Flux RSS

Inscrivez-vous

Les pertes de données de Hotmail entament la confiance dans le cloud

Cette erreur est certainement liée à un bug dû au changement de date. Après leur authentification, les utilisateurs de Hotmail, outre l'écran de bienvenue semblable à celui qui apparaît normalement après une période d'inactivité de service de 270 jours (délai d'inutilisation à partir duquel toutes les données sont automatiquement supprimées), ont eu la mauvaise surprise de trouver leur boîte de réception complètement vide. Microsoft affirme avoir résolu le problème et dit avoir pu restaurer les e-mails, rassurant des utilisateurs laissés dans l'inquiétude pendant plusieurs jours.

Avec ses 364 millions d'utilisateurs, Hotmail est le service de webmail le plus populaire au monde. Même si Microsoft n'a communiqué aucun chiffre sur le nombre d'utilisateurs affectés par le problème, environ 500 personnes ont posté des plaintes auprès du Windows Live Solution Center. 500 utilisateurs qui ont pris la peine de manifester leur mécontentement, sachant peut-être aussi sur quel forum le faire. En considérant que de nombreux internautes ont une connaissance limitée en matière technologique, on peut imaginer que le nombre total de personnes touchées est sans doute très important. Seulement 1% d'utilisateurs de Hotmail touchés, et ce sont potentiellement 3,6 millions de personnes concernées par la perte de données... Dans ce contexte, Microsoft a répondu à la manière d'un pompier qui annonce avoir maitrisé un feu, soutenant que les dégâts étaient « limités », et adressant ses excuses pour la gêne occasionnée. Une formule assez légère qui a du laisser les utilisateurs dans un certain désespoir face à la perte de ce qu'il considère comme une partie de leur vie.

Craintes sur le cloud ?

Surtout, cet accident arrive à un moment particulièrement mal venu pour Microsoft, puisque l'éditeur doit bientôt lancer Office 365, son premier essai d'envergure pour introduire une suite bureautique cloud. Car si la firme de Redmond ne peut pas assurer un service de mails fiable dans un cloud qu'elle gère depuis le siècle dernier, peut-on lui faire confiance en lui demandant d'héberger des données d'entreprise ? Et si Google ou d'autres fournisseurs de messagerie web envisageaient de profiter de ce faux-pas, mieux vaut le leur déconseiller. En effet, de temps à autre, un nombre important d'utilisateurs de Gmail a déjà vu disparaître l'ensemble des messages contenus dans leur boîte de réception. Cela a été le cas l'année dernière où des boites mails de certains utilisateurs ne contenaient plus aucun message, heureusement réapparus après 30 interminables minutes. Pour l'utilisateur de longue date, c'est un choc, car comment souvent, Gmail devient le miroir de sa propre vie. Le webmail sert de coffre-fort pour conserver des photos de famille envoyées à des proches en pièces jointes, il conserve la trace de numéros de téléphone ou d'adresses inscrits dans le corps des emails échangés, sans compter les divers mémos que l'on s'envoie à soi-même pour se rappeler certaines choses. En un mot, on compte un peu sur des services de type Gmail. Certains ont bien essayé de tout sauvegarder sur Google Gears, mais ont fini par abandonner, faute de savoir ou de pouvoir faire correctement les paramètrages. Il faut donc espérer que Microsoft et tous les fournisseurs de cloud tirent les leçons de ce nouvel incident. Ils doivent comprendre que chaque utilisateur est précieux. Chacun leur concède une confiance disproportionnée. Pour eux, un taux de fiabilité de 99,99 % n'est pas suffisant : ils attendent du 100 %.

Cette exigence ne s'applique pas nécessairement aux autres services en ligne. Par exemple, si Facebook s'effondrait, cela pourrait être irritant mais pas catastrophique (sauf pour un adolescent, peut-être). Au contraire, les services comme les suites bureautiques ou les plates-formes de messagerie sont différents. Parce qu'ils font parti d'un mode de vie très réel, et que nous les utilisons en permanence pour gérer notre quotidien. Nous leur accordons une confiance qui va bien au-delà de celle que nous concédions aux ordinateurs jusque-là. Et cela ne va pas aller en s'arrangeant, puisque le cloud fonctionne aussi sur nos téléphones portables et tablettes. Autant dire que les différents acteurs ont l'obligation de ne pas trahir la confiance que nous avons mis en eux.

Cloud : La suite BPOS de Microsoft laisse filer des données

Mercredi dernier, Microsoft a fait savoir que des données contenues dans sa suite Business Productivity Online Suite (BPOS) avaient été téléchargées par des utilisateurs non autorisés. Cette affaire pourrait faire date, et marquer le premier grand événement relatif à la violation de données dans un cloud. Selon certains, à l'avenir, ces fuites accidentelles risquent fort de se multiplier. Jusqu'à devenir banales. Et d'espérer pour chacun de ne pas en être une victime.

On pourrait, par réflexe, blâmer d'office les pirates. Mais ce n'est pas ce qui s'est passé cette fois-ci. La fuite a résulté d'un « problème de configuration » non détaillé survenu dans les datacenters de Microsoft aux États-Unis, en Europe et en Asie. Le carnet d'adresses Offline de la suite BPOS, qui contient les informations de contact professionnel, a été rendu accessible à des utilisateurs non autorisés dans des «circonstances très particulières, » selon Clint Patterson, chargé par Microsoft de présenter des excuses au nom de l'entreprise. Le problème a été résolu deux heures après avoir été découvert, ce qui ne permet pas de dire pendant combien de temps l'accès à ces données était ouvert. Par chance pour Microsoft, l'entreprise, qui réalise le traçage des données, a pu contacter ceux qui avaient téléchargé ces éléments par erreur pour faire un peu de nettoyage.

Trois risques de fuite

À n'en pas douter, l'affaire aura un impact certain chez ceux qui envisageaient d'adopter le Cloud dans l'année à venir, en particulier ceux qui regardaient du côté d'Office 365, l'offre cloud majeure de Microsoft en liaison avec sa suite bureautique Office.

Globalement, trois évènements peuvent menacer les données de n'importe quel fournisseur Cloud : une mauvaise configuration ou des bugs dans le logiciel de service cloud ; le vol de données par des pirates, pour le plaisir ou pour le profit ; des employés négligents avec les données confidentielles. Ce troisième point n'est pas nouveau : les employés ayant accès aux données sensibles risquent toujours d'orienter accidentellement les datas vers des personnes non autorisées. C'est ce qui se passe dans les nombreux accidents de messagerie où une mauvaise pièce jointe est envoyée, ou quand des emails sont accidentellement transmis à d'autres destinataires.

Le cloud, une source de très grosses erreurs ?

La collaboration entre l'homme et l'ordinateur posera toujours quelques problèmes. À une différence près : le cloud computing offre la possibilité unique de faire de très grosses erreurs. Les nombreux services en ligne permettent de partager des données entre individus aussi facilement qu'avec la totalité de l'Internet. Le travail collaboratif est même une des raisons d'être des services cloud. On imagine donc facilement ce qui pourrait arriver : il est tard, un employé fatigué voudrait partager le document « Invitation à la fête de Noël » avec le monde entier, mais sélectionne accidentellement le document « Comptes trimestriels 2010 » de l'entreprise. Y a t-il des procédures pour éviter ce genre d'erreurs ? Est-ce vraiment la première fois que cela arrive ? Un client vous a déjà informé poliment d'une telle erreur ?

Les erreurs de configuration et les bugs ne sont pas des problèmes mineurs. En premier lieu, on peut espérer que les fournisseurs de services cloud effectuent des tests massifs avant de proposer leur produit. Ensuite, il est bien connu que les logiciels vendus par les éditeurs ne comportent jamais de bugs... Enfin, la menace liée au piratage représente sans doute la plus grande préoccupation. Les pirates sont parmi les individus les plus intelligents et les plus sournois de la planète. Rien ne les arrête. Même ceux qui n'ont pas ces qualités peuvent créer beaucoup de problèmes. Le fait d'avoir ses données sur ses propres serveurs, dans ses propres locaux, représentait une barrière physique contre le piratage. Un obstacle que certains hackers ont aussi surmonté. N'empêche que la conception de ces serveurs était en soi un élément de sécurité. Le cryptage n'est pas non plus la solution parfaite. Des données cryptées peuvent aussi être cassées. C'est le cas si le logiciel de cryptage présente lui-même des bogues.

Une éventualité très réaliste

Cela signifie que, si une entreprise met ses données dans un cloud, elle doit prendre en compte l'éventualité, très réaliste, que ces données puissent devenir publiques à un moment ou à un autre. La nature et l'importance de la fuite pourront varier. Mais, cela pourra arriver. C'est juste une question de date.  Il serait aussi intéressant d'aller rendre visite à Microsoft, à Google, et à d'autres pour voir s'ils consomment ce qu'ils vendent : est-ce que Google fait confiance à sa plate-forme Docs pour ses données d'entreprise hypersensibles ? On se pose la question et on se dit probablement que non. Il faudrait vérifier, mais la firme de Mountain View ne joue pas vraiment la carte de la transparence.

Des lois existent contre le vol de données, obligeant les entreprises à mettre en place des systèmes de sécurité appropriés. Mais quelle valeur accorder à ces protections une fois que les données sont sorties du cloud ? Et si ces données volées sont transformées en fichier Torrent, comme cela semble être la mode en ce moment, il n'y a absolument aucune chance de faire un nettoyage discret en demandant à ceux qui ont reçu ces données par erreur de les détruire ou de les restituer...

Des chercheurs révèlent une attaque zero-day sur IE

« Microsoft enquête sur une nouvelle menace rendue publique d'une éventuelle vulnérabilité dans Internet Explorer,» a déclaré Dave Forstrom, directeur du groupe Trustworthy Computing Group de l'éditeur dans un communiqué. « Actuellement, aucun élément ne nous permet de penser que des attaques en cours tentent d'utiliser cette vulnérabilité ni qu'elle peut avoir une conséquence sur les produits Microsoft utilisés par nos clients. »

La faille, mise à jour pour la première fois début décembre par l'entreprise de sécurité informatique française Vupen, a été découverte dans le moteur HTML de IE. Elle pourrait être exploitée pendant l'exécution, par le navigateur, d'un fichier CSS (Cascading Style Sheets) comprenant des commandes « @import.» Celles-ci permettent aux concepteurs de sites web d'importer des feuilles de style externes dans un document HTML existant. Le 9 décembre, Vupen avait émis un avis, confirmant la vulnérabilité dans IE8 sous Windows XP, Vista et 7, et dans IE version 6 et 7 sous XP. Les pirates pourraient activer le bug depuis une page web falsifiée, puis détourner le PC pour y déposer des logiciels malveillants ou y voler des informations confidentielles. Vupen, qui a mis au point et exécuté son exploit, a utilisé le code d'attaque uniquement pour réaliser des tests de pénétration auprès de ses propres clients. Mais mardi d'autres chercheurs ont rendu le bug IE public. Abysssec Security Research a ainsi publié une courte vidéo de démonstration détaillant l'attaque, et le chercheur en sécurité Joshua Drake a ajouté un exploit fonctionnel au kit de tests de pénétration du projet Metasploit. Il crédite aussi un blog de sécurité chinois pour avoir révélé la vulnérabilité le mois dernier.

Contourner les barrières existantes

Contrairement à d'autres bugs récents affectant Internet Explorer, celui-ci peut être exploité sur la dernière version 8 du navigateur tournant sur l'OS le plus récent de Microsoft, Windows 7. Surtout il parvient à détourner les dernières barrières de défenses anti-exploit DEP (Data Execution Prevention) et ASLR (randomisation des zones d'adressage). Selon HD Moore, chef de la sécurité chez Rapid7 et créateur de Metasploit, le code de Joshua Drake fonctionne de manière fiable avec IE8 sous Windows 7, mais est légèrement moins fiable sur le navigateur sous Windows XP.« La façon dont le programme contourne DEP et ASLR est remarquable » a ajouté HD Moore. En effet, celui-ci s'appuie sur une faille dans Windows qui permet aux pirates de forcer le système d'exploitation à charger des bibliothèques de liens dynamiques (DLL) en .Net obsolètes qui n'ont pas d'ASLR. « C'est le .Net qui est utilisé par le programme pour contourner l'ASLR et le DEP, » a précisé HD Moore. « C'est une technique solide qui s'appliquera à des exploits à venir, sauf si Microsoft bloque le chargement des  anciennes bibliothèques .Net. »

La stratégie d'attaque .Net a été présentée en août dernier par deux chercheurs de McAfee, Xiao Chen et Jun Xie, lors de la conférence sur la sécurité XCON qui s'est tenue Beijing. HD Moore crédite Xiao Chen pour la découverte de la technique .Net. Même si Microsoft a beaucoup travaillé les défenses ASLR et DEP, l'éditeur a reconnu que les chercheurs avaient trouvé des moyens de les contourner en exploitant des faiblesses de l'ASLR. Dave Forstrom de Microsoft n'a pas donné de date de sortie pour le patch qui corrigera cette vulnérabilité. Il indique simplement que Microsoft prendra « les mesures appropriées » une fois qu'elle aura bouclé son enquête. Le prochain Patch Tuesday régulier est prévu pour le 11 janvier 2011. Mais étant donné que la firme de Redmond sort traditionnellement une mise à jour de son navigateur tous les deux mois, et que la dernière mise à jour est intervenue la semaine dernière, il n'est pas impossible qu'il faudra patienter jusqu'au mois de février pour disposer du patch corrigeant cette faille.

Des applications mobiles très peu discrètes

Le Wall Street Journal a passé au crible 101 applications, parmi les plus téléchargées sur les plateformes App Store d'Apple et l'Android Market (la moitié sur iPhone, l'autre sur les smartphones sous Android). Résultat, 56 de ces applications transmettent l'identifiant unique du téléphone à des tiers, 47 livrent la localisation de l'utilisateur, et 5 donnent même l'âge et le sexe du mobinaute sans que ce dernier en soit au courant. Ainsi, TextPlus 4 sur iPhone, qui permet d'envoyer gratuitement SMS et MMS, serait l'une des moins discrètes du lot. Celle-ci transmettrait l'identifiant du smartphone d'Apple à huit régies publicitaires différentes, tandis que les données sur la localisation, l'âge et le sexe de l'utilisateur seraient envoyées à deux autres régies.

La boîte de Pandore à la publicité comportementale

Les applications pour iPhone et Android de Pandora (service de musique en streaming), Paper Toss (jeu de tir de boulettes en papier), ou encore Grindr (service de rencontres pour homosexuels), sont également dénoncées par le quotidien américain comme étant très généreuses sur la transmission des informations personnelles. Sur les 51 applications pour iPhone testées, 18 transmettent des informations directement à Apple, qui dispose de sa propre régie publicitaire iAd. Ces données permettent aux éditeurs d'applications d'informer les régies publicitaires sur le profil de leurs utilisateurs afin de mieux cibler les messages publicitaires sur mobiles.

Lors du téléchargement de ces applications, les éditeurs informent l'utilisateur sur le type de données auxquelles ils pourront accéder, mais sans toutefois préciser l'usage qu'il en sera fait. Selon le quotidien économique, 45 des 101 applications analysées n'ont pas de règle de confidentialité consultable à l'intérieur de l'application ou sur le site de l'éditeur.

Des chercheurs montent un botnet pour comprendre son fonctionnement (MAJ)

Les botnets sont complexes et les grands systèmes distribués consistant en plusieurs milliers, voire parfois en plusieurs millions d'ordinateurs, sont souvent exploités par les cybercriminels pour mener des actions nuisibles : cela va de l'envoi massif de spam, au lancement d'attaques par déni de service DDoS, en passant par l'installation de logiciels espions. « Pratiquement tous les utilisateurs d'Internet ont subi les effets néfastes des botnets. Par exemple quand ils reçoivent des quantités massives de spams, quand leurs informations confidentielles sont volées, ou quand ils perdent l'accès à des services Internet critiques, » écrivent les chercheurs pour résumer leurs résultats.

Afin de mieux comprendre ce que les chercheurs qualifient comme « l'une des menaces les plus inquiétantes de la sécurité informatique,» l'expérience a recréé, en l'isolant, une version du botnet Waledac. Ce dernier, démantelé par Microsoft cette année, comportait à un moment donné entre 70.000 à 90.000 ordinateurs infectés et était responsable de l'envoi de 1,5 milliards de spams par jour. Pour les besoins de la recherche, environ 3 000 copies de Windows XP ont été chargées sur un cluster de 98 serveurs hébergé dans les locaux de l'Ecole Polytechnique de Montréal. Les noeuds ont été infectés par le ver Waledac, introduit depuis un DVD, et non par connexion avec d'autres machines.

Trouver un remède

Les chercheurs ont pris soin de toujours maintenir le réseau infecté hors connexion de tout autre réseau. Les machines du réseau créé pour l'expérience pouvaient communiquer les unes avec les autres de la même façon que les ordinateurs le font dans un système informatique distribué, avec un serveur de commande et de contrôle pour envoyer des instructions à certaines machines chargées elles-mêmes de les relayer à d'autres machines. La méthode qu'utilise un botnet pour ajouter toujours plus d'ordinateurs zombies à son réseau.

L'objectif était de recueillir des informations sur le réseau de zombies pour comprendre aussi bien que possible son architecture et ses modes de fonctionnement. L'équipe de chercheurs s'est particulièrement intéressée aux protocoles de communication et aux formats des messages, au processus d'authentification pour accéder au botnet, mais aussi à son architecture de commande et de contrôle. Les chercheurs ont également lancé ce qu'ils appellent une attaque « sybil » contre le botnet, en ajoutant des bots pour voir quel impact cela pouvait avoir sur le réseau de zombies. Ils ont constaté que leur attaque avait réussi grâce aux caractéristiques particulières du protocole P2P maison que le réseau a utilisé pour envoyer ses ordres et effectuer son contrôle. « Parce que l'adresse IP d'un bot ne doit pas être unique (les robots sont principalement identifiés par leur ID 16-bits), il est possible de générer un grand nombre de « sibyls » - avec des identifiants uniques, mais avec la même adresse IP, tout en utilisant peu de machines, ce qui rend cette attaque relativement facile à monter, » indiquent les chercheurs dans leurs résultats. Selon les chercheurs, « en une heure, l'attaque a réussi à stopper le botnet, l'empêchant de continuer à envoyer des emails. »

Bilan Sécurité 2010 : entre perfectionnement et consolidation

Un avant et un après Stuxnet

Dans le développement des différentes attaques, l'année 2010 a été marquée par l'avènement d'un ver, baptisé Stuxnet, qui s'attaque à des processus industriels tournant sur des systèmes de type Scada, développés par Siemens. Ce programme avait probablement comme cible, une centrale de retraitement d'uranium en Iran. A la différence d'autres attaques similaires, Stuxnet est très élaboré et plusieurs observateurs estiment qu'un Etat pourrait en être à l'origine. Utilisant des failles de Windows de type « zero day », les analystes estiment que ce ver devrait dans les prochains mois provoquer encore des dégâts, car plusieurs industries reposent sur des systèmes obsolescents et non sécurisés.

Le perfectionnement se retrouve aussi dans les tentatives de phishing avec l'apparition du Trojan Zeus. Ce dernier réunit beaucoup de qualité. Il est disponible, abordable, fonctionne et son développement le rend modifiable facilement. Le cheval de Troie Zeus vole les noms d'utilisateurs et mots de passe des PC fonctionnant sous Windows. Les criminels peuvent ainsi s'en servir pour transférer illégalement de l'argent depuis les comptes des victimes. Les autorités policières et judiciaires ont mené quelques coups de filet en Angleterre, aux Etats-Unis et en Ukraine, mais cela n'a rien empêché.

Des failles et des patchs

Système d'exploitation, navigateur, solutions de bureautique, langage de développement, aucun service informatique n'échappe aux problèmes de sécurité. 2010 aura montré une recrudescence des publications de correctifs des failles de sécurité. On peut citer les patchs Tuesday de Microsoft qui voit leur volume prendre de l'embonpoint. Adobe a aussi au mois d'octobre dernier proposé 23 correctifs. Même Oracle a diligenté le téléchargement de 81 correctifs. Cette recherche de failles est par ailleurs devenue une activité lucrative, car la plupart des éditeurs ont mis en place des programmes rémunérant les chercheurs. Ainsi, Google a payé 7 500 dollars en prime pour la découverte de 11 bugs. En juillet dernier, la fondation Mozilla a augmenté ses primes pour la recherche des failles de sécurité dans ses produits.

Une consolidation des acteurs

Avec le développement du cloud computing, la consumérisation de l'IT, la profusion de terminaux connectés, les acteurs de l'informatique ont cherché à acquérir de plus en plus de compétences en matière de sécurité. De grands groupes ont ainsi acquis des sociétés spécialisées dans le domaine, comme HP avec Arcsight et Fortify. Les éditeurs de logiciels devant cette concurrence ont eux aussi participé à cette danse capitalistique, comme le montre les acquisitions de Symantec, PGP et GuardianEdge et surtout l'activité authentification de Verisign. Le rachat le plus symbolique de l'année 2010 reste néanmoins celle de McAfee par Intel pour la somme de 7,7 milliards de dollars. Cette opération suscite d'ailleurs quelques inquiétudes ou laissent perplexes les autorités de la concurrence européenne.

Symantec mettra à jour sa suite DLP en 2011

Symantec DLP v. 11 comprendra notamment une « machine à vecteur de support » pour l'apprentissage artificiel. La méthode, mise en oeuvre dans d'autres domaines industriels où l'on utilise l'analyse de contenu basée sur la connaissance, permet d'examiner les documents, de les classer et de les mémoriser, mais aussi de savoir où est conservée leur version électronique. Symantec dit avoir développé sa propre version pour réaliser les classifications DLP, notamment pour distinguer et protéger les données selon qu'elles sont identifiées comme confidentielles ou sensibles. « Il faut que le système d'administration soit capable de générer des mots-clés,» explique Rich Dandliker, directeur produits chez l'éditeur.  Les outils de configuration de Symantec DLP v.11 permettent d'établir les profils des documents au fur et à mesure qu'ils sont ajoutés au système, de comprendre les similitudes entre les documents quand ils subissent des modifications, et d'établir des classifications de données en fonction de leur degré de confidentialité. La suite génère également des feedbacks sur ces choix. Autant d'éléments qui visent à simplifier son administration. La technologie permet enfin une détection DLP appropriée et est capable de bloquer des données même si un document a été légèrement modifié. Cela devrait aider à réduire les faux positifs.

Un système d'évaluation des risques

En plus des capacités d'apprentissage de la machine à vecteur de support, DLP v.11 comprendra un système d'évaluation des risques pour les données confidentielles de l'entreprise. « Il y a des «marqueurs» qui révèlent une concentration de données confidentielles et leur degré d'exposition, » explique Rich Dandliker. « Avec la v. 11, on pourra très rapidement voir à quel endroit il existe des risques potentiels, » dit-il. « Parfois, il suffira simplement d'appliquer certaines mesures correctives dans le contrôle d'accès pour diminuer ce risque. » La troisième nouvelle fonctionnalité de DLP v. 11 pourrait concerner la «restauration de données propriétaires» qui permet à l'équipe informatique d'alerter les propriétaires sur des risques potentiels concernant leurs données sensibles et de mieux les sécuriser. « Cette approche s'appuie sur ce que nous avons fait avec la version v.10.5 de Data Insight, » dit Rich Dandliker. « Parfois, il est difficile de savoir qui est le propriétaire des données, » ajoute-t-il.

DLP v.11 établira aussi un historique clair de ceux qui accèdent aux fichiers, assurant leur suivi, y compris pour savoir où ils sont stockés. L'idée est de s'assurer que la prévention de la fuite de données ne revient pas uniquement aux DSI et à leur outil DLP pour détecter et bloquer le transfert non autorisé d'informations sensibles, mais de faire en sorte que les gestionnaires eux-mêmes soient tenus informés de ce qui se passe et qu'ils prennent le cas échéant les mesures appropriées.

Symantec DLP v.11 est attendu pour le premier semestre 2011. Son prix de base a été fixé à 15.000 dollars.

Les smartphones prochaines plateformes des attaques DDoS

Cette enquête de l'Agence Européenne de la Sécurité des Réseaux et de l'Information considère ce risque comme important, même si actuellement il n'existe pas de telles attaques. Cela peut changer, car ces terminaux sont de plus en plus populaires, connectés et la complexité de ces plates-formes pourrait accroître les risques de vulnérabilité.

Les smartphones botnets pourraient ainsi  être utilisés pour des attaques traditionnelles comme le spam, la fraude au clic et le DDoS, affirme le rapport. À partir de ces terminaux mobiles, de nouveaux scénarios d'attaques distribuées, comme le spam par SMS ou à la saturation des réseaux de téléphonie. De telles actions pourraient servir de support pour des agressions plus larges sur d'autres infrastructures.

"La couverture de téléphonie mobile est de plus en plus vitale, en particulier dans les cas d'appel d'urgence, cette extension donne aux smartphones une ouverture vers de plus grandes possibilités pour les attaques DDoS avec des conséquences potentiellement graves», selon le rapport. Ce dernier cite l'exemple d'un virus qui a touché en 2001 DoCoMo, le premier opérateur mobile japonais. Le « virus i-mode » s'intégrait dans l'interface du mobile et était capable d'envoyer des messages malveillants et de composer les numéros d'urgence de manière intempestive.  « À l'époque, le nombre de terminaux mobiles vulnérables était réduit et l'impact n'était pas significatif, mais, aujourd'hui, une telle attaque aurait pu avoir des conséquences dramatiques sur les numéros d'urgence », précise l'étude.

Des risques classés en fonction des usagers

Le rapport distingue les faiblesses des smartphones et classe le niveau de risque en trois catégories d'usagers : consommateurs, salariés, et dirigeants. L'étude pondère les résultats sur les trois groupes d'utilisateur par le caractère involontaire de divulgation de données sensibles, car beaucoup ne connaissent pas les différentes fonctionnalités de certaines applications. Même si un utilisateur a accepté sciemment le téléchargement d'une application, il ignore peut-être que celle-ci collecte et publie des données à caractère personnel, comme les informations de localisation, très à la mode au sein des réseaux sociaux. Si la plupart des applications disposent de paramètres de confidentialité, nombreux sont les utilisateurs qui ne les modifient pas ou simplement en ignorent l'existence. Pourtant la «divulgation involontaire de données de localisation peut aider des criminels à suivre et tracer les utilisateurs pour par exemple planifier un vol de marchandises de grande valeur», conclut l'étude.

Le ministère de l'Intérieur verrouille son SI avec la SSII CS

Symantec : un bilan 2010 très orienté vers la protection de l'information

Symantec a dressé un bilan de l'année 2010, tant au niveau de l'entreprise que sur les enseignements des récentes attaques. Avant de rentrer dans les détails, le spécialiste de la sécurité est revenu sur la vie de la société. Elle se porte bien en affichant 6 milliards de dollars de chiffre d'affaires. Elle a réalisé plusieurs acquisitions, PGP, Guardian Edge et enfin Verisign. Pour Eric Soares, vice-président et general manager Europe de l'Ouest, ces mouvements s'inscrivent dans la stratégie de la société qui s'articule autour de deux priorités les personnes et les informations, en créant un espace de confiance. Ce dernier passe par 3 étapes : protection de l'infrastructure, la classification de l'information, définition des politiques de sécurité et leur contrôle. Un focus tout particulier a été souligné par Laurent Heslault, directeur des technologies de sécurité de l'éditeur. Il a ainsi cité un ancien PDG de Symantec « la donnée est la monnaie du 21 ème siècle ». Il a constaté des évolutions des fonctions des responsables de la sécurité au sein des entreprises, « aux Etats-Unis, on commence à voir apparaître des CISO, à côté des CSO, en France aussi le RSSI bascule vers le RSI ». La prise de conscience que l'information est importante au sein de l'entreprise est plus forte souligne le dirigeant, « nous sommes clairement dans un mode rustine, où les entreprises nous appelle pour nous demander d'intervenir sur la mise en place de solution de DLP, par exemple ».

Un avant et un après Stuxnet

Laurent Heslault a dressé les tendances de la sécurité pour l'année 2011, mais a insisté sur le virage que constitue la découverte de Stuxnet.  « Il y a eu un avant et un après Stuxnet » précise le responsable et de « saluer » la complexité, le niveau de développement de ce ver « là où certains programmes malveillants pèse entre 2 et 10 ko, Stuxnet pèse 600 ko ». Cette menace évoluée touche principalement les infrastructures critiques reposant sur des systèmes Scada. Les réseaux d'eau, d'électricité, les lignes de fabrications pharmaceutiques par exemple se retrouvent exposés à ce genre d'attaques. Laurent Heslault confie « Stuxnet a eu au moins le mérite qu'un dialogue s'installe entre les responsables de la sécurité informatique et ceux en charge des infrastructures. Les systèmes Scada sont équipés de vieux systèmes d'exploitation, non patchés et donc très vulnérables ».

Autres inquiétudes, les failles « 0 Days » qui se multiplient et le business autour de ces vulnérabilités aussi. Selon Laurent Heslault « cela se vend très cher, plusieurs milliers de dollars ». La stéganographie (le fait de cacher des informations au sein d'un flux vidéo, image ou dans un site) est un sujet d'appréhension, car elle demande beaucoup de ressources pour les déchiffrer. Paradoxalement, le cloud n'est pas assimilable à un risque supplémentaire en matière de sécurité « cela apportera des choses positives si cela est bien construit » conclut l'expert de l'éditeur.

Illustration : Laurent Heslault, directeur des technologies de sécurité de l'éditeur