Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 141 à 150.
| < Les 10 documents précédents | Les 10 documents suivants > |
(24/08/2011 15:07:40)
Développeurs, entreprises, ados : les ambitions de Google +
Pour les développeurs, Bradley Horowitz, le vice-président de Google +, lors d'un webcast avec Tim O'Reilly, PDG de O'Reilly Media, a indiqué qu'il n'existe pour l'instant pas de possibilité pour créer des applications sur Google +, mais prochainement et de manière progressive Google va publier des API pour eux. Le déploiement d'API et les outils de développement se fera selon Bradley Horowitz « avec une profonde préoccupation pour l'expérience utilisateur en s'assurant de la sécurité des applications pour éviter qu'elles cassent le système volontairement ou accidentellement ». Il souhaite circonscrire aussi les risques de spam. Les outils de développements doivent être performants mais encadrés, « dans une plate-forme qui est sociale par nature, vous devez travailler d'une manière disciplinée » reconnaît le dirigeant.
Fait intéressant, Bradley Horowitz est revenu sur OpenSocial, en disant que le projet n'était pas aussi réussi que ça aurait pu l'être, car il est intervenu à un moment où la société n'était pas « convaincante » sur les réseaux sociaux. Pour mémoire, OpenSocial était un ensemble d'API conçus pour que les développeurs ne réécrivent pas leurs applications pour les différents sites des réseaux sociaux. Il semble d'après les propos du dirigeant que les API pour Google + seront différentes de celles proposées par OpenSocial. Le responsable a souligné ne pas avoir de plan pour rendre Open Source le code de Google +, mais que le site assure la portabilité des données et se conforme aux standards ouverts.
Pseudos, Entreprises et mineurs
Il est revenu aussi sur les récents changements intervenus sur Facebook en matière de confidentialité, « ce qu'ils ont fait est bon pour les utilisateurs » et d'ajouter « c'est un autre impact de Google + où à partir d'une simple barre, on peut gérer les attentes et les normes en matière de vie privée ». De même, il a parlé de l'interdiction d'utiliser des pseudonymes sur le site de réseau social. « Je suis un utilisateur sous pseudonyme sur beaucoup de sites. J'apprécie la possibilité de surfer incognito » confie-t-il. Il n'y a « aucune opposition morale» sur la question des pseudonymes sur Google + et Google a entendu les arguments en leur faveur, mais le dirigeant précise « il n'y a rien à annoncer aujourd'hui et cela va décevoir des millions de personnes ».
Il confirme que ses équipes travaillent très durs pour proposer un site dédié aux demandes des entreprises qui souhaitent utiliser Google + au sein des Google Apps comme outil de collaboration et de communications. L'éditeur se penche aussi sur les aspects marketing des entreprises qui souhaitent communiquer sur leurs marques en fonction des profils.
Enfin Bradley Horowitz a également suggéré qu'à un moment donné il y aura une version de Google + pour les utilisateurs de moins de 18 ans. Il conclut en disant qu' « elle offrira une expérience utilisateur qui est appropriée pour eux, avec des limites sur ce qu'ils peuvent faire et avec qui ils peuvent interagir ».
Illustration : Bradley Horowitz, VP Product Google +
Crédit Photo: Google
(...)(19/08/2011 12:10:05)Des chercheurs prouvent que le standard AES n'est pas inviolable
Des chercheurs de Microsoft et des chercheurs néerlandais de l'Université Catholique de Louvain, basée en Belgique, ont découvert comment casser l'algorithme de cryptage Advanced Encryption Standard (AES) utilisé pour sécuriser la plupart des transactions en ligne et les communications sans fil. « Le mode d'attaque mis au point par ces chercheurs est capable de récupérer la clé AES secrète trois à cinq fois plus vite que ce l'on pensait jusqu'ici », a fait savoir l'Université de Louvain. Les chercheurs ont précisé que le mode d'attaque était complexe et qu'il ne pouvait être réalisé facilement avec les technologies existantes. « En pratique, la méthodologie utilisée prendrait des milliards d'années de temps d'ordinateur pour briser l'algorithme AES », précisent-ils.
Mais le résultat, fruit d'un projet d'analyse cryptographique mené sur le long terme, pourrait être le premier accroc dans le standard AES, considéré jusque-là comme inviolable. Quand une norme de cryptage est évaluée pour servir à des usages essentiels comme la sécurisation des transactions financières, les experts en sécurité jugent la capacité de l'algorithme à résister aux attaques les plus extrêmes. La méthode de cryptage, qui offre en apparence toutes les garanties de sécurité aujourd'hui, pourrait être plus facilement cassée par les ordinateurs de demain, ou par de nouvelles techniques utilisées pour casser les codes.
La marge de sécurité de l'AES s'érode
En 2001, le National Institute of Standards and Technology (NIST) américain, avait commissionné l'AES pour remplacer le Digital Encryption Standard (DES). Selon le NIST, le DES était devenu insuffisant, même s'il fournissait à l'époque un niveau de sécurité adéquate pour la plupart des besoins quotidiens. « Ce travail montre que la « marge de sécurité » de l'AES continue à s'éroder, » fait remarquer l'expert en sécurité Bruce Schneier dans un blog. « Les attaques se portent toujours mieux, elles ne peuvent qu'empirer », écrit-il, citant un expert de l'Agence de sécurité nationale (NSA) américaine. Malgré la complexité de sa mise en oeuvre, l'attaque en question pourrait casser toutes les versions de l'AES.
Andrey Bogdanov, chercheur de l'Université Catholique de Louvain, Dmitry Khovratovich, chercheur de Microsoft et Christian Rechberger de l'École Normale Supérieure de Paris, ont mené le projet à son terme. Andrey Bogdanov et Christian Rechberger avait pris congé de leurs universités respectives pour finaliser le projet avec Microsoft Research. Les créateurs d'AES, Joan Daemen et Vincent Rijmen, ont reconnu la validité de l'attaque, indique encore l'Université belge.
Illustration : extrait du document "Biclique Cryptanalysis of the Full AES" (crédit : K.U. Leuven, Belgium, Microsoft Research Redmond, USA, ENS Paris and Chaire France Telecom, France)
Anonymous s'en prend au site d'un réseau de transport public de San Francisco
Nouvelle intervention d'Anonymous qui a communiqué ce dimanche 14 août des données personnelles appartenant à plus de 200 clients des transports publics de San Francisco. Le collectif ripostait à l'arrêt des services de téléphonie mobile dans certaines des stations du réseau BART (Bay Area Rapid Transit), jeudi soir. Les données dévoilées, provenant de myBART.org, rassemblaient les noms d'utilisateurs, adresses et numéros de téléphone de cyclistes qui utilisent le site web pour gérer leur compte. Lundi, ce site se résumait à une page blanche avec un message indiquant qu'il était indisponible pour cause de restauration.
L'attaque est survenue à la suite de l'arrêt, pendant trois heures, du réseau de téléphonie mobile durant la nuit de jeudi. BART expliquant que des cyclistes avaient [pour protester, à la suite de la mort d'un passager tué par des agents de sécurité employés par le réseau] programmé une perturbation qui menaçait la sécurité des autres passagers. Mais la fermeture du service de téléphonie entraînait aussi l'impossibilité de composer des numéros d'urgence.
BART transporte chaque jour près de 350 000 personnes. Le prestataire, qui gère ses propres forces de sécurité, a été mis en cause à la suite du décès de deux personnes tuées par balle par ses agents au cours des deux dernières années. L'agence a indiqué que les données personnelles de 2 400 usagers (sur 55 000) de son site myBART.org avaient été touchées. Aucune information bancaire n'était stockée sur le site. Mais BART a averti ses usagers que certains d'entre eux pourraient faire l'objet de tromperies en ligne.
La FCC (Federal Communications Commission) a commencé une enquête sur l'interruption de l'accès au service de téléphonie.
Illustration : le communiqué diffusé par BART
Gartner conseille aux entreprises de réviser leurs politiques de confidentialité
(mise à jour) Selon le cabinet Gartner, plusieurs menaces s'additionnent en matière de confidentialité des données : les violations de données, le cloud computing, les services associés à de la géolocalisation. Elles conduisent toutes les organisations, et au moins la moitié d'entre elles, à revoir leurs politiques de confidentialité d'ici la fin 2012. Ces questions vont même dominer l'agenda des responsables de la sécurité dans les deux ans à venir, soutient le Gartner.
Carsten Casper, directeur de recherches au Gartner, souligne que « en 2010, les organisations en général et les entreprises en particulier ont connu de nouvelles menaces sur les données personnelles et privées, alors que les budgets affectés à ces problèmes sont restés sous pression. En 2011 et 2012, ces programmes sont restés en sous investissement chronique, nécessitant la création de postes de responsables spécialisés aptes à construire et entretenir de solides relations en interne avec : les instances de direction, les RH, la sécurité informatique, les développeurs d'application. Autre nécessite pour ces responsables : se lier avec les autorités de réglementation et la communauté de défense ».
Cinq points essentiels relatifs à la sécurité
Toujours selon Gartner, ces responsables devront se confronter à cinq points essentiels dans leur politique de confidentialité :
- La violation des données continue d'être une préoccupation majeure.
La plupart des contrôles existent déjà si la gestion de la sécurité fonctionne correctement. Les entreprises devraient néanmoins mieux compartimenter les renseignements personnels, restreindre l'accès et le chiffrement des données lors de leur transmission à travers les réseaux publics, chiffrer les données sur des appareils portables, et crypter les données de stockage pour les protéger. Ce sujet ne devrait donc pas consommer plus de 10 % du temps d'un responsable de la confidentialité des données.
- Les services basés sur de la géolocalisation reposent la question de l'exploitation des données personnelles de manière inédite.
Les données de géolocalisation peuvent venir du GPS, de la tour cellulaire la plus proche, des points d'accès sans fil, des informations de positionnement en intérieur, les identifiants des compteurs intelligents et les adresses IP. Chacun de ces cas évolue rapidement et de manière spécifique.
Aller au delà de la collecte des données
Or, les fournisseurs en sont restés à la « collecte » d'information, sans cerner leur « utilisation », ils compilent de vastes quantités d'informations, souvent sans un plan clair de ce qu'il faut faire avec. Ce qui viole un principe fondamental de la confidentialité: collecter des informations uniquement dans le but pour lequel vous avez besoin.
Les responsables consacreront, selon Gartner, 5 à 25 % de leur temps sur les services fournis en fonction de la localisation de l'utilisateur.
- Le cloud computing et la notion de confidentialité ne font pas bon ménage.
Et le Gartner d'expliquer que les lois sur la confidentialité s'appliquent et se limitent à un pays alors que le cloud par définition ignore les frontières nationales. Les entreprises doivent ainsi se concentrer sur l'emplacement de l'entité juridique du fournisseur, et non sur les emplacements physiques de ses centres d'opération.[[page]] Il y a des cas où des informations sensibles de l'entreprise ne doivent pas quitter le pays (par exemple, s'il y des contrôles à l'exportation ou des préoccupations de sécurité nationale), mais dans la plupart des cas il n'y a rien d'obligatoire. Il sera suffisant de s'assurer que les données personnelles ne seront pas stockées dans un pays spécifique qui est connu pour ses violations de confidentialité.
Le responsable devrait consacrer 20 à 30% de son temps à ce sujet.
Trouver l'équilibre en matière de protection de la vie privée
- La valeur de la notion de vie privée détermine la protection nécessaire, mais il est difficile de la quantifier ! La valeur de la vie privée et de la sensibilité des renseignements personnels est impossible à déterminer en dehors de son contexte. Les renseignements personnels n'ont guère d'intérêt en eux mêmes. Tout dépend de la manière dont les données sont traitées. Il faut trouver l'équilibre entre «pas assez» de protection et «trop» de protection, c'est un processus continu.
Les responsables devraient mettre en place un processus pour identifier les parties prenantes dans l'élaboration des informations personnelles, rassembler les exigences de leur part, cerner l'influence de la conception des processus des applications, planifier des ajustements. Une fois ce processus créé, son exécution doit prendre 10% du temps du responsable.
- Les modifications réglementaires sont incessantes, mais de portée limitée.
Les modifications réglementaires ne devraient pas détourner l'attention des responsables de la confidentialité, car la plupart de ses modifications auront seulement un effet limité dans le temps. Il faut savoir interpréter la législation existante sur la vie privée pour les technologies émergentes comme les compteurs intelligents, le positionnement à l'intérieur, la reconnaissance faciale sur smartphones corrélée aux bases de données photo, les véhicules et les localisateurs de périphérique, la détection de présence, les scanners corporels, et autres.
Cette stratégie est importante, mais elle devrait consommer entre 5 et 10% des temps du responsable.
Il reste au responsable de la confidentialité encore15 à 50% de son temps, c'est nécessaire pour exécuter le programme de confidentialité, veiller à la gestion des relations, à l'examen des demandes, à la révision des politiques, au contrôles des documents (les termes des contrats de confidentialité , la consultation avec les juristes), la réponse aux requêtes, le suivi des incidents et la supervision du programme de formation à la question de la vie privée.
(...)
Recap IT : Black Hat et « bug bounty », Adobe montre Edge, L'Enisa scrute HTML5, Bull accueille le FSI
Vous avez manqué les principaux sujets de la semaine, pas de panique, voici un récapitulatif des actualités incontournables. L'Etat français aurait trouvé des partenaires pour son cloud. Et par l'intermédiaire du FSI, il rentre au capital de Bull. L'indicateur mensuel des offres d'emploi cadres publié par l'Apec montre que les annonces IT ont poursuivi leur progression en juin.
L'une après l'autre, les SSII françaises livrent leurs résultats semestriels : entre croissance à deux chiffres et progression modérée, on trouve aussi quelques replis. Le groupe Steria a fait part du décès de Jean Carteron, son fondateur, qui a créé sa société sur la lancée du Plan Calcul et des grands principes de la participation.
Du côté des acteurs du web, Facebook a annoncé qu'il rémunérerait 500 dollars ceux qui trouveraient des bugs sur son site. Deux jours plus tard, la société de Mark Zuckerberg jette son dévolu sur Push Pop Press, éditeur de livres numériques, tandis que la ville japonaise Takeo bascule son site web sur le réseau social. Le désormais rival Google+ atteint les 25 millions d'utilisateurs.
L'éditeur Adobe a profité de l'été pour livrer aux développeurs une pré-bêta du logiciel Edge, conçu pour assembler des contenus dynamiques sur le Web en s'appuyant sur HTML5 et les standards ouverts associés. Mardi, Google et Living Social se sont offert des sites d'achats groupés.
Pas de vacances pour les experts en sécurité
Dans le domaine de la sécurité, un chercheur de CA a découvert un cheval de Troie capable d'enregistrer des conversations téléphoniques effectuées depuis un terminal sous Android (alors que l'OS mobile de Google a trusté 48% du marché mondial des smartphones au 2e trimestre). L'Enisa, l'agence européenne chargée de la sécurité des réseaux et de l'information, a pour sa part livré un rapport pointant 51 problèmes de sécurité sur HTML5.
Mercredi a débuté à Las Vegas la conférence Black Hat. Un professeur de Carnegie Mellon y a exposé comment on peut associer des données privées à la photo d'une personne publiée sur Internet. Quant à Microsoft, il lance un concours de sécurité, BlueHat Prize, doté de 250 000 dollars, pour développer de nouvelles technologies de lutte contre le piratage. Dans le même temps, son centre de sécurité (MSCR) livre un rapport faisant le compte des failles permettant d'exécuter du code à distance.
Enfin, les rumeurs bruissent toujours autour de la sortie de l'iPhone 5 (septembre ou octobre ?), tandis que le Canadien RIM montre de son côté cinq nouveaux smartphones sous BlackBerry 7. (...)
Microsoft fait le compte des failles permettant d'exécuter du code à distance
Dans son dernier rapport annuel sur la sécurité, Microsoft met en avant certains progrès réalisés pour réduire le nombre de vulnérabilités permettant l'exécution de code à distance. Une version corrigée, re-publiée cette semaine, est moins affirmative à ce sujet. Dans la version initiale du rapport on pouvait lire que « le nombre de vulnérabilités susceptibles de permettre l'exécution de code à distance avait considérablement baissé en termes de pourcentage et en chiffres bruts ». A sa lecture, des incohérences entre les chiffres mentionnés dans le texte et un tableau d'accompagnement ont été soulignées par nos confrères de Network World, incitant Microsoft à publier une mise à jour de son document. L'éditeur indique désormais que le nombre de vulnérabilités permettant l'exécution de code à distance a seulement « baissé en pourcentage. »
Selon le troisième rapport annuel du Microsoft Security Response Center (MSRC) qui suit les progrès réalisés dans ce domaine, au cours de l'exercice fiscal 2011, 62,8% des vulnérabilités permettaient l'exécution de code à distance, un chiffre en baisse comparé aux 70,8% de 2010 et aux 74,1% de 2008. Entre juin 2010 et juin 2011, Microsoft a publié 117 bulletins de sécurité couvrant 283 vulnérabilités, soit un total qui dépasse celui des précédentes années couvertes par le rapport. Microsoft publie le deuxième mardi de chaque mois un Tuesday Patch qui corrige une série de vulnérabilités dans de nombreux produits. Au cours de l'exercice 2010, Microsoft a publié 88 bulletins de sécurité couvrant 211 vulnérabilités dans les produits Microsoft. Selon les pourcentages fournis par la société, environ 149 de ces vulnérabilités permettaient l'exécution de code à distance. En 2011, ce nombre a grimpé à environ 178, soit 29 vulnérabilités de plus.
Les nouvelles versions moins vulnérables
Ces chiffres ne sont que des estimations et un responsable de Microsoft a refusé de préciser le nombre exact de vulnérabilités permettant l'exécution de code à distance identifiées chaque année, et de fournir des statistiques sur d'autres types de vulnérabilités. « Traditionnellement, Microsoft ne divulgue pas le nombre réel de vulnérabilités permettant l'exécution de code à distance, et ne précise pas quels types de vulnérabilités a augmenté ou diminué », écrit le responsable dans un e-mail adressé à Network World. Selon le rapport, les statistiques montrent que les nouvelles versions logicielles sont moins vulnérables que les anciennes, ce qui n'est pas une surprise. Environ 38% des vulnérabilités sont « moins graves, voire inexistantes sur la dernière version de l'application affectée que sur les précédentes. » Seulement 3% des vulnérabilités « affectent la version la plus récente, mais pas les versions plus anciennes », indique encore Microsoft.
Malgré cela, les professionnels de l'informatique et les revendeurs sont toujours accablés par le nombre croissant de patchs à déployer. S'ils appliquaient uniquement les correctifs les plus critiques pour les versions client et serveur actuelles de Windows, les utilisateurs auraient pu réduire le nombre de correctifs de 117 à 24 au cours des 12 derniers mois. Cependant, « Microsoft recommande à ses clients d'installer toutes les mises à jour de sécurité applicables », et déconseille de s'abstenir d'appliquer les correctifs les moins sensibles. « Les techniques de piratage évoluent avec le temps, et, parmi les nouvelles, certaines peuvent permettre à un attaquant de tirer parti de vulnérabilités qui étaient auparavant plus difficiles à exploiter », explique Microsoft.
Illustration : extrait du rapport publié par le Microsoft Security Research Center (MSRC)
Operation Shady Rat : McAfee révèle l'action ciblée d'un groupe de pirates depuis 2006
Le fournisseur de solutions de sécurité McAfee a publié cette semaine un rapport détaillé sur un groupe de pirates qui aurait forcé la porte de 72 entreprises, organisations internationales et organismes gouvernementaux, dans 14 pays depuis 2006, pour dérober des secrets nationaux, des documents commerciaux et autres informations sensibles. Selon le rapport, les assaillants semblent appartenir à un groupe unique agissant pour le compte d'un gouvernement, un profil qui diffère de celui de groupes d'activistes comme Anonymous et LulzSec responsables d'attaques récentes moins sophistiquées. Dans son document, l'éditeur américain racheté l'été dernier par Intel ne dit pas pour quel pays travailleraient ces pirates, contrairement à Google, qui, pas plus tard que le mois dernier, a accusé la Chine de pirater les comptes Gmail de plusieurs responsables américains de haut rang.
Ces attaques, désignées sous le nom d'Operation Shady Rat, ont été découvertes après que McAfee a eu accès à un serveur de commande et de contrôle qui a recueilli les données d'ordinateurs piratés sur lesquelles ont été conservées la trace de ces intrusions. « Après une analyse minutieuse des états de logs, nous avons été nous-mêmes surpris par l'énorme diversité des entreprises touchées, mais aussi par l'audace des attaquants », écrit Dimitri Alperovitch, vice-président de la recherche sur les menaces chez McAfee, et auteur du rapport. Ce dernier estime même qu'au cours des cinq à six dernières années, il n'y a rien eu de comparable en matière de « transfert de richesse » résultant d'une opération de piratage.
Des données de diverses natures
Parmi les données volées, on trouve un peu de tout. « Des renseignements classifiés transitant sur les réseaux gouvernementaux, du code source, des archives de mails, des informations relatives à des contrats de prospection de pétrole et de gaz, des contrats juridiques, les configurations du système de télésurveillance et d'acquisition de données SCADA (Supervisory Control and Data Acquisition), des documents de cabinets d'études et plus encore », révèle le rapport de Dimitri Alperovitch. McAfee a refusé de dire quelles entreprises et organisations avaient été touchées, mais parle « d'une entreprise sud-coréenne du secteur de l'aluminium », « du premier fournisseur d'armes du gouvernement américain », ou encore « d'entreprises d'électronique taïwanaises », entre autres. Parmi les organisations nommées, on trouve le Comité international olympique (CIO), l'Agence mondiale anti-dopage, les Nations Unies et le Secrétariat de l'ASEAN (Association des nations de l'Asie du Sud-Est). Ces organisations ne présentent pas d'intérêt économique pour les pirates, signe que ces intrusions revêtent un caractère politique, « une action menée par un Etat », pense Dimitri Alperovitch.
Un piratage qui culmine en 2009, puis décline
Le groupe de pirates a eu accès aux ordinateurs en envoyant des emails ciblés à des individus au sein des entreprises ou des organisations. Ces emails contenaient un germe d'attaque (« exploit ») qui, lorsqu'il était exécuté, provoquait le téléchargement d'un morceau de logiciel malveillant qui communiquait avec le serveur de commande et de contrôle.
En 2006, huit organisations ont subi de telles attaques, un nombre qui a grimpé à 29 en 2007, indique le rapport. Le nombre d'organisations victimes de ce piratage est passé à 36 en 2008, pour culminer à 38 en 2009, avant de décliner, « probablement en raison de la mise à disposition de contre-mesures pour empêcher ces modalités d'intrusions spécifiques utilisées par cet acteur particulier », indique l'auteur du document. La durée des intrusions est allée de moins d'un mois à plus de deux ans dans le cas du Comité olympique d'un pays asiatique dont le nom n'est pas non plus mentionné.
Source illustration : McAfee
Black Hat 2011 : de la reconnaissance faciale aux données privées
Selon des chercheurs présents à la conférence Black Hat sur la sécurité qui se tient cette semaine à Las Vegas (les 3 et 4 août), il sera bientôt possible, à partir d'une photo d'une personne prise avec un smartphone, de connaître, en quelques minutes, son numéro de sécurité sociale, plus une série de données privées, comme ses centres d'intérêts, sa préférence sexuelle et son niveau d'endettement. « La technique consiste à associer les visages d'individus pris au hasard à des images contenues dans des bases de données qui recèlent d'autres renseignements à leur sujet, et d'utiliser cette information pour trouver leurs numéros de sécurité sociale », explique Alessandro Acquisti, professeur à l'Université Carnegie Mellon, chargé de présenter ces recherches à la conférence et interrogé par nos confrères de Network World. Il doit prendre la parole demain jeudi lors d'une des nombreuses sessions proposées à Black Hat USA 2011.
S'il dispose du support logistique nécessaire, Alessandro Acquisti compte même faire la démonstration de cette technique pendant son intervention, en utilisant une application installée sur un smartphone qui exploite des bases de données hébergées dans le cloud et des logiciels de reconnaissance faciale. « La démonstration s'attachera à montrer comment trouver des numéros de sécurité sociale, mais d'autres informations comme la tendance sexuelle et l'endettement peuvent être également déduites », a t-il affirmé.
Ce que permet la surveillance numérique
Selon le chercheur, il s'agit de montrer qu'aujourd'hui, la surveillance numérique offre une passerelle qui permet, à partir de l'image d'une personne, d'accéder à des données personnelles. Selon lui, la technique ne peut aller qu'en s'améliorant du fait de l'évolution des technologies, et à mesure que ces outils de surveillance seront accessibles au plus grand nombre. Avec pour effet une réduction de plus en plus grande de l'espace privé. « C'est, je le crois et je le crains, l'avenir vers lequel nous nous dirigeons », a t-il déclaré. S'il admet que la méthode est loin d'être infaillible, il estime que les éléments pour aboutir à cette technologie se développent rapidement et pourraient être prêts pour être utilisés dans le monde réel dans un avenir prévisible. Il travaille sur des projections afin d'estimer le temps qu'il faudra pour que les technologies concernées soient assez développées pour être suffisamment fiables.
Trois orientations de recherches
Alessandro Acquisti fonde sa présentation sur trois orientations de recherches menées par son équipe. La première part des images postées sur Facebook par les utilisateurs pour faire état de leur identité. L'équipe a comparé les images de Facebook en utilisant les logiciels de reconnaissance faciale de PittPatt pour repérer d'autres photos de la même personne dans une autre base de données, celle d'un service de rencontres en ligne où les personnes s'inscrivent en général sous de faux noms. Une fois que le logiciel a établi le rapprochement, l'équipe a demandé aux intéressés de regarder les photos afin de déterminer le degré de précision du résultat. Ceux-ci ont retenu le meilleur choix réalisé par le logiciel de PittPatt pour chaque photo. Le logiciel a correctement identifié 1 membre sur 10 du site de rencontres, ce qui est, selon les chercheurs, une assez bonne performance compte tenu du fait que l'expérience s'est appuyée sur une photo unique, celle du profil Facebook « pour identifier la personne dont on connaissait l'identité ». En outre, l'étude n'a pris en compte que la meilleure reconnaissance faciale établie par PittPatt. « Si nous avions retenu les deuxièmes et troisièmes choix, cela aurait augmenté la précision », a t-il déclaré.
Dans la seconde expérience, l'équipe de chercheurs a photographié des étudiants au hasard et leur a demandé de répondre à un questionnaire. En attendant, leur photo a été comparée à d'autres bases de données en ligne pour identifier les étudiants en temps réel et trouver d'autres photos d'eux. Ils ont ensuite demandé aux étudiants de vérifier les photos trouvées : dans un cas sur trois, ils ont constaté que le rapprochement était correct.
La troisième expérience, qui est repartie des profils Facebook, a consisté à prédire les cinq premiers chiffres du numéro de sécurité sociale, puis de prédire les centres intérêts et les activités des individus. Cette dernière étape repose sur la mise en oeuvre d'un algorithme de prédiction du numéro de sécurité sociale qu'Alessandro Acquisti avait présenté au Black Hat il y a deux ans. A partir du lieu et de la date de naissance d'une personne, l'algorithme peut trouver les cinq premiers chiffres du numéro. L'algorithme essaye ensuite de deviner les chiffres restants, mais pour l'instant, il lui faut encore effectuer une centaine de tentatives pour obtenir un résultat fiable.
CIS Valley dévoile ses orientations stratégiques
La société de services bordelaise(*) sait clairement où elle veut aller. D'ici trois ans, cette filiale de la holding Aquitaine Valley veut porter son chiffre d'affaires à 50 millions d'euros contre 33 millions d'euros. Un objectif inscrit dans son plan d'orientation stratégique 2012-2014 qui sera dévoilé dans les détails à la fin de l'année. Le projet est porté par Michel Rouvellat, le président et successeur de Jean-Jacques Roubière à la tête de la société, ainsi qu'un comité de direction resserré. Depuis le premier juin, ses membres ne sont plus que 6 contre 19 auparavant.
Objectif : prendre plus rapidement les décisions nécessaires à la diversification de la société et les communiquer plus efficacement à l'ensemble de ses salariés. Dans le cadre du plan d'orientation stratégique de CIS Valley, son équipe dirigeante va notamment devoir définir les actions à mener pour diversifier ses activités vers le cloud computing, l'hébergement de données santé à caractère personnel et les solutions collaboratives.
Construire des offres packagées pour les PME
Déjà hébergeur (ainsi qu'intégrateur, éditeur et prestataire en développement spécifique), la société de services possède donc son propre datacenter sur lequel elle peut s'appuyer pour proposer des offres liées à l'informatique dans le nuage. « Nous sommes déjà présents sur le marché du cloud computing mais jusqu'à présent nous bâtissons des solutions sur-mesure. Notre objectif est de construire des offres packagées pour notre coeur de cible de clients PME-PMI », explique Michel Rouvellat. Des offres qui s'orienteront vers des solutions métier, la mise à disposition de cloud privés ou encore la diffusion d'offres d'éditeurs tiers en mode hébergé.
[[page]]
S'agissant du développement de son activité dans le domaine des données à caractère santé, CIS Valley dispose déjà d'un atout non négligeable. La société a récemment reçu l'agrément du ministère de la santé en tant qu'hébergeur de données santé à caractère personnel. De fait, explique Michel Rouvellat « Les éditeurs qui vont développer des applicatifs utilisant ce type d'informations devront faire appel aux services de sociétés telles que la nôtre. »
Miser sur le travail collaboratif en mode SaaS
Dernier grand axe de développement identifié par CIS Valley : le travail collaboratif avec le développement de solutions basées sur Sharepoint de Microsoft. Proposant déjà des développements spécifiques basés sur cette application, CIS Valley voudrait continuer sur cette lancée en proposant cette fois-ci des applications en mode SaaS à ses clients.
Pour se donner les moyens de mettre en oeuvre sa nouvelle stratégie, la société a mis en place depuis avril un plan de recrutement somme toute modeste. En effet, il ne devrait fait passer son effectif que de 113 à 120 salariés d'ici la fin 2011. Au préalable, la société avait tout de même reconstitué son équipe avant-vente qui avait été réduite à peau de chagrin. « Plutôt que de recruter un grand nombre de personnes, nous allons d'avantage faire appel à la sous-traitance tout en restant maître d'oeuvre », indique Michel Rouvellat.
(*) CIS Valley dispose également d'agences à Nantes, Orléans, Toulouse et Montpellier.
5 erreurs à éviter en sécurité (MAJ)
Comme le nettoyage des vitres, la sécurité informatique peut être une tâche ingrate, car cela se remarque seulement lorsque cela n'est pas fait. A l'ère de la virtualisation, du "Cloud Computing" et des smartphones, on se doit d'éviter certaines erreurs techniques et politiques. Notre confrère américain NetworkWorld décrit cinq erreurs à éviter en matière de sécurité.
1. Penser que la vision du business de votre organisation est la même qu'il a cinq ans
Ceci est totalement faux. Le pouvoir et l'influence des responsables de systèmes d'information et de la sécurité ont été rognés à partir du moment où l'entreprise a autorisé les employés à utiliser des appareils mobiles personnels au travail, et depuis qu'elle a poussé des ressources informatiques traditionnelles et d'autres applications en mode Cloud Computing, parfois sans prévenir les responsables informatiques.
Face à ces changements, il est conseillé aux managers des systèmes d'information d'être pro-actifs en introduisant des pratiques de sécurité raisonnables en ce qui concerne les choix des technologies qui évoluent rapidement. Ces choix sont parfois réalisés par des personnes extérieures au département informatique. Les missions des responsables informatiques peuvent être qualifiées de « missions-impossibles » mais ce sont les leurs, et elles peuvent conduire à la mise en place d'une nouvelle politique de sécurité afin d'identifier et de catégoriser les risques afin que les responsables de l'entreprise ne se fassent pas une fausse idée des enjeux.
2. Ne pas réussir à construire des relations qui fonctionnent entre le département informatique et les autres managers de rang élevé
Les équipes en charge de la sécurité informatique sont généralement petites par rapport au reste du département informatique. La sécurité informatique repose alors sur les équipes informatiques afin de s'assurer que les mesures de protection de base sont bien effectuées. Le professionnel en charge de la sécurité informatique doit avoir des connaissances spécifiques pointues et de bonnes certifications en poche (comme le CISSP), mais cela ne signifie pas pour autant qu'il est forcément admiré ou aimé - d'autant plus que les gens en charge de la sécurité sont généralement réputés pour être ceux qui disent "non" aux projets des autres personnes.
Par ailleurs, il ne faut pas penser que l'organisation de l'entreprise est telle que le directeur informatique est toujours le preneur de décisions. Un changement fondamental se produit. Le rôle du CIO en tant que dirigeant et décideur pour les projet IT est entrain de décroitre au profit des directeurs financiers qui ont le dernier mot.
NetworkWorld estime même que certaines preuves révèlent que les directeurs financiers n'apprécient guère les directeurs informatiques. Les idées des directeurs financiers en matière de sécurité ne dépasseraient pas les simples aspects de la conformité à la réglementation en vigueur. Le travail pour le professionnel de la sécurité doit être de communiquer, communiquer, communiquer.
3. Ne pas être conscient des problèmes de sécurité soulevés par la virtualisation
Les entreprises sont sur la route de la virtualisation de 80 % de leur infrastructure de serveurs. Les projets de virtualisation des PC de bureau sont quant à eux en augmentation. Mais la sécurité est à la traîne, beaucoup pensent encore à tort qu'elle se résout avec l'usage de réseaux virtuels VLAN. La réalité est que les architectures de virtualisation ont tout changé en ouvrant de nouvelles voies qui peuvent être exploitées par des pirates. Cela s'est déjà produit à de multiples reprises dans l'industrie informatique : des technologies révolutionnaires sont devenues disponibles mais une attention insuffisante a été accordée à l'impact sécuritaire qu'elles pouvaient avoir.
Certains produits traditionnels de sécurité, tels que les logiciels antivirus par exemple, ne fonctionnent pas bien sur des machines virtuelles. Les "appliances" matérielles peuvent présenter de nouvelles failles ou être invisibles sur le réseau et donc difficiles à contrôler. Aujourd'hui, les produits de sécurité spécialisés pour les environnements virtualisés arrivent enfin sur le marché - et les professionnels de la sécurité doivent comprendre s'ils doivent être utilisés ou pas. En parallèle, ces mêmes professionnels doivent tenir compte des évolutions en matière de sécurité des éditeurs tels que VMware, Microsoft ou Citrix. La virtualisation s'annonce très prometteuse en matière de sécurité pour améliorer le redémarrage de l'informatique en cas d'incident majeur.
Crédit photo : D.R.
[[page]]
4. Ne pas donner suite à une fuite d'informations
C'est un scénario cauchemardesque dans lequel les données sensibles sont volées ou accidentellement divulguées. En plus des techniques de détection ou de correction, les responsables de l'informatique doivent suivre l'évolution de la loi en matière de fuites de données.
Mais quelles lois ? Cette question se pose particulièrement aux États-Unis où presque chaque état a maintenant ses propres lois sur la fuite de données et qu'il existe des règles fédérales. Quand une fuite de données arrive, cet évènement - souvent coûteux - requiert une participation coordonnée du directeur de la sécurité IT, du département IT, du service juridique, des ressources humaines et de la communication, au minimum. Il est préconisé que ces organisations se réunissent pour planifier le pire des scénarios de gestion de crise. En Europe et en France, les lois sont également en train d'évoluer et préparer des scénarios de gestion de crise est tout aussi indispensable, notamment afin d'éviter toute dégradation de l'image de l'entreprise auprès du public.
5. Se reposer sur les fournisseurs de sécurité informatique
NetworkWorld estime qu'il est nécessaire d'avoir de solides partenariats avec les éditeurs et les fournisseurs de sécurité informatique. Mais le danger, comme dans toutes relations avec un fournisseur, est d'oublier de regarder les produits et les services avec un oeil critique, en particulier en ce qui concerne la comparaison du service ou du produit avec les offres de la concurrence.
Il est nécessaire également d'examiner s'il est possible de trouver de nouvelles approches aux problèmes de base tels que l'authentification et l'autorisation, l'évaluation des vulnérabilités et la protection contre les malwares. De nombreux fournisseurs ont du mal à adapter leurs solutions de sécurité traditionnelles aux domaines de la virtualisation et du cloud computing. Dans un certain sens, c'est un peu le temps du chaos à l'heure où l'industrie informatique entreprend de se réinventer. Mais cela signifie que l'équipe en charge de la sécurité informatique va devoir s'imposer pour obtenir ce qu'elle croit nécessaire à l'entreprise maintenant et demain.
(...)
| < Les 10 documents précédents | Les 10 documents suivants > |