Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 281 à 290.
| < Les 10 documents précédents | Les 10 documents suivants > |
(20/09/2010 14:45:30)
Un chef d'Interpol se fait dérober son nom sur Facebook
C'est l'une des personnes les plus puissantes dans le monde de la police, mais sur Facebook, Ronald K. Noble, l'un des hauts responsables d'Interpol, est tout aussi vulnérable que n'importe qui concernant le vol d'identité. Selon le site britannique Techworld.com, le secrétaire général de l'agence a révélé, lors d'une conférence organisée la semaine dernière à Hong-Kong, que des cybercriminels avaient créé deux profils Facebook pour obtenir des informations sur l'une des opérations de son agence, baptisée « Infra-Rouge ». La fraude a récemment été découverte par les équipes sécurité d'Interpol. « L'un des hackers a utilisé mon profil pour obtenir des informations sur des fugitifs recherchés dans le cadre de cette opération », a déclaré le responsable d'Interpol. « Infra-rouge », qui s'est déroulée entre mai et juillet 2010, devait conduire à l'arrestation de fugitifs accusés de meurtre, pédophile, fraude, corruption, trafic de drogue et blanchiment d'argent, dans différentes juridictions. Elle avait autorisé 130 arrestations.
Le cyberespace, véritable menace criminelle
«La cybercriminalité est en train de devenir une menace très concrète », a souligné Ronald K Noble. Selon ce dernier, si l'on considère le facteur anonyme du cyberespace, l'on peut estimer que ce dernier constitue l'une des menaces criminelles les plus dangereuses qu'on n'ait jamais connues.
Bien que Facebook, en lui-même, n'ait pas été compromis de quelque façon que ce soit par cette affaire, l'exemple cité par Interpol montre bien la facilité avec laquelle les cybercriminels parviennent à s'y forger une identité. Ce phénomène concerne aussi bien Facebook, que d'autres réseaux sociaux, comme Twitter, également en lutte avec ce type de problème. Néanmoins, même pour les non-VIP qui utilisent des comptes, Facebook reste le lieu controversé pour apposer certaines informations. La semaine dernière, une étude indiquait que de nombreuses PME américaines avaient connu des problèmes de sécurité, suite à l'intérêt des employés pour ce site.
(...)(17/09/2010 12:47:37)
Réseaux sociaux : trop diaboliques pour les entreprises ?
« Les réseaux sociaux sont vraiment diaboliques ». Selon Alan Lustiger, directeur de la sécurité de l'information chez Gain Capital Holding, société de commerce en ligne, les réseaux sociaux constituent une ressource majeure pour les hackers essayant de s'approprier des données d'entreprises ou de s'attaquer à leurs réseaux internes. Il explique cela en sept points.
1. Rechercher sur ces sites les noms des entreprises renvoie à des organigrammes partiels, et il s'agit donc d'un bon début pour préparer une attaque via ces réseaux.
2. Utiliser les adresses email glanées sur ces sites peut fournir des informations cruciales. Si le système de nom de l'adresse (initiale du prénom suivie du nom, ou prénom, tiret, nom par exemple) est identique au système d'attribution de mots de passe, la sécurité est compromise. « Vous êtes alors à mi-chemin de pirater leur nom d'utilisateur et mot de passe », affirme-t-il.
3. Les informations publiées sur les réseaux sociaux donnent des indices pour déterminer les mots de passe : nom des enfants, équipes préférées, goût alimentaires...
4. Des faux concours prenant place sur ces sites et demandant toutes sortes d'informations peuvent contribuer à un changement du mot de passe par les pirates. Les noms de l'école, de l'animal de compagnie ou de l'oncle préféré donnent les réponses aux questions secrètes par lesquelles il est possible de modifier le mot de passe.
5. Les URL réduites utilisées sur Twitter peuvent mener n'importe où, et il n'y a aucun indice dans le nom de l'adresse qui aiderait à deviner cette redirection. Un site malveillant peut très bien se trouver à l'arrivée.
6. Exploiter les forums et sites de recherches d'emploi peut informer sur des embauches IT dans des entreprises spécifiques. Les attaquants pourraient alors obtenir un entretien au cours duquel ils rassembleraient des détails sur l'infrastructure réseau de cette société en discutant de leurs expériences et du travail éventuel.
7. L'utilisation du GPS par Google Latitude publie le lieu où l'on se trouve, mais révèle par là même les endroits où l'on n'est pas. Les individus cherchant une excuse pour pénétrer dans l'entreprise peuvent faire usage de cette information en se rendant sur place et demandant à voir quelqu'un alors qu'ils savent que la personne n'est pas là.
Dans cette dernière situation, ils peuvent demander au réceptionniste d'imprimer un document dont ils auraient besoin pour leur entrevue avec la personne absente. Formé à l'accueil et à rendre service, le réceptionniste pourrait insérer une clé USB dans leur ordinateur pour procéder à l'impression, et laisser malgré lui entrer un malware créant une porte dérobée, volant des données ou bien propageant un code destructeur et ce, sans laisser de traces, explique-t-il.
Des risques difficiles à estimer
D'autres astuces réalisables « en personne » via des connaissances acquises sur les réseaux sociaux peuvent être dangereuses. Offrir un emploi dans l'entreprise et donner l'accès au réseau interne aux attaquants est un risque réel. Le meilleur moyen de bloquer de tels risques de sécurité reste d'éduquer les employés aux réseaux sociaux et d'étendre cette formation à leur activité personnelle sur ces derniers, selon Alan Lustiger. « En quoi un site web a-t-il besoin de connaître votre date d'anniversaire ? », déclare-t-il, indiquant que cela peut être utilisé pour déterminer et changer le mot de passe dans le but de voler l'identité. Les équipes de sécurité internes devraient prendre à leur charge de vérifier, par échantillonage, que les informations postées par les employés sur les réseaux sociaux ne risquent pas d'être utilisées pour porter atteinte à l'entreprise. Mais même dans ce cas, elle peut toujours être vulnérable. « C'est virtuellement impossible de se prémunir face à un attaquant ayant passé suffisamment de temps à se préparer en scrutant les réseaux sociaux ».
Crédit Photo : D.R.
Un salarié de Google viré pour violation des données personnelles
« Nous avons licencié David Barkdale pour avoir enfreint les politiques de confidentialité strictes internes à la société », déclare Bill Coughran, Vice-Président de Google. D'après le site Gawker.com, David Barksdale a été licencié en juillet car il avait abusé de sa position d'ingénieur spécialisé dans la fiabilité du site chez Google pour avoir accédé aux enregistrements téléphoniques de Google Voice et aux comptes Gmail ainsi que Google Chat appartenant à plusieurs adolescents.
Entre excuses et obligations
Le rapport publié par l'éditeur précise que, dans l'exercice de ses fonctions, David Barksdale avait accès aux bases de données qui contiennent tant des e-mails, des historiques de conversations que d'autres fichiers appartenant aux utilisateurs. La firme de Moutain View a reconnu la gravité des faits. « Nous contrôlons attentivement le nombre d'employés qui ont accès à nos systèmes, et nous mettons régulièrement à jour nos politiques de sécurité, par exemple, en augmentant significativement le temps passé à auditer nos historiques pour assurer une efficacité des contrôles » précise Bill Coughran et d'ajouter « un nombre limité de personnes aura toujours besoin d'accéder aux données sensibles pour savoir si tout fonctionne correctement. Ce qui explique pourquoi nous prenons toutes les infractions très au sérieux ».
Facebook renforce sa sécurité pour protéger les comptes
Les utilisateurs de Facebook disposeront bientôt d'un moyen d'expulser les spammeurs de leurs comptes. L'entreprise devrait prochainement sortir un module de sécurité qui affichera quels ordinateurs et autres appareils sont connectés aux comptes. Il leur offrira la possibilité d'enlever ceux qui ne devraient pas y avoir accès. Cette fonctionnalité a pour but de faire face à un problème prenant progressivement de l'ampleur sur le réseau social. Les spammeurs utilisent en effet des sites de phishing pour piéger les utilisateurs de Facebook et leur faire entrer leurs login et mots de passe. Ils utilisent ensuite ces informations pour envoyer des messages indésirables à un maximum d'amis de ces victimes.
Ce genre de spam est alors très efficace, puisqu'il apparaît avoir été envoyé par une source fiable - un ami - et des experts en sécurité affirment que de nombreux spammeurs utilisent des programmes automatisés qui se connectent aux comptes piratés et qui envoient ces messages indésirables. Rien que la semaine dernière, des escrocs ont fait usage de comptes piratés pour envoyer de fausses offres d'iPad gratuit.
Un ajout rassurant
En plus d'écarter les spammeurs, cette fonctionnalité offre aussi la possibilité de se déconnecter à distance de machines récemment utilisées, comme le smartphone d'un ami ou le PC d'une bibliothèque par exemple. Pour autant, tout le monde ne pourra pas avoir immédiatement accès à ce module. Il sera mis en place graduellement, selon un email de Facebook. Ceux des utilisateurs qui feront partie des premières vagues d'instauration du module pourront y accéder en allant dans les Paramètres du Compte puis dans la section Sécurité du Compte. A cet endroit, ils seront en mesure de visualiser la liste des ordinateurs s'étant connectés sur Facebook, l'heure de ces connexions, quel navigateur et quel OS ont été utilisés pour chacune d'entre elles, mais aussi une estimation de leur localisation (grâce aux informations de l'adresse IP). En un clic, l'utilisateur pourra alors « terminer l'activité » sur n'importe laquelle de ces sessions. Quelqu'un qui aurait été piraté aura donc moyen de vérifier, via ces informations, que son compte a effectivement été compromis et sera à même de changer son mot de passe.
Ce module fait suite la fonctionnalité de notification des connexions présentée au mois de mai dernier, qui avertit les utilisateurs par mail ou par SMS lorsqu'un autre appareil se connecte à leur compte Facebook. Néanmoins, contrairement aux mises à jour concernant les moyens d'ajouter les amis ou autres améliorations relevant de l'activité générale du site, ce module de sécurité ne devrait pas être mise en avant sur la page d'accueil, à l'instar de son prédécesseur. Cela signifie qu'il faudra que les utilisateurs fouinent dans leurs paramètres pour le découvrir et en tirer avantage.
Cisco et Itron s'allient sur les smart grid
Cisco va travailler avec Itron, entreprise concevant des technologies de mesure des services publics, comme eau, gaz et électricité, afin de développer un système de communication IP sécurisé pour son activité smart grid. Cisco prévoit par ailleurs d'intégrer un tel système dans ses cartes d'interface réseau et autres équipements du même ordre. Selon le constructeur, cette technologie sera basée sur le protocole IPv6, au lieu de l'actuel IPv4. Il devrait aussi s'aligner sur les normes en vigueur dans les services publics. Itron en sera le premier client, même si Cisco espère vendre ce système à d'autres entreprises fournissant des compteurs intelligents, admet Paul de Martini, directeur technique de l'unité smart grid de Cisco, signalant que l'alliance avec Itron n'est pas exclusive.
Un réseau ouvert et interopérable
Les smart grid ont pour but de fournir de manière fiable et précise l'électricité aux abonnés, mais aussi d'assurer le retour sur la consommation effective en temps réel aux distributeurs et producteurs d'énergie. « C'est un grand pas en avant vers la réalisation d'une infrastructure énergétique plus moderne et intelligente » affirme Laura Ipsen de l'unité smart grid de Cisco. Le design conjoint avec Itron devrait aider à transformer les compteurs intelligents actuels en un réseau ouvert et interopérable pour les autres services en plus de l'électricité. Itron prévoit de l'intégrer à ses compteurs OpenWay, et devrait aussi distribuer les équipements réseau et logiciels Cisco lorsqu'il déploiera ces compteurs intelligents.
En France, pour rappel, ces équipements sont encore en phase de test, et la CNIL étudie encore des moyens de protéger les informations personnelles récoltées par de tels dispositifs. Atos envisage même de regrouper les informations de consommation électrique dans une « box » domestiques capable de communiquer avec les distributeurs.
Crédit Photo : Cisco
Scam avec de faux mails Hadopi
Alors que l'envoi des premiers mails d'avertissement est imminent, dans le cadre de la riposte graduée instaurée par la loi Hadopi, les internautes doivent d'ores-et-déjà apprendre à démêler le vrai du faux. En effet, des escrocs ont déjà fait parvenir de faux avertissements censés provenir de la Haute Autorité et demandant aux individus de s'acquitter d'une amende en ligne. Par ce procédé, les malfaiteurs ont pour but de récupérer à la fois les informations bancaires des victimes, mais aussi leurs coordonnées personnelles.
Il existe cependant des moyens simples pour déterminer l'authenticité de ces mails. Tout d'abord, ils ne sont pas nominatifs, contrairement à ceux qui seront effectivement émis par l'Hadopi, explique son secrétaire général Eric Walter, mettant en garde contre ces pratiques. Il ajoute par ailleurs qu'il n'est demandé aucun paiement dans les véritables mails, étant donné qu'il ne s'agit que d'avertissements. Néanmoins, le public n'ayant toujours pas connaissance du modèle d'emails qui seront émis, il doit rester vigilant et être à l'affut de la moindre incohérence, même si Eric Walter indique que ce modèle sera très probablement copié lui aussi lorsqu'il sera diffusé. Le manque d'informations concernant la mise en place de cette loi tant de fois délayée ne semble pas avoir été compensé par les distributions estivales de prospectus aux péages, au grand bonheur de ces arnaqueurs en ligne.
Illustration : Eric Walter, secrétaire général de l'Hadopi
Crédit Photo : D.R.
3M achète le spécialiste en sécurité biométrique Cogent Systems
3M, entreprise à l'activité très diversifiée, allant du scotch aux circuits électroniques, a décidé d'offrir 943 millions de dollars pour acheter Cogent Systems, spécialisé en solutions de contrôle d'accès biométrique. Cela devrait contribuer à étendre son activité de systèmes d'authentification et de cartes d'accès sur des marchés différents de son coeur de clientèle, les services de frontières et les forces de l'ordre. Les produits de Cogent sont principalement des outils d'identification par empreinte digitale ou palmaire pouvant être utilisés pour protéger l'accès à certains matériels informatiques ou applications.
3M offre 10,50 $ par action, ce qui valorise Cogent à 943 millions de dollars. Mais si l'on considère les réserves d'argent de Cogent, qui s'élèvent à 500 millions de dollars, 3M ne débourse en réalité que 493 millions pour cette acquisition, selon les dires des deux entreprises. Le conseil d'administration de Cogent a recommandé à l'unanimité la transaction à ses actionnaires, et le fondateur et PDG Ming Hsieh a lui-même accepté de céder ses parts. L'acquisition devrait se finaliser durant le dernier trimestre. Le chiffre d'affaire de Cogent, basée en Californie, ne montait l'an dernier qu'à 130 millions de dollars, soit une toute petite part du marché de la biométrie qui est estimé à 4 milliards. Ses solutions entrent en effet en compétition avec celles de L-1 Identity Solutions et de Dermalog Identification Systems.
Illustration : Ming Hsieh, PDG et fondateur de Cogent Systems
Crédit Photo : D.R.
La Chine impose ses solutions de sécurité aux entreprises locales
La Chine enclenche la vitesse supérieure pour laisser la sécurité des infrastructures réseau critiques aux mains d'entreprises locales, ce qui est de mauvais augure pour celles qui sont basées en dehors du pays. Le gouvernement a en effet commencé à dépêcher, l'an passé, des inspecteurs pour vérifier la mise aux normes des éléments de sécurité, dans le cadre de l'initiative Multi-Level Protection Scheme (MLPS) présentée il y a trois ans par le ministère de la sécurité publique. Elle impose que les produits utilisés par les sociétés gouvernementales ou relative à l'infrastructure du pays, comme les banques et les transports, soient fournis par des entreprises chinoises. Des équipementiers de sécurité comme Cisco ou Symantec pourraient du coup être exclus de ce marché en pleine croissance, ou forcés à nouer des partenariats locaux, d'après Stephen Kho, conseiller dans un cabinet d'avocat basé à Washington. « Pour le moment, cela ne semble affecter que les entreprises de sécurité informatique ». Il précise que, tandis que le MLPS était connu depuis 2007, il n'était pas envisagé que le gouvernement puisse par la suite imposer ces régulations. « Quand ils l'ont mis en place, personne n'y a réellement prêté attention. Bien souvent, ces lois restent dans les livres et ne font rien du tout ».
Un faux air de protectionnisme
Certains s'inquiètent que la Chine puisse utiliser ces sujets relatifs à la protection des infrastructures pour verrouiller le marché croissant des produits de sécurité. Si l'on en croit un rapport de la Chambre de Commerce Américaine basée en Chine, les officiels du pays auraient déclaré que la plupart des agences gouvernementales et entreprises publiques auront l'obligation d'être aux normes d'ici la fin de l'année. Le MLPS n'est qu'une des politiques mises en place par la Chine pour contribuer au développement de technologies « maison ». La Chambre de Commerce déclare à ce propos que « ces politiques qu'adopte la Chine sous le prétexte « d'innovations étrangères » sont de plus en plus verrouillées et protectionnistes par nature ».
L'an dernier, Trond Undheim, directeur de la stratégie normative chez Oracle, avait déjà signalé que d'autres lois et régulations posaient quelques soucis, notamment la Chinese Compulsory Certification (CCC) qui impose la divulgation de la propriété intellectuelle pour certains produits de sécurité. « La Chine est pour le moment certaine de pouvoir limiter l'empreinte globale de l'industrie informatique sur son territoire. Ils ont conçu tout un lot de combines pour y parvenir, notamment centrées autour de la législation des systèmes de sécurité informatiques ».
Crédit Photo : http://www.china-certification.com/en/index.php , Agent de Certification à la CCC
| < Les 10 documents précédents | Les 10 documents suivants > |