propres contre-mesures de sécurisation sans avoir besoin d’une licence supplémentaire de Cryptography Research. [www.cryptography.com]

La sécurité des ordinateurs portables HP

Destiné à lutter contre le phénomène croissant de compromission des données et d’usurpation d’identité suite aux vols d’ordinateurs portables, le service de suivi et de récupération vient compléter la gamme d’offres de protection HP Care Pack contre les dommages accidentels. Spécialement conçu pour une gestion centralisée, le service d’HP est basé sur des logiciels préinstallés qui permettent aux spécialistes informatiques de :

- repérer et récupérer les ordinateurs portables dérobés
- supprimer les données à distance afin de protéger les informations confidentielles
- détecter les logiciels non autorisés ou les matériels manquants
- aider à garantir la conformité réglementaire

En cas de vol d’un ordinateur, son utilisateur se connecte au centre de support client pour signaler le vol et remplir le rapport de police. L’équipe HP chargée de la récupération collabore alors avec la police judiciaire pour récupérer le matériel volé. L’abonnement au service HP Care Pack de suivi et de récupération est disponible à partir de 36 € par an. Il peut être souscrit auprès de la force de vente directe HP, du réseau des Partenaires Privilèges HP ainsi que tout autre revendeur HP. [www.hp.com/]

Cartes de transport Gemalto

La société Gemalto a été sélectionnée par la Société des Transports Intercommunaux de Bruxelles (STIB) pour son programme de cartes de transport sans contact MOBIB. La carte "Celego" de Gemalto permettra à plus de 400 000 Bruxellois de bénéficier de la rapidité et de la commodité du procédé de contrôle "sans contact" dans le métro, les bus et tramways. Le déploiement des cartes a débuté en avril 2009 et l’utilisation de la carte MOBIB sera généralisée à l’ensemble de la Belgique. Aujourd’hui, près de 30 agglomérations de plus d’un million d’habitants sont équipées de cartes de transport sans contact Gemalto à travers le monde.

Au format d’une carte de paiement traditionnelle, la carte MOBIB est personnalisée avec la photo du titulaire est valable cinq ans. Elle offre aux Bruxellois un confort et un gain de temps appréciables, tant pour l’accès aux transports en commun que pour le rechargement des titres. Celui-ci s’effectue aux bornes de rechargement ou bien dans les validateurs et épargne aux voyageurs les temps d’attente aux guichets. Ils peuvent choisir leur contrat de transport en fonction de leurs besoins - abonnements, tickets 10 voyages ou encore billets à tarif réduit. Multi-fonctions, la carte permet également l’accès aux parkings publics. A l’avenir, les utilisateurs pourront accéder à des sites événementiels équipés de validateurs MOBIB tels que stades, salons, théâtres. Gemalto participe à de très nombreux projets de billettique dans le monde et a déjà déployé plus de 120 millions de cartes de transport sans contact. Ses références comprennent notamment les pays suivants : Brésil, Chili, Chine, Etats-Unis, France, Italie, Malaisie, Mexique, Pays-Bas, Portugal, Royaume-Uni et Taiwan. [www.gemalto.com]

Erreurs humaines et les risques internes

Les incidents de sécurité involontairement causés par le personnel de l’entreprise sont fréquents et, pour ce qui concerne l’image de l’entreprise, ils présentent un impact négatif plus important que les attaques malveillantes venant de l’intérieur. Sponsorisée par RSA, la division Sécurité d’EMC, une étude réalisée par IDC montre un décalage entre les réalités et les préoccupations des responsables d’entreprise. Ces derniers, en matière de sécurité, donnent la priorité à la protection contre les attaques malveillantes internes plutôt qu’à la prévention des incidents de sécurité involontaires pourtant plus fréquents et potentiellement plus dommageables. Le nouveau livre blanc d’IDC, intitulé "Insider Risk Management : A Framework Approach to Internal Security", se focalise sur le risque interne – c’est-à-dire les menaces auxquelles les entreprises sont exposées du fait d’utilisateurs internes ayant accès à leurs systèmes critiques et aux informations confidentielles. Tout en étant conscientes que les utilisateurs peuvent créer des risques de sécurité au sein de leur propre organisation, les entreprises accordent beaucoup plus d’importance à la protection contre les menaces externes qu’à la protection contre les risques internes. L’étude d’IDC met en évidence ce décalage entre les préoccupations de sécurité des dirigeants et le nombre croissant de brèches et de menaces internes résultant d’incidents involontaires, d’accès inapproprié et d’usage inapproprié des informations par les salariés de l’entreprise. [www.rsa.com/insider-risk]

Les pirates informatiques attaquent pendant les vacances

D’après une enquête effectuée par Tufin Technologies, le spécialiste britannique de la gestion informatique, les pirates informatiques jouent sur les décalages horaires et lancent leurs nouveaux virus et leurs nouvelles attaques pendant les congés annuels des responsables des services des technologies de l’information des entreprises. Les fêtes de fin d’année sont très propices aux pirates et escrocs en tout genre, car la surveillance se relâche au moment des forts trafics sur le réseau et des faibles effectifs des équipes de maintenance. Les escrocs informatiques savent, devant un parefeu, se transformer en passe muraille et il ne leur faut que quelques minutes, ou une heure pour le franchir, tant la configuration, souvent à l’image des investissements du secteur, est souvent insuffisante. [www.tufin.com]

En prévision de la grippe A

En raison des risques élevés de pandémie de grippe A cet automne, le gouvernement français incite fortement les entreprises à mettre en place des Plans de Continuité d’Activité (PCA). Parmi les mesures visant à réduire l’impact de la pandémie sur leur activité (25 à 45 % d’absentéisme pendant douze semaines), il est suggéré de déterminer les postes de travail et les fonctions pouvant être exercés à distance. (Circulaire DGT2009/16 du 3 juillet 2009)

Afin de permettre aux entreprises de répondre à ce risque, IF Research propose la solution Wallix AdminBastion RWE avec "Secured Remote Worker" (SRW), un service global permettant aux utilisateurs d’applications métiers (applications financières, de gestion des ressources humaines, etc.) de se connecter depuis leur domicile à ces applications en toute sécurité pour l’entreprise. [www.ifresearch.com]

Thales et MasterCard pour l’authentification des cartes à puce

La solution "SafeSign" relative à l’authentification et la gestion des identités, qui est proposée par Thales, spécialiste en systèmes d’information et de sécurité des communications, appartient désormais comme composant certifié de l’authentification des cartes à puce de MasterCard. Cette authentification des cartes à puce de MasterCard participe à l’extension de la solution internationale EMV d’authentification des cartes à puce. Thales et MasterCard poursuivent ainsi leur partenariat pour aider les banques à lutter contre la fraude en ligne tout en veillant à préserver une confiance optimale des utilisateurs dans les transactions en ligne en prenant en charge les cartes EMV existantes et nouvellement émises.

L’authentification des cartes à puce MasterCard permet une authentification à deux facteurs des cartes EMV déjà émises. Cette authentification n’intègre pas nécessairement des fonctions PIN hors ligne ou qui n’ont pas été personnalisées conformément au programme CAP d’authentification des cartes à puce de MasterCard (MasterCard Chip Authentication Program). Cette solution permet aux émetteurs d’offrir une authentification forte aux utilisateurs de carte à puce sans devoir les rééditer. Elle a été mise en œuvre pour répondre à une demande en Asie-Pacifique et en Amérique latine, pour protéger les transactions en ligne. [www.mastercard.com] [www.thalesgroup.com]