Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 261 à 270.
| < Les 10 documents précédents | Les 10 documents suivants > |
(03/12/2010 15:15:18)
Le Syntec Numérique se penche sur la sécurité du cloud
Psychologique ou réelle, la peur sur la sécurité du cloud effraye les responsables et reste le premier obstacle à son adoption. Conscient de ce problème, le Syntec Numérique, après un premier livre blanc, vient de se pencher sur ce sujet crucial en essayant d'y apporter des réponses. Le fascicule recense tout d'abord l'ensemble des problématiques sécuritaires associées au cloud computing. On peut citer ainsi, quels types d'informations sont accessibles dans le cloud ? Qui peut y accéder et comment sont-elle isolées ? Qui dispose de droit pour envoyer et recevoir des données sensibles ? Le livre blanc répertorie ainsi 9 risques : la perte de maîtrise, des déficiences au niveau des interfaces et des APIs, la conformité, la localisation des données, la ségrégation/isolement des environnements, la perte et destruction maîtrisée des données, récupération des données, malveillance dans l'utilisation et enfin usurpation.
Pour le Syntec Numérique, les mesures à mettre en place sont de 3 ordres, la sécurité physique (contrôle d'accès (système à clé, cartes, digicode), redondance matérielle, résilience), la sécurité logique (protection des serveurs virtuels, une colocation sécurisée (avec les risques du multi-tenants), une segmentation réseau, une interface d'administration protégée). Enfin, le troisième élément est la sécurité des données, avec la responsabilité juridique de la sécurité et de la confidentialité des données dans le cloud, la protection, la récupération, l'intégrité, le chiffrement, l'accessibilité des données aux autorités d'un autre pays et la réversibilité des contrats cloud. Le livre blanc du Syntec Numérique apporte donc des réponses aux inquiétudes des responsables IT encore réticents à migrer certaines activités dans le cloud. Il sera sans doute nécessaire d'évangéliser encore sur les bienfaits du cloud versus les risques ou les menaces.
Le cloud attire les cyber criminels
Lors d'un discours qu'il a prononcé à Sydney à l'occasion de la conférence annuelle de l'Association internationale des professionnels de la Sécurité Privée (International Association of Privacy Professionals), le ministre australien de l'Intérieur et de la Justice, Brendan O'Connor, a déclaré que les organisations criminelles exploitaient de plus en plus les services en ligne pour atteindre leurs propres objectifs. « Les cybercriminels ne cherchent pas seulement à voler des informations hébergées dans les clouds, ils peuvent aussi y cacher des données, » a-t-il fait savoir. À titre d'exemple, il a cité le cas de fournisseurs de services basés dans des pays peu regardant en matière de cybercriminalité « qui peuvent offrir des hébergements et des services de stockage confidentiels, facilitant ainsi le stockage et la distribution de données criminelles, à l'abri de toute détection par des organismes chargés d'appliquer la loi. » Par exemple, les cybercriminels peuvent utiliser le cloud secrètement pour stocker et vendre du matériel pédopornographique. « Les cybercriminels ont le pouvoir de contrôler les serveurs de ces clouds : ils peuvent empêcher l'accès d'utilisateurs légitimes à des sites web et cibler des sites pour y diffuser des messages ou des images de manière répétée, » a-t-il expliqué.
« Certains pensent également que les clouds peuvent être détournés pour servir de base au lancement de cyber attaques, y compris en utilisant la puissance de calcul des clouds pour casser les données chiffrées après avoir testé toutes les combinaisons de mots de passe possibles. » Selon le dirigeant, l'attaque, fin 2009, contre Google et plusieurs autres entreprises, a rappelé combien les systèmes et les données étaient vulnérables. « L'attaque, qui consistait aussi à pirater les mails de personnes ciblées, a montré la particulière vulnérabilité des informations personnelles et des échanges privés dans l'espace en ligne » a-t-il déclaré. Selon lui, la transparence et la confiance entre les fournisseurs de services cloud, les entreprises et les organismes gouvernementaux, permettraient de limiter les risques posés par la cybersécurité.
Attention à la sécurité des clouds
Pour montrer l'exemple, le gouvernement australien a décidé de s'appuyer sur l'unité High Tech Crime Unit de la Police fédérale australienne (AFP) qui a mis en place un système de traçage développé par CrimTrac pour repérer les matériels pédopornographiques. « Après une large consultation menée auprès du gouvernement, l'Australian Government Information Management Office (Agimo) enquête actuellement sur un certain nombre de questions, comme la vulnérabilité des systèmes de stockage de données offshore; les questions juridiques relatives à l'extra-territorialité en matière de conformité et de vie privée, et les aménagements contractuels nécessaires pour atteindre des niveaux de sécurité appropriés,» a déclaré le ministre. «Parce que les fournisseurs de services cloud ne sont pas interchangeables, les difficultés inhérentes à permuter entre les fournisseurs devront également être prises en compte, avec la possibilité de récupérer les informations en cas de catastrophe ou de défaillance du vendeur. »
En outre, pour les gouvernements, les risques de sécurité ou de confidentialité peuvent être augmentés dans le cas où le cloud héberge des clients indépendants, et partage entre eux du matériel et des ressources logicielles, sans compter que la concentration des ressources et des données en un seul lieu représente en soi une cible de choix pour les cybercriminels. «Étant donné les avantages du cloud computing, et pas seulement pour les entreprises, mais aussi pour les gouvernements et les particuliers, il est impératif de travailler ensemble sur ces enjeux afin de pouvoir profiter pleinement de tout ce que le cloud computing a à offrir», a conclu Brendan O'Connor. Ces déclarations vont dans le même sens que la mise en garde faite au mois de novembre par l'Australian Prudential Regulation Authority (APRA). Celle-ci avait publié une lettre ouverte mettant l'accent sur la nécessité de bien apprécier les risques liés à tout type d'externalisation et de délocalisation, y compris dans le cloud computing.
(...)(01/12/2010 15:21:14)Un service de sécurisation des données pour Salesforce.com
Le service consiste à crypter de toutes les données considérées comme sensibles, avant qu'elles ne soient transmises au système de Salesforce.com. Selon un document rédigé par Navajo, même si ces données résident chez Salesforce.com, elles sont « totalement illisibles (et donc inexploitables) ». Toujours selon Navajo « le vol de la base de données, les fuites accidentelles, les demandes d'assignations faites au fournisseur SaaS et même le vol d'identité, deviennent inoffensifs, et la conformité réglementaire est assurée. »
Le logiciel de Navajo décrypte l'information quand elle est renvoyée à l'utilisateur final, les entreprises conservant le contrôle des clés de déchiffrement. Le service fonctionne en tâche de fond et ne requiert aucune modification du code de l'application SaaS, selon Navajo. Si les données circulant entre le data center d'un fournisseur SaaS et le navigateur d'un utilisateur final sont généralement cryptées, la copie de la base de données résidant chez le fournisseur SaaS peut ne pas l'être. Les données des utilisateurs demeurent vulnérables, même si le fournisseur SaaS procède à leur cryptage, car un employé peu scrupuleux ou un pirate pourrait y accéder et violer cette l'information, toujours selon Navajo. Le service virtuel peut être installé sur un appareil qui s'intègre au réseau du client, ou être fourni à titre de service par Navajo ou par un fournisseur tiers.
Une sécurisation polyvalente
Basé sur Linux, le système repose sur trois composants : un serveur proxy placé entre de l'application SaaS et les utilisateurs du client, un moteur de chiffrement utilisant « des méthodes de cryptage homologuées, basées sur des algorithmes NIST », et un outil de gestion et de contrôle de la sécurité avec une interface web. Le chiffrement, indépendant du hardware ou de la base de données, reste sécurisé jusqu'au déchiffrement, en partie pour permettre aux applications de continuer à fonctionner. Par exemple, la date et l'heure d'une réunion dans un agenda pourraient ne pas être chiffrées, mais d'autres détails pourraient l'être, comme le précise le document de Navajo. La technologie de sécurisation utilisée permet également à l'application de rechercher et de trier les données chiffrées.
Navajo a déjà inclus par ailleurs des fonctions comparables à celles vendues pour Salesforce.com sur d'autres applications SaaS, comme SuccessFactors, Google Apps et Oracle CRM On Demand. L'entreprise israélienne est en concurrence avec des sociétés comme PerspecSys, laquelle propose aussi un service spécialisé pour la protection des données sur Salesforce.com. Selon Steve Coplan, analyste du cabinet 451 Group, qui a rédigé un récent rapport sur Navajo, « les enquêtes montrent que les questions de confiance et de sécurité sont déterminantes pour décider une entreprise à adopter le cloud computing. « Les fournisseurs de SaaS et les entreprises savent qu'en faisant cet investissement stratégique pour résoudre ces questions, ils peuvent contribuer à faciliter l'adoption du Cloud. Ce qui rend Navajo pertinent, » a t-il ajouté. Cependant, « nous craignons que, si l'offre spécifique de cette jeune société pour le respect et la confidentialité des données peut susciter l'intérêt, la société risque de se créer un handicap, en particulier si la conformité est comprise à juste titre comme un sous-ensemble de la sécurité et que la confidentialité des données comme un aspect de la transformation structurelle, » écrit Steve Coplan.
Reader X : une sandbox pour sécuriser le lecteur PDF d'Adobe
Le logiciel Reader X inclut un mode protégé basé sur un contrôle de sécurité de type sandboxing, conçu pour prévenir les attaques de logiciels malveillants contre l'application. Sur le blog de l'Adobe Secure Software Engineering Team (ASSET) on peut notamment lire : «Au cours des derniers mois, l'équipe d'ingénierie d'Adobe Reader, en collaboration avec celle de l'Adobe Secure Software Engineering, en partenariat avec la communauté des développeurs de logiciels - dont l'équipe de sécurité de Microsoft Office et les ingénieurs travaillant pour Chrome de Google, avec également des utilisateurs, des consultants dans le domaine de la sécurité informatique, et d'autres intervenants externes, ont travaillé d'arrache-pied pour faire en sorte que la mise en oeuvre de la sandbox apporte une solution aussi solide que possible. Le concept de la sandbox n'est pas exclusif à Adobe. Ainsi que le font remarquer ses ingénieurs, Microsoft, Google, et d'autres éditeurs ont déjà intégré dans leurs produits des contrôles de sécurité mettant en oeuvre le sandboxing. Celui-ci fonctionne comme une zone de stockage tampon dans laquelle les applications sont exécutées, sans la capacité d'affecter les principales fonctionnalités du logiciel ou d'autres éléments de l'ordinateur. Ce système permet de filtrer les processus malveillants, tout en laissant par ailleurs les opérations légitimes s'effectuer sans entrave.
Un outil délicat à calibrer
Kyle Randolph, ingénieur chez Adobe, explique la difficulté de développer une sandbox bien calibrée. « Une sandbox parfaite, c'est comme un ordinateur totalement protégé - ... elle doit ressembler à une machine figée dans le béton, privée d'électricité et déconnectée de tout réseau ! » Une sandbox est caractérisée par les restrictions qu'elle impose à une portion de code en cours d'exécution. À l'inverse, le logiciel doit pouvoir continuer à fonctionner de manière efficace. Il faut donc équilibrer ces objectifs antagonistes : empêcher les mauvais logiciels à faire de mauvaises choses, tout en permettant au bon logiciel de servir ce pour quoi il est fait. Voilà l'impossible équation à laquelle l'ingénieur doit faire face. « La Sandbox n'est pas la solution parfaite. Elle apporte un contrôle de sécurité supplémentaire, en introduisant une surcouche de protection, et pourra empêcher de nombreuses attaques. » Cela ne signifie pas que le Reader d'Adobe est devenu invulnérable ! Adobe explique que « le mode protégé d'Adobe Reader représente un progrès certain en terme d'impact sur les tentatives d'attaque. » Et si la sandbox n'est pas la panacée en matière de sécurité, elle apporte assurément un niveau de défense supplémentaire. « Si les attaquants découvrent des failles de sécurité exploitables, le mode protégé d'Adobe Reader pourra empêcher l'attaquant d'écrire des fichiers ou d'introduire des malwares sur les ordinateurs des victimes potentielles.
Une solution à adopter rapidement
Le mode protégé d'Adobe Reader est construit sur la base du modèle de sécurité de Windows et offre une protection similaire. Une faille dans le système d'exploitation Windows identifiée par un pirate peut servir pour mettre au point une attaque utilisant des fichiers PDF et Adobe Reader comme vecteur. Reste que, comparé aux versions antérieures d'Adobe Reader, ce Reader X devrait apporter une amélioration significative en matière de sécurité et il faut plutôt féliciter l'éditeur de prendre de telles mesures et d'investir pour développer une version plus sûre de son logiciel. Il est recommandé de télécharger cette version sans hésiter et de commencer à l'utiliser dès aujourd'hui sans oublier de rester vigilant.
Pour télécharger Reader X : http://get.adobe.com/reader/
(...)(22/11/2010 12:08:26)Un projet européen pour la sécurisation du cloud
Le cloud est une expression à la mode souvent invoquée par les entreprises offrant des services informatiques dans leurs propres centres de données. Des sociétés comme Google, Microsoft et IBM ont été agressive sur cette technologie. Cependant, ce concept entraîne certaines questions sur la vie privée et la sécurité qui n'ont pas fait l'objet d'études approfondies. Les sujets sont pourtant variés, cadre réglementaire et juridique, mais aussi des questions techniques sur la sécurisation des données stockées à distance.
Le projet européen, appelé « Trustworthy Clouds » ou TClouds, « se penchera sur ces questions d'ordre juridique », a déclaré Christian Cachin, un informaticien spécialisé de sécurité et de cryptographie de recherche IBM de Zurich. Big Blue pilotera le projet, qui comprend également plus une douzaine d'autres entreprises et organismes de recherche. L'U.E débloque 7,5 millions d'euros pour TClouds, dont 3 millions en provenance des entreprises et des organisations. Sur le plan technique, TClouds travaillera sur l'élaboration de meilleurs outils de confidentialité via des protocoles de partage de données entre deux sociétés fournissant un service de cloud. Il concerne aussi la mise en place de standard en matière de sécurité et la création d'API ouvertes.
Une recherche fondamentale, mais variée
Les différents résultats de ces recherches seront publiés et les normes proposées pourront éventuellement être utilisées dans des logiciels. Pour autant, Christian Cachin a déclaré « il faudra attendre au moins une décennie pour que ce projet trouve sa traduction dans un produit, car les travaux réalisés s'apparentent à de la recherche fondamentale ».
Les chercheurs travailleront sur deux scénarios pour voir s'il est possible d'offrir un niveau de sécurité et de fiabilité pour le cloud computing. Un de ces projets impliquera Energias, un fournisseur d'énergie portugais et EFACEC, une société qui fournit l'infrastructure du réseau électrique, également basé au Portugal. TClouds étudiera comment un système conçu pour contrôler efficacement un réseau d'éclairage public peut être migré vers le cloud.
Le deuxième pilote se concentrera sur les soins de santé et impliquera l'hôpital San Raffaele de Milan. Les chercheurs chercheront à savoir s'il est possible de surveiller à distance et de diagnostiquer les patients chez eux, avec des données stockées dans le cloud et consultées par les patients, les médecins et les pharmaciens. L'objectif est de voir si cela entraîne une réduction des coûts des soins de santé, tout en préservant la confidentialité des patients.
Zscaler neutralise gratuitement Firesheep
Dévoilé par Eric Butler lors de la conférence sur la sécurité ToorCon qui s'est tenue à San Diego le mois dernier, Firesheep est capable de récupérer des informations de session stockées dans le cookie d'un navigateur web. Ces informations peuvent être facilement collectées quant elles transitent dans les deux sens entre l'ordinateur d'un utilisateur et un routeur WiFi non protégé. C'est le cas par exemple quand une personne est connectée à un service web du type Facebook. En effet, si la plupart des sites cryptent le trafic actif à partir du moment où l'utilisateur entre dans le site avec son identifiant - le chiffrement est indiqué par le cadenas présent en bas de page des navigateurs - la plupart basculent ensuite dans un mode de transmission d'informations non crypté pendant le reste de la session. Une faiblesse contre laquelle les experts en sécurité mettent en garde depuis des années, en particulier pour les utilisateurs des réseaux WiFi publics non sécurisés.
Firesheep détecte le trafic non crypté et permet à un intrus de «détourner» la session en cours, ou de se connecter à un site Web à la place de sa victime, en quelques clics seulement. Ce style d'attaque est possible depuis longtemps. Mais Firesheep apporte aux utilisateurs les moins habiles un outil de piratage puissant et surtout simple à utiliser.
Allumer des contre-feux
L'extension Blacksheep de Zscaler se charge de repérer si quelqu'un utilise Firesheep sur le réseau où il est connecté, laissant à l'utilisateur le soin d'apprécier la meilleure attitude à adopter en matière de sécurité quand il utilise un réseau WiFi ouvert par exemple. Lorsque Firesheep intercepte les informations de session pour un site web donné, il envoie une requête au site concerné en utilisant les valeurs contenues dans le cookie piraté. Le rôle de Blacksheep consiste à envoyer des requêtes HTTP toutes les cinq minutes sur chacun des sites surveillés par Firesheep, mais en utilisant de fausses valeurs de cookie. « Si Blacksheep détecte que Firesheep envoi une requête sur un site en utilisant ces fausses valeurs, il émet alors une alerte, » explique Zscaler.
Les experts en sécurité recommandent aux sites web de sécuriser tout le trafic, mais de nombreux sites ne le font pas, parce que l'opération nécessaire pour maintenir le chiffrement demande une puissance de traitement supplémentaire. Cependant, quelques progrès ont été réalisés : ainsi, depuis le début de l'année 2010, Google a activé, pour tous les utilisateurs de son service Gmail, le cryptage HTTPS auparavant proposé en option. Il existe d'autres moyens de se protéger contre Firesheep, comme par exemple ne pas utiliser les réseaux WiFi ouverts. Si ce n'est pas possible, il existe également l'extension « HTTPS Everywhere » pour Firefox, mise au point par l'Electronic Frontier Foundation, laquelle déclenche automatiquement une session chiffrée avec les sites Web capables d'en établir une. Une connexion VPN peut également servir à contrer ce type d'attaques.
(...)(04/11/2010 11:03:46)
Inquiétudes des entreprises sur la sécurité du cloud et du web 2.0
« Moins d'un tiers des entreprises dans le monde disposent d'un plan de gestion des risques informatiques à même de les prémunir contre les dangers liés à l'utilisation des nouvelles technologies » constate le cabinet Ernst & Young dans sa treizième étude mondiale sur la sécurité informatique, « Global Information Security Survey ». Les principaux problèmes sont liés à la croissance de l'externalisation, notamment via l'informatique en nuage (cloud computing) comme le très courant SaaS, mais aussi par les pratiques collaboratives comme les réseaux sociaux et le web 2.0. Michel Richard, associé chez Ernst & Young responsable du département sécurité des SI, attire également l'attention sur la mobilité croissante des équipes et l'insécurité inhérente aux outils et méthodes de cette mobilité (smartphone, ordinateurs portables, tablettes, connexion au SI par le web, etc.). Pour lui, il ne s'agit pas de remettre en cause l'évolution des pratiques métiers mais plutôt d'être conscient des risques et de prendre les mesures nécessaires pour s'en prémunir.
Précisons que le cabinet ne s'intéresse pas principalement à la sécurité informatique au sens technique du mot mais plus à la sécurité des données transitant dans un SI.
La sécurité parent pauvre des budgets
Les dépenses en sécurité n'augmentent en proportion du budget IT que dans la moitié des cas. Dans 6% des cas, la proportion des budgets informatiques consacrée à la sécurité est même en baisse, le solde étant constitué par des organisations aux dépenses plus ou moins stables en sécurité.
Les priorités des entreprises concernent avant tout la continuité d'activité (28% des répondants la placent en première priorité) et la « compliance » (16%), c'est à dire la conformité avec les règles tant légales que professionnelles (Bâle II, etc.). Viennent ensuite la prévention des pertes de données, la gestion des risques sur la sécurité des données, les problématiques d'identification et de sécurité d'accès...
Les efforts particuliers de cette année ne recoupent pas nécessairement les besoins immédiats. En effet, une priorité peut être déjà largement traitée et ne pas nécessiter de nouveaux investissements. Malgré tout, on constate que dans ces efforts financiers la continuité d'activité mais au même niveau que la prévention des fuites d'informations (50% des répondants vont dépenser davantage que l'année passée). Les problématiques d'identification et de sécurité d'accès sont juste derrière (48%) et suivies de la sécurisation des clouds.
[[page]]
La perte directe d'efficacité de l'organisation liée à un problème de sécurité est loin d'être la préoccupation majeure des répondants (38% sont principalement préoccupés par la perte de chiffre d'affaires directement induite). Dans 67% des réponses, c'est en effet la perte de crédibilité de l'entreprise et de ses marques qui est jugée comme la conséquence la plus dramatique d'un incident de sécurité, suivi par la perte de confiance des actionnaires (42%) et des clients (41%).
Les fuites de données dans les nuages sont redoutées
Les risques évoluent. Pour 52% des répondants, le danger qui s'accroit le plus concerne les pertes de données, loin devant la perte de visibilité sur la confidentialité et la sécurité des données (39%) et les accès non-autorisés à celles-ci (34%). Seulement 30% des organisations disposent d'un plan de sécurité informatique qui tient effectivement compte de l'évolution des risques.
Or la nature même des SI évolue. Si 55% des répondants n'envisagent pas de recourir au cloud dans les 12 prochains mois, 23% y recourent déjà et 22% travaillent sur le sujet (soit déjà planifié, soit en cours d'évaluation). Les craintes de sécurité expliquent sans doute que le cloud privé reste privilégié (54% des répondants) contre 29% pour le « vrai » cloud public et 45% qui entendent mixer les deux ou recourir à des solutions hybrides. Le SaaS reste le mode d'exploitation le plus populaire (77% des répondants), devant l'IaaS (45%) et le PaaS (34%).
Une vision moyen-terme plutôt myope
Au-delà du SI au sens strict, les nouveaux usages sont des sources d'inquiétudes mal maîtrisées, qu'il s'agisse du cloud, des réseaux sociaux ou de l'introduction des outils personnels comme les smartphones. Seules 28% des entreprises estiment disposer d'une politique de sécurité adaptée et 34% savoir ce qu'il faudrait faire, 35% n'en n'ayant pas vraiment une vision et désirant y réfléchir.
Les répondants sont curieusement fidèles aux référentiels de bonnes pratiques : 52% déclarent pratiquer ITIL, 47% ISO/IEC 27001:2005, 43% Cobit, 35% ISO/IEC 27002:2005... Malgré tout, seules 60% des organisations disposent d'un plan stratégique formel sur l'évolution de leur politique de sécurité du SI et des données dans les trois ans à venir.
Google trouve un accord sur la class action contre Buzz
La société paiera 8,5 millions de dollars à un fonds, qui sera ensuite versé à des organisations en charge d’éduquer et d’informer sur les questions de confidentialité sur Internet, a déclaré la firme de Moutain View dans un communiqué. La société va également faire des efforts supplémentaires pour sensibiliser les usagers sur les aspects de confidentialité de Buzz. Ce dernier est un réseau social et un outil de messagerie qui peuvent être utilisés avec le service d’e-mail Gmail. La classe-action contre Google a allégué que des abonnés à Gmail avaient été automatiquement inscrits dans Buzz et que leurs données, y compris les contacts, ont été exposées publiquement sans leur consentement. Google a nié l'exactitude de ces allégations.
Malgré le règlement en cash, les personnes représentées dans le recours collectif ne verront pas un centime de cette somme. « Juste pour être clair, ce n'est pas un règlement dans lequel les gens qui utilisent Gmail peuvent prétendre à recevoir une compensation », a indiqué la société dans un e-mail aux utilisateurs de son service de messagerie. Google a déclaré que l’accord reconnaît qu'il a très vite changé le service Buzz pour répondre aux préoccupations des utilisateurs.
Un accord juste en attente de validation
« Nous pensons que ce règlement comporte de nombreux avantages aux membres du groupe, notamment en fournissant une importante somme d'argent à des associations sans but lucratif vouées à l'éducation des utilisateurs concernant la confidentialité sur Internet et faire en sorte qu’ils puissent rejoindre Buzz sans compromettre leur vie privée », précise Google.
Le juge James Ware, de la Cour du District Nord de Californie a préalablement approuvé le règlement le 7 octobre dernier, souligne Google. La société a été mandatée pour révéler les détails de règlement dans les 30 jours suivant l'approbation. La validation finale du règlement proposé sera examinée par la juridiction le 31 janvier de l'année prochaine. Des détails sur le règlement sont disponibles à BuzzClassAction.com.
| < Les 10 documents précédents | Les 10 documents suivants > |