Si le taux de fraude progresse, des mesures de protection existent que des normes adaptées rappellent sans cesse aux entreprises. Et de nouveaux procédés technologiques sont en cours de déploiement. Les hauts débits mobiles vont pouvoir ainsi se déployer sans mettre en danger l’émergence de nouveaux services, dont en particulier ceux liés aux télépaiements.
Lutte contre la contrefaçon
Nokia et SAP ont créé à Francfort une société nouvelle, dénommée Original1, qui propose aux entreprises des services de traçabilité et d’authentification des biens. Celle-ci s’appuie sur les mobiles Nokia, les logiciels SAP et le savoir-faire de Giesecke & Devrient (G&D) dans les cartes à puces et la sécurité. Cette société va s’attaquer à la lutte contre la contrefaçon. Nokia et SAP estiment que les technologies d’Original1, prioritairement proposées aux entreprises et aux services douaniers, permettront d’authentifier et de vérifier la provenance et la conformité des produits pharmaceutiques, des certificats ou des biens de consommation. Un terminal mobile Nokia sera capable de lire les codes à barres ou les informations de systèmes de radio-identification à courte portée (NFC) ou d’identification par fréquence radioélectrique (RFID). Une fois scannées, les données chiffrées des étiquettes des produits seront transmises vers une base de données et un système SAP permettra d’authentifier en temps réel leur provenance ou leur destination.
Le "Trusted Services Management" de Gemalto certifié par MasterCard
Gemalto, spécialisé en sécurité numérique, a obtenu la certification MasterCard pour son offre TSM ("Trusted Services Management"). Ainsi, Gemalto est prêt pour le lancement commercial de programmes de paiement mobile sans contact, conformément aux exigences de sécurité définies par MasterCard. La certification s’applique immédiatement au "centre opéré" de Gemalto à Taiwan et permet à la société d’accompagner les institutions financières dans le déploiement massif de services NFC (Near Field Communications) sur des téléphones mobiles. La technologie NFC est le standard de connectivité sans fil approuvé par l’industrie pour permettre le transfert de données via téléphone portable.
Les services de Gemalto permettent de déployer et de gérer en toute sécurité le paiement mobile sans contact. Avec cette certification, MasterCard reconnaît et atteste de la capacité de Gemalto à gérer les données personnelles des utilisateurs pour les transactions bancaires. Les institutions financières sont ainsi assurées de pouvoir déployer leurs services de paiement sur téléphone mobile avec les plus hauts niveaux de sécurité et de confidentialité des données. [www.gemalto.com]
Sécurisation du "Cloud Computing" par Gemalto
Le dispositif Ezio, mis au point par la société Gemalto, a été choisi par Amazon Web Services (AWS) afin de mettre en œuvre une solution d’authentification forte. L’Ezio Time Token offre aux utilisateurs d’AWS un moyen pratique et sûr d’accéder à leur compte. Il s’achète directement sur le Gemalto Web store [http://onlinenoram.gemalto.com].
L’Ezio Time Token de Gemalto est un petit dispositif léger et durable, qui fournit un mot de passe à usage unique de six chiffres (OTP). Il suffit à l’utilisateur d’appuyer sur un bouton du "Token" pour que l’OTP s’affiche sur le lecteur. Le mot de passe généré est valable pour un usage unique et pour un intervalle de temps limité. Avec la fonctionnalité d’authentification multi facteurs, l’utilisateur combine quelque chose qu’il connaît, son adresse de courrier électronique et son mot de passe, à quelque chose qu’il possède, le dispositif Ezio de Gemalto. Ainsi, seuls les utilisateurs autorisés ont accès à leur compte AWS. Le "Cloud Computing" et les "Web services" sont conçus pour un accès pratique aux ressources informatiques en ligne, et sont très largement adoptés dans les comptes des entreprises. L’ensemble de la gamme de produits Ezio, tel que le OTP Time Token, offre aux utilisateurs de AWS la liberté d’accéder à leur compte protégé par l’authentification multi-facteur de manière simple et sécurisée, n’importe où et avec tout type de terminal. [www.gemalto.com]
Rechargement du passe Navigo avec Gemalto
Gemalto a été retenu par la RATP pour la fourniture de lecteurs permettant le rechargement en ligne du passe Navigo sur le service "Mon e-guichet". Dans le cadre de ce programme pilote, les utilisateurs raccordent le lecteur PC Twin Reader de Gemalto à leur ordinateur et achètent leur titre de transport à domicile, en un seul clic. En coopération avec la RATP, Gemalto gère l’achat et la livraison du PC Twin Reader au client via son système de vente par Internet. [www.gemalto.com/france/apropos/securite_numerique.html]
L’ESET relativise les antivirus
La société Eset précise que, malgré son intérêt pédagogique, le test de vulnérabilité informatique réalisé dans le cadre du congrès iAWACS 2009, donne un point de vue limité sur la robustesse des logiciels antivirus contre les attaques et la désactivation. En effet, la désactivation d’un antivirus ne peut s’effectuer par un logiciel malveillant que si celui-ci réussit à s’exécuter sur le poste. Or, les antivirus vérifient tous les nouveaux fichiers qui parviennent sur un ordinateur et préviennent de leur exécution s’ils sont identifiés comme étant malveillants. Le test laisse entendre qu’un "malware" peut désactiver un antivirus en quelques étapes simples. Cela suppose que les fichiers utilisés pour cette attaque ne puissent être détectés et bloqués par l’antivirus, ce qui est pourtant le rôle et l’intérêt de ce type de logiciel.
Dans le contexte où l’utilisateur est administrateur, il est évident que la méconnaissance des modes opératoires en la matière a pour conséquence une plus grande vulnérabilité de l’ordinateur puisque toute personne dispose alors des clés pour modifier la configuration du poste. Généralement les logiciels de protection comme ESET proposent les bons paramètres par défaut lors de l’installation. Cependant, si ces paramètres sont modifiés, l’ordinateur peut présenter des failles. Ainsi, la sécurité dans l’environnement des particuliers, des TPE ou de certaines PME, n’est pas bien assurée.
Malgré tout, il faut reconnaître que les logiciels antivirus, comme tous les logiciels, ne sont pas parfaits. Ceux-ci demeurent tout de même des outils indispensables pour sécuriser les ordinateurs et les réseaux de façon optimum sans pour autant brider l’usage du poste de travail. L’éducation des utilisateurs et une législation adaptée à la cybercriminalité sont nécessaires pour réduire l’insécurité informatique. [www.eset-nod32.fr] [www.athena-gs.com]
Pare-feu pour SOHO avec fonction UTM
Conçue pour les petites entreprises et les utilisateurs à domicile, la technologie de gestion unifiée des menaces UTM (Unified Threat Management) est une fonction de sécurité complète qui défend le réseau contre les attaques virales, les vulnérabilités logicielles et les contenus malveillants. En s’intercalant entre le réseau et Internet, le parefeu de D-Link surveille le trafic réseau et bloque activement tout contenu malveillant (virus et autres vers informatiques) afin de protéger les informations privées et ainsi éviter les dommages provoqués par des applications dangereuses, les malveillances informatiques et autres menaces. Le pare-feu DFL-160 propose un tableau de bord qui facilite la configuration et l’administration de la sécurité du réseau. Son format de bureau compact permet d’intégrer aisément ce pare-feu dans le réseau d’une petite entreprise. D-Link s’est associé à des entreprises de haute technologie pour assurer une protection en temps réel. Kaspersky Labs® propose l’antivirus Numéro 1 sur le marché mondial, Endaveour Security, un système perfectionné de prévention d’intrusion, et ContentKeeper Technologies, sa solution évolutive de filtrage de contenus à tolérance de pannes. Les utilisateurs disposant d’une liaison par câble ou DSL accèderont au système à l’aide d’une adresse IP dynamique. [www.dlink.fr]
Protection des cartes de crédit
L’étude réalisée par l’Institut Ponemon et Imperva montre que les entreprises peinent toujours à protéger les données des cartes de crédit de leurs clients. 71 % des entreprises ne considèrent pas les standards de PCI (Payment Card Industry) comme stratégiques - déjà 79 % d’entre elles ont connu des fuites de données. Et 55 % d’entre elles ne sécurisent pas les numéros de sécurité sociale, les numéros de permis de conduire et les détails relatifs aux comptes bancaires. Les consommateurs sont plus exposés avec les plus petites de ces entreprises. La société Imperva, spécialisée en sécurité des données, Imperva, fournit des recommandations aux consommateurs, aux entreprises et au PCI DSS Council. La norme PCI DSS fournit depuis juin 2005 des directives à toutes les entreprises manipulant des informations relatives aux cartes de crédit, afin d’améliorer la protection des consommateurs. Mais, malgré la promulgation de cette norme, le nombre de pertes de données et le montant des fraudes aux cartes de crédit ont continué à progresser. Les départements sécurité des entreprises se servent de la conformité PCI comme d’un levier pour augmenter leurs budgets, mais ces ressources ne se traduisent pas toujours par une meilleure sécurité pour les données sensibles confiées par les consommateurs. Et les entreprises les plus petites connaissent les difficultés les plus grandes. Les entreprises qui adoptent une approche stratégique pour leur conformité PCI connaissent moins de fuites de données. [www.imperva.com] et [www.ponemon.org]
Authentification forte et simplifiée de Thales
Thales commercialise un système de sécurité appelé "SafeSign Single Sign On". Celui-ci offre une authentification forte et simplifiée aux entreprises exposées aux menaces de sécurité en constante augmentation, aux frais d’assistance croissants et aux obstacles liés à la gestion de plusieurs mots de passe complexes. SafeSign Single Sign On garantit un accès sécurisé et simplifié aux applications sensibles grâce à une authentification permettant à l’utilisateur de s’identifier une seule fois au tout début d’une session. SafeSign Single Sign On permet d’appliquer des politiques d’authentification et de connexion adaptées aux diverses exigences professionnelles. Différents niveaux et types d’authentification peuvent être affectés aux groupes d’utilisateurs, tels que des mots de passe statiques, des "tokens" de type OTP (mot de passe unique), des "token"s USB, des cartes EMV/CAP et des cartes à puces PKI.
[www.thalesgroup.com]
Sécurité en haut débit mobile
Le principe de la carte SIM est utilisé sur tous les terminaux mobiles ou ordinateurs portables connectés aux réseaux GSM et 3G. Bientôt les réseaux LTE et WiMax élargiront encore le champ d’application de la carte SIM et probablement avec le concours des technologies NFC pour les paiements à distance. Pour le marché de la carte SIM, chaque acteur se trouve partenaire d’exploitants de réseau et s’oriente vers des solutions pour ce nouveau marché des NFC. Les nouvelles cartes à puce HD-SIM conçues par Infineon et Micron disposent de plus larges capacités de stockage d’information (32 koctets à 128 koctets en EEPROM) et de mémoires Flash NAND à 50 nm ou 34 nm, ce qui permet de stocker des volumes de données compris entre 128 Mo et 2 Go. Les HD-SIM exploitent la technologie de corrections d’erreur (ECC) pour les données stockées en mémoire et sont également sécurisées. La carte SIM Sense sera la première du genre à être adaptée à la technologie des accéléromètres et de pouvoir répondre à des mouvements définis. La carte SIM de Sagem Orga sera asservie au GPS de façon à fournir une adaptation aux services européens de type E.112 et E.911.
Forum TER@TEC 2010 , Les 15 et 16 Juin, à l’Ecole Polytechnique, à Paris ... [suite]
EURAS 2010, 15th EURAS Conference , Du 1er au 2 Juillet 2010, à l’Université de Lausanne, Suisse ... [suite]
