Flux RSS

Inscrivez-vous

L'Assemblée donne son accord à la future carte d'identité biométrique

L'Assemblée nationale a approuvé mardi 6 mars la proposition de loi qui consiste à établir un fichier central des données biométriques de tous les Français, dans le but de lutter contre les usurpations d'identité. Cette adoption ouvre la voix à une carte d'identité biométrique contenant toutes les coordonnées de son détenteur.

Dossier Sécurité : les nouvelles menaces à la porte des entreprises

Sécurité des échanges numériques : Keynectis acquiert OpenTrust

Avec le rachat d'OpenTrust par Keynectis, ce sont deux spécialistes français de la sécurité des échanges numériques qui unissent leurs forces. L'objectif annoncé est d'accélérer le développement de leurs activités en France et à l'international où OpenTrust dénombre déjà quelque deux millions d'utilisateurs dans plus de cent pays. Avec ce renfort, Keynectis compte doubler son chiffre d'affaires d'ici trois ans, en réalisant alors la moitié de celui-ci à l'export, indique l'éditeur dans un communiqué. Ensemble, les deux sociétés disent totaliser près de 20 millions de chiffres d'affaires avec 120 collaborateurs. Elles réunissent des logiciels proposés en mode service (SaaS) ou sous forme de licences, dans le domaine de la confiance numérique pour l'e-administration, de la gestion des identités et des transactions dématérialisées interentreprises.

Dans le domaine de l'identité numérique, Keynectis propose des solutions telles que Sequoia e-Passport avec laquelle les gouvernements peuvent protéger et vérifier les passeports électroniques et biométriques, ou encore Sequoia CitizenID, pour la production de titres sécurisés tels que les cartes d'identité ou les permis de conduire. L'éditeur a mis au point des produits d'authentification forte comme K.Access qui prend appui sur une clé USB, un téléphone portable ou un baladeur numérique comme l'iPod. Il dispose également de solutions de signature électronique (K.Websign et K.Sign), de certification des données transmises (Certify.Center) et de protection des infrastructures (certificats SSL, coffre-fort électronique). Il dispose par ailleurs d'un bouquet de services, Trustfull e-gaming, pour garantir l'intégrité des opérations dans le domaine des jeux en ligne.

Atteindre une taille critique en Europe

De son côté, l'offre logicielle d'OpenTrust comprend des fonctions d'authentification forte, de signature électronique et de non-répudiation. Elle permet de sécuriser les équipements d'interconnexion au réseau et les terminaux d'accès (smartphones inclus), et d'installer des processus de dématérialisation de l'information, que le système d'information des entreprises soit géré en interne, dans un cloud privé, ou qu'il recoure à des applications hébergées dans un cloud public. Sa suite intégrée et modulaire rassemble les logiciels OpenTrust PKI (Public Key Infrastructure), SMC (Smart Card Manager), MFT (Managed File Transfer), SPI (Signature and Proof Infrastructure). En mode SaaS, l'éditeur propose OpenTrust Electronic Signing Desk et Secure Post Office.

Ensemble, les éditeurs, basés l'un et l'autre à Issy-les-Moulineaux, continueront à se focaliser sur cinq domaines : l'identité numérique, la sécurité dans l'entreprise, les solutions mobiles, la signature et la dématérialisation et les échanges B-to-B. Le directeur général de Keynectis, Pascal Colin, soulignait peu de temps avant le rachat à 100% d'OpenTrust que les deux sociétés se connaissaient bien et que leur rapprochement était soutenu par un actionnariat fort très familier de leur écosystème (*). Olivier Guilbert, PDG d'OpenTrust, pointait pour sa part l'opportunité d'atteindre une taille critique dans le domaine des infrastructures de confiance en Europe.

Illustration : K.Sign, solution de signature électronique de Keynectis.

(*) Au capital de Keynectis se côtoient Gemalto, Morpho (Groupe Safran), la Caisse des Dépôts et Consignations, Euro-Information (Groupe Crédit Mutuel-CIC), L'imprimerie Nationale et TDH (Thierry Dassault Holding), Thierry Dassault étant de président du conseil d'administration de Keynectis. A celui d'OpenTrust figurait notamment les fonds d'investissements Iris Capital, GemVentures, Crédit Agricole Private Equity, Elaia Ventures, Seeft Ventures et 123Venture.

Une carte Moneo pour la sécurité et les différentes services aux Archives Nationales

Une agence pour gérer les systèmes d'informations de l'EU

Baptisé agence européenne pour la gestion opérationnelle des systèmes d'information à grande échelle, cet organisme sera responsable de la supervision d'une très vaste quantité de données sensibles. Trois bases de données sont aujourd'hui concernées : le futur système d'information Schengen de deuxième génération ou SIS II (base de données commune qui facilite l'échange d'informations sur les individus entre les forces de police nationales), le système d'information sur les visas ou VIS (une base de données qui permet aux États membres d'entrer, de mettre à jour et de consulter les visas et les informations biométriques associées, par voie électronique) et le système "Eurodac" (un système informatique permettant de comparer les empreintes digitales des demandeurs d'asile et des immigrants illégaux). L'agence sera aussi responsable de la gestion de tous les autres systèmes d'information qui pourraient être mis au point à l'avenir dans l'espace européen de sécurité et de justice.

Compte tenu de la sensibilité des informations stockées dans ces bases de données, les experts ont averti que la sécurité devrait être irréprochable pour éviter que de grandes quantités d'informations soient détournées par les cybercriminels. Plus tôt cette année, une attaque contre la Commission européenne a perturbé le système de messagerie, tandis qu'une intrusion sur le système communautaire d'échange de quotas de CO2 a vu au moins 30 millions d'euros de quotas d'émissions volés. 

Cette nouvelle agence sera également chargée de la gestion des systèmes d'informations qui pourraient être développés à l'avenir. Toutefois, chaque intégration d'un nouveau système devra faire l'objet d'une décision spécifique du Conseil et du Parlement européen. Selon le planning présenté par le Conseil de l'Europe, l'objectif visé est que l'agence commence à travailler au cours de l'été 2012. L'agence aura son siège à Tallinn, Estonie. Les tâches liées au développement et à la gestion opérationnelle seront réalisées à Strasbourg (France). Un site de secours sera installé à Sankt Johann im Pongau (Autriche)

Gestion des identités renforcée grâce au cloud chez VMware et Symantec

Symantec, avec son projet «Ozone» et VMware, avec « Horizon»,  font avancer, chacun de leur côté, leurs propres approches SSO et de la gestion des identités via le cloud computing. Mais, bien que présenté récemment à VMworld 2011, le projet « Horizon » de VMware n'a pas de date de sortie définie, et on sait peu de choses sur celui de Symantec, si ce n'est qu'il porte maintenant officiellement le nom de « O3 ».

O3, dont le lancement est prévu l'année prochaine, doit permettre aux administrateurs IT de contrôler l'accès des salariés aux réseaux d'entreprise, qu'ils se connectent avec des terminaux mobiles ou des ordinateurs traditionnels. Le service O3 permettra aux gestionnaires l'accès à tout service cloud ou réseau autorisé, l'accès aux données étant réservé aussi à des fins d'audit et de conformité. O3 sera le noeud central pour accorder et retirer les privilèges d'accès aux utilisateurs, et offrira une série d'échelons d'authentification, du simple mot de passe à des méthodes beaucoup plus sécurisées, comme les tokens à deux-niveaux.

Authentification unique dans le cloud

Avec son système d'authentification unique SSO dans le cloud, Symantec s'engage dans un domaine où des vendeurs comme Hitachi, Symplified, Okta, IBM Tivoli, Courion, Zscaler et Ping Identity ont déjà pris pied. Mais le marché est encore naissant, avec en perspective, l'espoir que les responsables informatiques auront besoin de la configuration initiale dans le cloud pour gérer l'accès de leurs utilisateurs à des applications en ligne, une pratique qui tend à se généraliser. « O3 est vendu comme un service de sécurité », a déclaré Rob Koeten, directeur technique senior de O3. Celui-ci qualifie le service de « couche de sécurité» pour signifier que le système concerne aussi bien les terminaux mobiles que les PC classiques des salariés.

Pour résumer, O3 canalise le trafic en utilisant un service assimilable à un proxy, plus une passerelle associée à la gestion des autorisations. « Dans une entreprise, O3 pourrait par exemple exercer un contrôle précis sur la manière dont un salarié chargé des ventes utilise le logiciel Salesforce comme un service, » a expliqué Rob Koeten. « Dés son lancement l'an prochain, et c'est l'objectif de Symantec, O3 supportera les 200 premiers et plus importants services cloud, » a-t-il ajouté.

[[page]]

Comme Symantec, VMware a longtemps lorgné vers la gestion des identités basée sur le cloud. Avec son projet « Horizon, » dont elle fait la promotion depuis plus d'un an, VMware entretien ses aspirations sans trop montrer où elle en est. (Coïncidence, le PDG de Symantec, Enrique Salem, a fait allusion à l'O3 pendant sa keynote à la conférence RSA de février, le jour où Art Coviello, le président de RSA, évoquait « Horizon », en indiquant que RSA travaillait avec VMware sur une solution de sécurité pour les services Cloud). « Horizon » semble encore au stade de projet, tel qu'il avait été présenté en 2010, sans date précise de livraison. Mais le PDG de VMware, Paul Maritz, a donné des précisions sur son développement lors d'une allocution récente à VMworld, indiquant que le projet réunissait « un ensemble de technologies » qui permettront « d'associer des informations à des individus, pas à des terminaux». 

Grâce à la gestion des identités via le cloud, il sera possible de contrôler l'accès des utilisateurs aux applications, y compris le terminal d'où elles peuvent être téléchargés, des appareils sous Android par exemple, ce que VMware a montré pendant la conférence. « L'un des services concerne l'authentification des utilisateurs et le Directory Federation (FDS) dans l'environnement SaaS, » a déclaré Paul Maritz au sujet du projet « Horizon » à l'occasion d'un point presse, précisant que VMware avait acquis d'importantes technologies SSO et de gestion d'accès, grâce au rachat de TriCipher l'année dernière.

Aujourd'hui, ce sont surtout les petits acteurs de l'industrie, comme Okta, Ping Identity et Symplified, qui attestent du fait que les entreprises sont en train d'adopter de nouvelles modalités SSO pour les services cloud qu'elles utilisent. Par exemple, Pharmaceuticals Amag, une entreprise basée à Lexington, Massachusetts, utilise le service de gestion d'identité d'Okta, et s'appuie sur elle pour l'allocation automatique de ressources - autorisation et révocation - de plusieurs applications SaaS. «Tous les accès se trouvent chez Okta, » a déclaré Nathan McBride, directeur exécutif des technologies de l'entreprise. « L'utilisateur s'authentifie auprès d'Okta. » Celui-ci affirme par ailleurs qu'il ne s'inquiète pas pour le verrouillage du client, car il serait facile à l'entreprise de passer d'un service cloud SSO à un autre, si besoin était. « Si nous devions quitter Okta demain, nous aurions simplement à résilier notre service », a t-il déclaré.

5 erreurs à éviter en sécurité (MAJ)

Comme le nettoyage des vitres, la sécurité informatique peut être une tâche ingrate, car cela se remarque seulement lorsque cela n'est pas fait. A l'ère de la virtualisation, du "Cloud Computing" et des smartphones, on se doit d'éviter certaines erreurs techniques et politiques. Notre confrère américain NetworkWorld décrit cinq erreurs à éviter en matière de sécurité.

1. Penser que la vision du business de votre organisation est la même qu'il a cinq ans

Ceci est totalement faux. Le pouvoir et l'influence des responsables de systèmes d'information et de la sécurité ont été rognés à partir du moment où l'entreprise a autorisé les employés à utiliser des appareils mobiles personnels au travail, et depuis qu'elle a poussé des ressources informatiques traditionnelles et d'autres applications en mode Cloud Computing, parfois sans prévenir les responsables informatiques.

Face à ces changements, il est conseillé aux managers des systèmes d'information d'être pro-actifs en introduisant des pratiques de sécurité raisonnables en ce qui concerne les choix des technologies qui évoluent rapidement. Ces choix sont parfois réalisés par des personnes extérieures au département informatique. Les missions des responsables informatiques peuvent être qualifiées de « missions-impossibles » mais ce sont les leurs, et elles peuvent conduire à la mise en place d'une nouvelle politique de sécurité afin d'identifier et de catégoriser les risques afin que les responsables de l'entreprise ne se fassent pas une fausse idée des enjeux.

2. Ne pas réussir à construire des relations qui fonctionnent entre le département informatique et les autres managers de rang élevé

Les équipes en charge de la sécurité informatique sont généralement petites par rapport au reste du département informatique. La sécurité informatique repose alors sur les équipes informatiques afin de s'assurer que les mesures de protection de base sont bien effectuées. Le professionnel en charge de la sécurité informatique doit avoir des connaissances spécifiques pointues et de bonnes certifications en poche (comme le CISSP), mais cela ne signifie pas pour autant qu'il est forcément admiré ou aimé - d'autant plus que les gens en charge de la sécurité sont généralement réputés pour être ceux qui disent "non" aux projets des autres personnes.

Par ailleurs, il ne faut pas penser que l'organisation de l'entreprise est telle que le directeur informatique est toujours le preneur de décisions. Un changement fondamental se produit. Le rôle du CIO en tant que dirigeant et décideur pour les projet IT est entrain de décroitre au profit des directeurs financiers qui ont le dernier mot. 

NetworkWorld estime même que certaines preuves révèlent que les directeurs financiers n'apprécient guère les directeurs informatiques. Les idées des directeurs financiers en matière de sécurité ne dépasseraient pas les simples aspects de la conformité à la réglementation en vigueur. Le travail pour le professionnel de la sécurité doit être de communiquer, communiquer, communiquer.

3. Ne pas être conscient des problèmes de sécurité soulevés par la virtualisation

Les entreprises sont sur la route de la virtualisation de 80 % de leur infrastructure de serveurs. Les projets de virtualisation des PC de bureau sont quant à eux en augmentation. Mais la sécurité est à la traîne, beaucoup pensent encore à tort qu'elle se résout avec l'usage de réseaux virtuels VLAN. La réalité est que les architectures de virtualisation ont tout changé en ouvrant de nouvelles voies qui peuvent être exploitées par des pirates. Cela s'est déjà produit à de multiples reprises dans l'industrie informatique : des technologies révolutionnaires sont devenues disponibles mais une attention insuffisante a été accordée à l'impact sécuritaire qu'elles pouvaient avoir.

Certains produits traditionnels de sécurité, tels que les logiciels antivirus par exemple, ne fonctionnent pas bien sur des machines virtuelles. Les "appliances" matérielles peuvent présenter de nouvelles failles ou être invisibles sur le réseau et donc difficiles à contrôler. Aujourd'hui, les produits de sécurité spécialisés pour les environnements virtualisés arrivent enfin sur le marché - et les professionnels de la sécurité doivent comprendre s'ils doivent être utilisés ou pas. En parallèle, ces mêmes professionnels doivent tenir compte des évolutions en matière de sécurité des éditeurs tels que VMware, Microsoft ou Citrix. La virtualisation s'annonce très prometteuse en matière de sécurité pour améliorer le redémarrage de l'informatique en cas d'incident majeur.

Crédit photo : D.R.

[[page]]


4. Ne pas donner suite à une fuite d'informations

C'est un scénario cauchemardesque dans lequel les données sensibles sont volées ou accidentellement divulguées. En plus des techniques de détection ou de correction, les responsables de l'informatique doivent suivre l'évolution de la loi en matière de fuites de données. 

Mais quelles lois ? Cette question se pose particulièrement aux États-Unis où presque chaque état a maintenant ses propres lois sur la  fuite de données et qu'il existe des règles fédérales. Quand une fuite de données arrive, cet évènement - souvent coûteux - requiert une participation coordonnée du directeur de la sécurité IT, du département IT, du service juridique, des ressources humaines et de la communication, au minimum. Il est préconisé que ces organisations se réunissent pour planifier le pire des scénarios de gestion de crise. En Europe et en France, les lois sont également en train d'évoluer et préparer des scénarios de gestion de crise est tout aussi indispensable, notamment afin d'éviter toute dégradation de l'image de l'entreprise auprès du public.

5. Se reposer sur les fournisseurs de sécurité informatique

NetworkWorld estime qu'il est nécessaire d'avoir de solides partenariats avec les éditeurs et les fournisseurs de sécurité informatique. Mais le danger, comme dans toutes relations avec un fournisseur, est d'oublier de regarder les produits et les services avec un oeil critique, en particulier en ce qui concerne la comparaison du service ou du produit avec les offres de la concurrence. 

Il est nécessaire également d'examiner s'il est possible de trouver de nouvelles approches aux problèmes de base tels que l'authentification et l'autorisation, l'évaluation des vulnérabilités et la protection contre les malwares. De nombreux fournisseurs ont du mal à adapter leurs solutions de sécurité traditionnelles aux domaines de la virtualisation et du cloud computing. Dans un certain sens, c'est un peu le temps du chaos à l'heure où l'industrie informatique entreprend de se réinventer. Mais cela signifie que l'équipe en charge de la sécurité informatique va devoir s'imposer pour obtenir ce qu'elle croit nécessaire à l'entreprise maintenant et demain.

(...)

Google achète la société de reconnaissance faciale PittPatt

Après la start-up Fridge pour étoffer Google+, la firme de Mountain View Google a acquis la société PittPatt, spécialisée dans la reconnaissance des formes. Basée à Pittsburgh, cette entreprise conçoit des technologies pour la reconnaissance des visages dans les images et la vidéo, selon le site de PittPatt. Ses fondateurs ont commencé à développer la technologie à l'Université Carnegie Mellon Robotics Institute dans les années 1990 et ont fondé PittPatt en 2004 en tant que spin-off de l'université, indique encore le site.

« Chez Google, la technologie d'analyse des images par ordinateur est déjà au coeur de nombreux produits existants (tels que Image Search, YouTube, Picasa, et lunettes), c'est donc un choix naturel de rejoindre Google et d'apporter les avantages de notre recherche et de note technologie à un plus large public », a déclaré PittPatt. « Nous allons continuer à exploiter le potentiel de l'analyse d'image informatique dans les applications qui vont de l'organisation simple de photos aux vidéos complexes et aux usages mobiles», a indiqué la compagnie.

La technologie développée par PittPatt assure différents types de reconnaissance faciale, notamment le suivi des visages dans des vidéos, le tri des images en fonction de la façon dont les visages apparaissent dans chaque photo, ou encore le classement des sites web trouvés dans le cache de Google. PitttPatt propose également un kit de développement logiciel pour intégrer sa technologie dans d'autres applications. Signalons également que FaceBook dispose également de cette technologie pour tagger automatiquement les photos et l'a lancée officiellement depuis quelques semaines. Les conditions de ce rachat n'ont pas été dévoilées par Google. (...)

L'inventeur du token SecurID crée un nouveau système d'authentification

La nouvelle technologie d'authentification de Kenneth Weiss, qui utilise en plus la biométrie vocale, pourrait être déployée pour sécuriser les paiements mobiles, les transactions bancaires et le cloud computing. « C'est beaucoup plus approprié pour la technologie cloud émergente et les transactions financières, » a déclaré l'ancien fondateur de Security Dynamics Technologies, devenue RSA. Pour l'instant, cette technologie n'a pas encore été déployée dans des produits ou des services, mais l'inventeur explique que les différents éléments de cette technologie, parmi lesquels on trouve aussi un composant serveur pour authentifier l'identité de l'utilisateur, sont plus puissants que le système SecurID précédent, car elle ne se contente pas seulement de livrer un mot de passe à usage unique.

Elle vérifie l'identité de l'utilisateur en réalisant une analyse biométrique vocale, ce qui en fait un système d'authentification à trois niveaux. «Vous entrez un code PIN, vous parlez, et ensuite, la séquence de code unique à l'intérieur du téléphone produit un nombre aléatoire, » explique Kenneth Weiss, qui espère bien vendre sa technologie sous licence via son entreprise nouvellement créée Universal Secure Registry (USR). « Une partie de la technologie au coeur de ce système d'authentification repose sur des brevets de token SecurID désormais dans le domaine public, » a expliqué l'inventeur.

Une sécurité compromise chez RSA

SecurID a beaucoup attiré l'attention ces derniers temps, depuis que RSA a reconnu qui ses réseaux avaient été piratés et que les attaquants fussent parvenus à dérober des informations sensibles relatives à la technologie SecurID. Ces éléments ont été ensuite utilisés par les pirates pour essayer de s'introduire dans les systèmes de Lockheed Martin. Selon Kenneth Weiss, les informations confidentielles en question concernent les générateurs de code du système d'authentification à deux facteurs, chacun étant associé à un client SecurID unique. « Ces séquences sont comme des combinaisons de coffre-fort, » explique le CEO de RSA. « Ces générateurs de séquences secrètes ont été compromis ».

Cependant, monter une attaque avec ces informations ne serait pas forcément facile, parce que même un attaquant déterminé, qui tenterait d'imiter un jeton SecurID, a également besoin d'un mot de passe. « Mais ce serait possible ». Kenneth Weiss affirme que la conception de l'USR est meilleure parce que les valeurs des semences peuvent être mises à jour à intervalles réguliers, et « son algorithme est aussi plus puissant » que celui de SecurID. La combinaison qui sert de mot de passe comporte 16 chiffres au lieu de 8. Cependant, celui-ci reste convaincu que, malgré l'intrusion dans le réseau de RSA, SecurID reste fondamentalement fiable, même si « il y a beaucoup de choses qu'il ne peut pas faire ».

Repartir sur d'autres bases

Le CEO ajoute qu'entre lui et RSA, devenue une division sécurité au sein d'EMC, les relations n'étaient pas très bonnes, à cause d'un différend sur certaines pratiques commerciales : dans les années 90, au moment où il a créé Security Dynamics, qui a ensuite acheté RSA Data Security, il rappelle qu'il s'était vivement opposé à ces pratiques. Depuis, l'industrie de la sécurité a subi de nombreux changements, et Kenneth Weiss est là pour prouver que sa dernière technologie va dépasser la précédente.

Illustration principale : Kenneth Weiss, CEO d'Universal Secure Registry (USR)