Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 341 à 350.
| < Les 10 documents précédents | Les 10 documents suivants > |
(20/04/2010 16:23:12)
Plusieurs régulateurs interpellent Google sur la vie privée
Cette lettre, envoyée en France par la CNIL, mais aussi par les régulateurs allemand, canadien, espagnol, irlandais, israëlien, italien, britannique, néerlandais et néo-zélandais, a été adressée prioritairement à Eric Schmidt, PDG de Google. Ses expéditeurs orientent leurs critiques principalement sur le service Buzz du géant de l'Internet. « Nous nous inquiétons de voir que trop souvent, le droit à la vie privée des citoyens du monde est laissé de côté lors du lancement de nouvelles applications technologiques. Nous avons été troublés par votre lancement récent de l'application de réseau social Buzz, qui a été fait dans le mépris des normes et des lois fondamentales en matière de protection de la vie privée. En outre, ce n'était pas la première fois que votre entreprise omettait de tenir compte du respect de la vie privée en lançant de nouveaux services », peut-on lire sur le site de la CNIL.
Les autorités en charge de la protection des données modèrent néanmoins leur propos en reconnaissant que Google n'est pas la seule entreprise à avoir mis en place des services aux mesures de protection de la vie privée inadéquates » et d'ajouter toutefois qu'elles exhortent Google à montrer l'exemple, au « titre de chef de file du monde virtuel ».
Les régulateurs proposent des recommandations pour éviter ces travers :
-collecter et conserver un minimum d'informations nécessaires à l'objectif du service,
-fournir une information claire et sans ambiguïté sur la façon dont les renseignements sont utilisés,
-créer des paramètres par défaut de protection des données,
-veiller à ce que les données soient protégées,
-donner la possibilité aux personnes de détruire leur compte, dans un délai raisonnable.
Illustration : site de la CNIL (crédit : DR)
La CNIL valide l'identification par empreinte digitale à fichier central
Depuis la réforme de 2004 de la loi « Informatique et Libertés », la CNIL doit autoriser les traitements nominatifs visant à une identification biométrique. Jusqu'à présent, la doctrine de l'autorité administrative indépendante avait été de refuser l'identification par empreinte digitale dans la majorité des cas et, pour les rares exceptions, à exiger un stockage de l'image biométrique de référence sur un support amovible possédé par la seule personne concernée. On ne parle pas ici, bien sûr, des traitements liés à la sécurité d'Etat.
Une brèche vient d'être ouverte pour la première fois dans cette doctrine : le centre hospitalier Oscar Lambret, Centre Régional de Lutte Contre le Cancer du Nord-Pas-de-Calais, a obtenu le droit de mettre en oeuvre une identification biométrique par empreinte digitale des patients subissant une radiothérapie, avec stockage centralisé des images biométriques de référence. Cette autorisation est qualifiée d'expérimentale dans le communiqué de la CNIL.
Des raisons d'exception
Tout d'abord, l'enjeu d'identification est extrêmement fort : une erreur sur le patient lors de l'administration d'un traitement radio-thérapeutique peut s'avérer grave voire mortelle. Les cadences de passage au centre s'accroissant, le risque d'erreur se multipliait en conséquence. De plus, les caractéristiques employées dans les dispositifs « habituels » d'identification biométrique comme le réseau veineux du doigt pouvaient être altérées soit par les maladies, soit par les traitements. La CNIL a privilégié la technique des empreintes digitales avec base centralisée, compte tenu des précautions prises par Oscar Lambret et sous réserve de l'accord express individuel des patients concernés.
[[page]]
La décision de délivrance (ou non) du traitement radio-thérapeutique restera en effet prise par le soignant pour qui l'identification biométrique sera une sécurité supplémentaire mais sans substitution aux mesures déjà en place. Enfin, le stockage sur support amovible n'était pas pertinent vue la population concernée, très affaiblie et susceptible de perdre ou d'oublier un tel support. La CNIL a donc accepté le stockage centralisé des informations biométriques.
La doctrine connait donc une évolution mais celle-ci reste circonscrite. Rappelons que l'empreinte digitale pose en effet de très gros soucis de sécurité puisque, au contraire des autres caractéristiques biométriques, elle laisse des traces sur tous les objets que nous touchons. La CNIL montre ainsi qu'elle est capable d'une certaine souplesse lorsque le sujet l'impose mais ce n'est pas pour autant une incitation à multiplier de tels traitements biométriques.
Dossier médical numérique sécurisé, la loi est passée
Le dossier médical implanté sur un support portable numérique sécurisé tel qu'une clé USB, une carte mémoire ou un disque dur sera prochainement expérimenté par certains bénéficiaires de l'assurance maladie atteints d'affections de longue durée, selon une proposition de loi adoptée en première lecture par l'Assemblée Nationale mardi 23 mars. Ce dispositif expérimental sera mis en place jusqu'au 31 décembre 2012. (...)
(25/03/2010 14:57:39)Twitter d'Obama piraté : un hacker français interpellé
« J'aime les défis, point barre ». Ainsi se définirait François C. plus connu sous le nom de « Hacker-croll » . Considéré comme un exemple par la communauté des pirates, cet expert en « social enginering », le piratage par étude sociale de sa cible, a fait l'objet d'une traque de trois mois, par l'administration de Twitter dans un premier temps, et par le FBI ensuite, lorsqu'il s'en est pris au compte officiel du président Barack Obama. À peine sortie de sa garde à vue, ce sans-emploi vivant encore chez ses parents est accusé d « intrusion dans un système de données » et son procès est fixé au 24 juin prochain.
Un pirate fort prolixe quant à ses exploits
S'il est loin d'être un surdoué de l'informatique, Hacker-croll a en revanche un certain savoir-faire en communication. Depuis maintenant quelques mois, plusieurs sites internet s'étaient fait l'écho de ce pirate qui postait régulièrement les captures-d'écrans de ses exploits en matière de piratage. Mieux, le hacker en question accordait même des interviews à certains sites, ce faisait passer, en vain, pour un citoyen allemand, ou étranger tout du moins. Bien que n'ayant jamais tenté d'utiliser ou de revendre les informations privées qu'il avait obtenues illégalement, Hacker-croll se faisait une joie d'exposer, au grand jour, toutes ses méthodes, ainsi que les pièges qu'il avait dû déjouer pour arriver à ses fins.
[[page]]
Dans une interview publiée sur le site Zataz.com, le pirate explique que sa méthode était « presque » simple ». « Il fallait un peu de temps, de chance et de curiosité » précise-t-il ensuite. On apprend qu'il s'était d'abord employé à chercher l'adresse e-mail de l'un des employés de Twitter. Il utilisait ensuite la question secrète liée à l'adresse pour trouver en déduire le mot de passe. D'après Hacker-croll, ce sont les adresses Yahoo qui étaient les plus simples à forcer, car on accède plus vite à la question secrète lorsqu'on déclare la perte d'un mot de passe. En utilisant le blog très fourni d'un des employés du site de micro-blogging, le français a pu déterminer sa date de naissance et trouver la réponse à la fameuse question « secrète ». Une fois dans la messagerie, Hacker-croll n'a eu qu'à retrouver les e-mails relatifs à l'administration de Twitter, ce qui lui a ensuite permis d'accéder au back-office du site, et de s'emparer des droits des comptes qui l'intéressait.
Top 10 des villes visées par la cybercriminalité aux Etats-Unis
S'appuyant sur des critères qui tiennent compte du nombre d'ordinateurs par habitant et de la taille de la population, l'étude a placé Seattle en tête de ce palmarès des villes les plus visées par la cybercriminalité, notamment pour ce qui est des cyber attaques, du phishing et des menaces liées aux logiciels malveillants. Viennent ensuite Boston, Washington (DC), San Francisco, Raleigh (NC), Atlanta, Minneapolis, Denver, Austin, Texas, et Portland (Oregon).
« Les facteurs qui font qu'une ville est fière de son administration et de son mode de vie sont les mêmes que ceux qui en font une ville à risque en matière de cybercriminalité», a déclaré Marian Merritt, conseiller à la sécurité Internet chez Norton. Les villes les plus risquées sont celles où les habitants possèdent de nombreux ordinateurs individuels, où la population affiche un de niveau de vie élevé, et dans laquelle un grand nombre de personnes font des achats en ligne, consultent les services bancaires via Internet, consomment de la bande passante et disposent de nombreux hot spots Wifi. Ce mode de vie s'accorde typiquement avec des niveaux élevés d'infection par les logiciels malveillants, le phishing et autres types de cyberattaque.
C'est la raison pour laquelle de grandes villes comme New York ou Chicago ne figurent pas au Top 10 des villes les plus risquées. En effet, malgré la taille de leur population, ces villes n'ont pas un niveau d'ordinateurs par habitant ou d'usage de l'Internet équivalent. Si bien que New York n'arrive qu'à la 24ème place de ce classement et Chicago à la 35ème parmi les 50 villes auditées par l'étude de Symantec et BestPlaces Sperling.
[[page]]
Certains peuvent sans doute trouver ça inutile de savoir que certaines villes sont plus risquées que d'autres en matière d'Internet. Mais Marian Merritt a indiqué que Symantec s'était intéressé à ce sujet après avoir analysé les sources provenant d'une vaste compilation de données récoltées par le réseau de la société qui répertorie les intrusions et surveille les cyber attaques localisées en fonction des adresses IP. « De plus, Sperling's BestPlaces, partenaire de Symantec sur le projet, disposait déjà d'une montagne d'informations sur la démographie, y compris des informations sur le nombre de hot spots disponibles, » fait remarquer Marian Merritt. Les hotspots sans fil sont considérés comme à risque parce qu'il est relativement facile d'espionner quelqu'un sur ce type de réseau, et Symantec conseille de ne jamais entrer de données sensibles lors de la navigation sur un Wifi public.
Des attaques très ciblées
Bien que la plupart des gens supposent que la cybercriminalité résulte toujours d'une série d'attaques menées au hasard, comme le phishing ou les tentatives d'effraction dans les systèmes, mettant ainsi tout le monde sur un pied d'égalité, la réalité est que la cybercriminalité « n'est pas menée de manière large et qu'elle est souvent le fait d'attaques ciblées », affirme Marian Merritt. Elle précise même que le genre d'individus en particulier que visent les criminels sont des personnes fortunées, qui passent beaucoup de temps en ligne, que ce soit pour le travail, le shopping ou le divertissement, et dont le comportement en matière de sécurité peut-être parfois négligent. Selon Symantec, il faut au minimum « s'assurer que son ordinateur est toujours protégé par un logiciel de sécurité, mis à jour avec les derniers correctifs. »
(...)(23/03/2010 10:03:14)
Selon IDC, la sécurité reste toujours une problématique complexe
A l'occasion du lancement de l'offre convergente Triton, Frédéric Braut, directeur des opérations de l'éditeur Websense France, a rappelé que « les utilisateurs ont une forte attente de connexion avec l'extérieur des organisations et ce de façon parfaitement légitime, y compris, par exemple dans la recherche, à des blogs ou à Facebook. Et puis si le RSSI les bloque trop, il reste les clés 3G... » La sécurité et la continuité du SI obéissent donc désormais à des principes qui ont beaucoup évolué depuis quelques années. « Aujourd'hui, le SI central respecte en général les principes de la sécurité, de la continuité et de la conformité réglementaire » a jugé Eric Domage, analyste chez IDC. La connexion est un élément basique et banalisé du SI : ne pas réussir à connecter à un SI central les utilisateurs, même nomades, constituerait une faute inexcusable de la part du DSI. La difficulté n'est donc pas là. Selon Eric Domage, « l'enjeu migre de la connectivité vers la collaboration. Or cette collaboration se fait en coopétition [collaboration ponctuelle et limitée avec des concurrents, NDLR], avec des régulateurs publics, des clients, des fournisseurs, des partenaires divers... » Il s'agit donc de s'assurer que chaque donnée est accessible aux bonnes personnes en fonction de leurs droits propres.
La sécurité évolue constamment
La sécurité évolue donc sur un schéma en trois phases : d'abord la très basique sécurité centrée sur le réseau (la connexion, les supports...), puis la sécurité basée sur l'utilisateur et enfin la sécurité basée sur les données (qui peut accéder/modifier/transférer quoi, quoi doit être détruit quand, etc.). Chaque type de sécurité implique le respect d'un certain nombre de règles. IDC estime, en Europe, qu'un simple firewall obéit en moyenne à plus de 5000 règles différentes. Et il y a 2 à 3 changements par mois. « Si les règles d'origine légale changent peu, les règles internes évoluent, elles, sans cesse » souligne Eric Domage. Et ce n'est là qu'un aspect basique de la sécurité. Un élément mal pris en compte, en général, est celui de la pérennité et de l'obsolescence des donnés. La plupart des données personnelles doivent ainsi être détruites au bout d'un certain délai, variable selon les cas. Or, face à des manquements sur la sécurité des données, les régulateurs nationaux (comme la CNIL en France) n'ont plus aucun complexe à sanctionner. Leurs enquêtes sont d'ailleurs menées en général suite à dénonciation, en provenance d'un concurrent ou bien d'un ancien salarié mécontent.
[[page]]
La sécurité sous les nuages, l'orage menace
Les évolutions de plate-forme techniques ne sont pas non plus sans incidence. Ainsi, l'émergence du « cloud » se fait en général sans se préoccuper de la sécurité. Le choix est souvent fait sur des critères financiers et le RSSI n'est averti que quand les données sont déjà quelque part dans le nuage. Or, dans le cloud, plusieurs problème subsistent a insisté Eric Domage : la perte de contrôle (qui applique les règles de gestion et de sécurité ? Comment sont-elles auditées ?), les menaces internes (le talon d'Achille des hyperviseurs reste ainsi les machines virtuelles déviantes), la conformité réglementaire (géolocalisation de données personnelles par exemple), suivi de la sous-sous-traitance, réversibilité du choix d'un prestataire... Pour couvrir tel ou tel risque, l'entreprise adopte telle ou telle solution. Il en résulte un empilement de méthodes et d'outils dont la complexité devient un risque en elle-même. « Le vrai problème aujourd'hui concerne plus le management de la sécurité que les techniques de sécurisation en elle-même » insiste Eric Domage. (...)
Failles de sécurité et bug pour les sites de la SNCF
L'information a été relayée par le Canard Enchaîné et concerne les données non protégées des clients du site. Garantissant que les coordonnées bancaires n'étaient pas concernées par le problème, l'hebdomadaire a affirmé que les données personnelles de tous les détenteurs de cartes de fidélité SNCF (12-25, escapade, famille nombreuse ...) pouvaient facilement être détournées à partir d'un simple numéro de carte et « un peu d'astuce ». Ainsi jusqu'à lundi dernier, jour où l'entreprise de transport ferroviaire a dit avoir corrigé ces erreurs, les noms, prénoms, adresses, dates de naissance et numéros de téléphones de tous les inscrits étaient accessibles aux pirates du mailing. Le Canard enchaîné a rappelé que l'entreprise était pourtant consciente de de ces risques depuis longtemps, elle en avait déjà fait part en juin 2008. Un exercice de communication qui tourne mal « Une explosion d'origine inconnue s'est produite aujourd'hui vers 8 heures à bord du TGV 1234, à proximité de Mâcon ». Voilà ce qu'ont lus les internautes qui se sont connectés au site de la SNCF hier , un peu après 11 heures. "Les premières estimations des pompiers feraient état de 102 morts et 380 blessés. Toutes les victimes ont été évacuées vers les hôpitaux de Mâcon. Les secours sont toujours sur place, ainsi qu'une cellule d'urgence médico-psychologique". Corrigée après 10 minutes, cette annonce a directement été qualifiée d'erreur par la société de transport ferroviare qui s'est empressée de publier un communiqué simple : « vous avez vu apparaître sur ce site une page relayant des informations sur un accident: celui-ci n'a jamais eu lieu ». La compagnie a ensuite expliqué qu'elle pratiquait couramment ce genre d'exercices, environs 10 fois par ans, mais qu'elle était peut être allée un peu trop loin cette fois-ci. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |