Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 351 à 360.
| < Les 10 documents précédents | Les 10 documents suivants > |
(01/03/2010 15:16:30)
Microsoft fait fermer Cryptome.org après publication d'un document confidentiel
Le Global Compliance Handbook, un document de 22 pages, contient un certain nombre de détails sur les informations recueillies par Microsoft par l'intermédiaire de ses logiciels et services Windows Live, Hotmail, Messenger, MSN Groups, et même la plate-forme de jeux Xbox Live. Il dévoile notamment quelle information Microsoft stocke, pendant combien de temps elle est conservée, et comment elle peut être consultée par la police et les services de sécurité en conformité avec les exigences juridiques américaines. Après avoir découvert le document sur le site, Microsoft aurait demandé son retrait, en s'appuyant sur le US Digital Millennium Copyright Act (DMCA), mais sa requête ayant été rejetée par John Young, le rédacteur en chef et fondateur de Cryptome, Microsoft a persuadé l'hébergeur Network Solutions de retirer le site, lequel a été mis hors ligne le 25 Février. Mais ce n'est pas certain que Microsoft ait été bien avisé de s'en prendre si lourdement à un site qui s'est imposé dans les cercles de défense des droits civiques comme un rempart important contre le secret gouvernemental. D'ailleurs, Microsoft n'aurait pas réussi à rendre ce document aussi public, s'il avait essayé. En effet, le guide est désormais disponible en téléchargement à partir de diverses sources Internet, y compris le site Wikileaks spécialisé dans les dénonciations de certains abus. Le document sera sans doute aussi transféré à des milliers de personnes, parfois sans comprendre la signification - ou le manque de signification - de ce qu'il contient. Un éclairage intéressant sur les pratiques des compagnies IT Le guide, qui comporte en lui-même peu de révélations techniques, montre comment une société telle que Microsoft effectue une surveillance de l'information à partir des traces laissées par les visiteurs sur les sites Internet visités. Ainsi, il apparaît que tout texte ou toutes images téléchargées vers un service Microsoft sont conservés pendant 90 jours, ainsi que la date et l'heure du téléchargement et l'adresse IP de la connexion. Il faut noter aussi que toutes les données globales de compte client Hotmail - y compris par conséquent la traces des emails - sont conservés aux États-Unis, ce qui les rend accessibles par les autorités américaines en vertu des lois en vigueur. Les non-résidents américains n'en ont peut être pas conscience, mais les éléments ne sont détruits qu'après 60 jours d'inactivité du compte. Le document laisse entendre que Microsoft ne stocke pas les conversations entre les utilisateurs de Windows Live Messenger, son service de messagerie instantanée. Le service le plus suivi semble être celui de la Xbox Live, où les noms, adresses et données relatives aux cartes de crédit permettent de tracer les utilisateurs en ligne. Ce qui n'est guère surprenant, étant donné que c'est un service pour lequel les utilisateurs doivent payer et donc la surveillance n'est pas tout à fait effectuée au profit de Big Brother. (...)
(25/02/2010 16:40:40)Une proposition de loi pour mieux protéger les données personnelles
Une proposition de loi « visant à mieux garantir le droit à la vie privée à l'heure du numérique » vient d'être enregistrée par la commission du Sénat des lois constitutionnelles, de législation, du suffrage universel, du règlement et d'administration générale, où siège Alex Türk, le président de la CNIL. Cette proposition n'est qu'un avant-projet dont aucune date d'application ne peut être fixée pour l'heure. Il n'est même pas certain qu'elle aboutisse, sans oublier les multiples amendements qui vont survenir au cours du travail parlementaire. Cependant, ce qu'elle apporte pourrait modifier sensiblement la loi « Informatique et Libertés ». La première mesure prévue complète le Code de l'Education en imposant aux écoles un devoir de sensibilisation des enfants et adolescents à leurs droits et aux bonnes pratiques en matière de préservation de leurs données personnelles et de leur vie privée. Vérifier la présence de fichiers illégaux La proposition de loi prévoit également une obligation pour les entreprises et administrations de disposer d'un Correspondant Informatique et Libertés dès lors qu'elle met en oeuvre un traitement de données sensibles soumis à autorisation de la CNIL (et non pas seulement à déclaration). Elle limite les finalités des fichiers de police et de sécurité nationale. La CNIL verrait ses pouvoirs renforcés, notamment avec l'apparition d'une procédure très proche de la perquisition dans sa forme pour vérifier la présence de fichiers illégaux dans des locaux professionnels, avec création un délit d'entrave à cette « perquisition ». Elle pourrait être amenée à apporter un témoignage ou une expertise au cours de procédures judiciaires. Les acteurs du marketing direct sont visés par une disposition pas très contraignante pour les acteurs honnêtes : l'obligation de prévenir tout inscrit dans leurs bases en cas de cession à des tiers (les fameux « partenaires ») en laissant un droit d'opposition gratuite pour les personnes concernées. Enfin, les sanctions frappant les contrevenants à la loi « Informatique et Libertés » seraient doublées. (...)
(23/02/2010 11:55:19)Un organisme européen émet des réserves sur l'ACTA
Le CEPD s'est rappelé aux bons souvenirs de la Commission européenne en regrettant de ne pas avoir été consulté sur l'ACTA. Cet accord commercial en discussion secrète depuis 2007 entre plusieurs pays, dont les Européens et les Américains, comprend plusieurs volets pour prévenir des actes de contrefaçons matérielles et immatérielles. Pour ces dernières, une fuite récente d'un document de travail dévoilait les éléments de la position américaine, soit une riposte graduée en trois temps ou la responsabilité civile des fournisseurs d'accès atténuée en cas de « coopération ». Peter Hustinx, président du contrôleur européen a indiqué que « s'il ne fait pas de doute que la propriété intellectuelle est importante pour la société et doit être protégée, elle ne doit cependant pas être placée au-dessus du droit fondamental à la vie privée et à la protection des données ». Dans son rapport, l'organisme indépendant émet des réserves sur la compatibilité des moyens proposés par l'ACTA avec le cadre réglementaire européen en matière de protection des données. On se souvient de la passe d'arme entre le Parlement européen et la France sur un article d'une directive, risquant d'entrer en conflit avec la mise en place de la loi Hadopi. Des recommandations consultatives Disposant d'un pouvoir purement consultatif, le CEPD a émis quelques recommandations qui serviront aux débats prévus au mois de mars au Parlement européen. Parmi ces conseils, l'autorité indépendante demande d'envisager des moyens moins intrusifs pour lutter contre le piratage sur Internet en estimant que le régime de riposte graduée n'est pas nécessaire. Il milite pour des surveillances ciblées. Les transferts de données entre les Etats ou les organisations privées doivent comprendre des garanties spécifiques inscrites dans l'accord. Le refus des eurodéputés sur l'échange de données bancaires Swift avec les Etats-Unis doit apporter un éclairage particulier sur ce sujet. Enfin, le CEPD appelle à la mise en place d'un dialogue public et transparent sur l'ACTA. Hermétiques, secrètes, les informations ne filtrent pas sur les négociations et les principales personnes concernées, les citoyens in fine ne sont pas associés à la réflexion. Plusieurs associations en France s'inquiète des nouvelles négociations qui vont débuter au mois d'avril en Nouvelle-Zélande. (...)
(17/02/2010 17:44:26)L'Assemblée Nationale adopte Loppsi II
Loppsi II dégage les grands axes des moyens devant être mis en place pour lutter contre différentes formes de délinquance, du terrorisme en passant par les délits routiers jusqu'à la cybercriminalité. Ce dernier thème constitue un chapitre important du projet de loi puisqu'il prévoit notamment l'obligation pour les fournisseurs d'accès à Internet de bloquer les contenus pédopornographiques. A ce sujet, le projet de loi prend exemple sur les dispositifs mis en place au Danemark, en Grande-Bretagne, en Norvège, aux Pays-Bas et en Suède. Un arrêté ministériel avec la liste des sites Internet à interdire pourrait être publié. Charge ensuite aux FAI "d'empêcher l'accès des utilisateurs aux contenus illicites". Au sein de ce volet "Internet", précisé dans le Chapitre II, un article sanctionne d'une peine d'un an d'emprisonnement et de 15.000 euros d'amende toute personne utilisant l'identité d'autrui, "ou tout autre donnée personnelle en vue de troubler sa tranquillité ou de porter atteinte à son honneur ou à sa considération". En octobre dernier, une étude du Credoc révélait que 212.762 personnes sont victimes d'usurpation d'identité chaque année en France. Dans 51,9%, l'usurpateur débite le compte bancaire de sa victime. (...)
(12/02/2010 11:06:19)Avec Triton, Websense propose une solution de sécurité intégrée sur appliance ou en SaaS
«Triton est une plate-forme de management intégrée pour la sécurité du contenu. Notre offre repose sur trois modules : le DLP qui sera disponible à partir du 15 mars, celui pour le web en avril, et le dernier pour l'email en septembre", nous a expliqué Didier Guibal, vice-président en charge des ventes chez Websense, «Notre approche est intégrée ou dissociée au niveau de la plateforme pour répondre à tous les besoins avec notamment un mode hybride qui permet de mixer la sécurité des échanges dans le cloud et sur les sites ». L'idée est de proposer des fonctions de sécurisation du contenu avec des composants pour l'e-mail, le Web et le DLP avec une console unique Triton. Cette offre sera disponible en mode SaaS, en tant qu'appliance ou comme une application qui pourra être hébergé sur un serveur virtuel. « Nous proposons de la souplesse à nos clients qui pourront choisir de déployer une solution hybride pour sécuriser les échanges entre une maison mère et ses filiales en Afrique. Nous travaillons également avec un grand groupe pharmaceutique français pour unifier les politiques de sécurité entre ses filiales récemment acquises » précise Florent Fortune directeur Europe du Sud et Afrique chez Websense. « La notion d'intranet et d'extranet disparait avec l'évolution des usages. Aujourd'hui, les utilisateurs désirant parcourir à titre professionnel les forums ou les plateformes Web 2.0 sont souvent bloqués dans les entreprises faute de politique sécurité adaptée. La notion de firewall devient également obsolète. Aujourd'hui, il faut être capable de tracer les données mas également de savoir qui les a envoyés et où ? Sur un blog, sur un webmail ? » explique Didier Guibal. Il s'agit bien de comprendre l'information qui circule et de catégoriser les données pour automatiser les niveaux de risque. « La détection peut être automatisé à 85% et l'intervention humaine réservée à certains points. Notre produit est d'ailleurs livré avec un moteur de règles contenant 1 100 scénarios ». Websense prévoit de continuer à commercialiser ses produits autonomes Websense Web Security Gateway, Websense Data Security Suite et Websense Email Security. Mais en optant pour l'architecture Triton, les clients seront en mesure d'accorder une licence en tant que composant de sécurité sur une plate-forme partagée, et ce, avec du matériel qui pourrait inclure des services supplémentaires. (...)
(05/02/2010 12:47:35)La NSA va aider Google à renforcer sa sécurité
Google serait en train de finaliser un partenariat avec la NSA, l'Agence Nationale de Sécurité américaine, pour qu'elle l'aide à améliorer son infrastructure en matière de sécurité informatique. Selon le Washington Post, le partenariat a été monté en vue notamment de prévenir de futures cyber-attaques, comme celle dont Google a été la victime en décembre dernier. Ce n'est pas la première fois que la NSA est mise à contribution pour aider une société américaine en matière de cyber sécurité, mais l'accord envisagé revêt un caractère particulier dans la mesure où les serveurs de Google détiennent une quantité énorme de données utilisateurs, y compris les historiques de recherche, les e-mails, et des documents personnels. Pas d'espionnage des utilisateurs Avoir à l'esprit que Google travaille avec l'une des principales agences d'espionnage du gouvernement américain n'est pas très rassurant, même si des sources anonymes ont confié au Post que l'entente était axée sur la protection des données de l'entreprise et ne portait pas sur les données utilisateurs que Google a en sa possession. « L'accord ne signifie pas que la NSA va fouiller dans les recherches des utilisateurs ou leurs comptes e-mails ou que Google a accepté de partager ces éléments lui appartenant, » peut-on lire dans le Washington Post. Il semble que Google souhaite que la NSA l'aide à comprendre comment ses infrastructures ont été violées, de manière à déployer des moyens pour empêcher de telles intrusions dans le futur. La NSA et les entreprises américaines Bien connue pour son rôle dans des opérations d'écoutes et d'enregistrements téléphoniques illégaux menées sous l'administration Bush, la NSA a déjà travaillé dans le passé sur des questions de sécurité concernant d'autres entreprises. En 2007, la NSA a aidé Microsoft à développer certains éléments du système d'exploitation Vista pour répondre aux exigences du département américain de la Défense en matière de sécurité et l'interopérabilité avec d'autres logiciels. En 2009, la NSA a travaillé avec plus de 30 organisations et entreprises concernées par la sécurité informatique, dont Symantec et Microsoft, pour établir un rapport exposant les vingt-cinq erreurs de programmation les plus dangereuses, souvent commises par les développeurs. Cette liste a été conçue pour aider les éditeurs de logiciels à vérifier ces trous de sécurité avant de lancer leurs produits sur le marché. En décembre, Google a révélé qu'elle avait été, comme une vingtaine d'autres entreprises américaines, victime de cyber attaques lancées depuis la Chine. L'entreprise, qui a indiqué au passage que certaines données propriétaires lui avaient été dérobées lors de cette intrusion, émet l'hypothèse d'interrompre toute opération avec la Chine en cas de nouvelle attaque. (...)
(02/02/2010 17:03:16)IDéNum, l'authentification unique en attendant la carte d'identité électronique
C'est a priori une bonne idée : un label créant un système de certificat électronique remplaçant les mots de passe requis pour accéder aux divers services de l'Etat sur le Web, aux sites des banques, des e-commerçants, etc. Tel est l'objet d'IDéNum, présenté hier par Nathalie Kosciusko-Morizet. Selon la secrétaire d'Etat à la Prospective et au développement de l'Economie numérique, cela devrait simplifier la vie des internautes, et leur apporter davantage de sécurité dans leurs transactions en ligne. Le principe d'IDéNum est d'instituer une authentification forte unique en associant un support physique (carte à puce, clé USB, téléphone mobile) à un code PIN. Les sites labellisés accepteront cette méthode d'authentification en lieu et place de leur système d'origine. Les services administratifs seront les premiers à proposer ce service, mais le gouvernement espère que tous les acteurs de la vie numérique en France, mais aussi en Europe, se rallieront à cette solution. Il sera possible de révoquer le certificat en cas de perte ou de vol Dans la mesure où il s'agit d'initier une démarche volontaire, IDéNum donne la possibilité aux entreprises partenaires, La Poste ou des banques par exemple, de délivrer les supports de certificat selon leurs propres conditions, notamment tarifaires. Le choix sera important, car le certificat devrait avoir une durée de vie limitée, et en cas de vol, précise Anne Murgier, de Keynectis (opérateur de service de confiance, habilité à délivrer des certificats), il faudra se retourner auprès de l'organisme émetteur pour révoquer le certificat, « exactement comme cela se passe pour les cartes bancaires ». Le dossier élaboré par l'équipe ministérielle explique que « 35 % des internautes interrogés doivent se connecter à plus de 11 portails nécessitant une authentification par login et mot de passe, et 19 % des internautes à plus de 15 portails. 33% des internautes utilisent plusieurs fois le même mot de passe ; 50% des internautes les écrivent quelque part ou les enregistrent ». En outre, est-il écrit, « 24,6% des 212 000 usurpations d'identité relevées en 2008 en France avaient pour origine le piratage de l'ordinateur ». A l'aune de ces chiffres, on ne peut qu'approuver la mise en place d'un tel dispositif. De multiples questions en suspens [[page]] IDéNum laisse toutefois plusieurs questions en suspens. Celle de l'homonymie, notamment, puisque, à en croire la foire aux questions mise en place par le ministère, seuls le nom et le prénom seront échangés. Pour Anne Nurgier, il s'agit effectivement d'un « problème à traiter ». Qui pourrait se résoudre, dit-elle, par l'ajout d'informations sur la puce (pour le téléphone ou la carte) ou dans le coffre-fort électronique (espace crypté d'une clé USB lié à l'identifiant matériel de la clé). L'autre question concerne les dispositifs de lecture, qui risquent, du moins dans un premier temps, d'exclure les amateurs de logiciels libres. IDéNum exclut aussi des protocoles (comme OpenID) et des solutions (comme Windows CardSpace) qui existent déjà, sont reconnus à un niveau international, et permettent de jouer avec plusieurs identités numériques. N'aurait-il pas été plus simple de s'en inspirer ? « Ces protocoles ne sont pas forcément basés sur des certificats, explique Anne Murgier, or le niveau de sécurité recherché par IDéNum demandait un certificat. » Jean-Michel Planche, PDG de Witbe et grand défenseur de la neutralité du Net, regrette de son côté qu'IDéNum fixe de telles directives, sans « structurer un champ des possibles », qui aurait permis d'innover et de proposer des solutions compatibles, interopérables. Qui dit eID dit aussi traçabilité complète de l'internaute En fait, IDéNum pourrait bien amorcer le virage vers une eID, carte d'identité électronique. Il s'agirait donc d'une solution temporaire. « Comme l'a expliqué la ministre, indique Anne Murgier, la carte d'identité électronique sera délivrée par l'Etat, et le processus devrait être assez long... L'idée est d'aller plus vite. Mais à terme, IDéNum devrait y être rattaché. » Une perspective qui fait grincer quelques dents. « IDéNum est un premier pas, qui n'est pas si mal, juge Jean-Michel Planche. Mais je suis très circonspect si cela aboutit à imposer une solution unique. Une carte d'identité électronique, c'est très bien pour les services administratifs, mais s'il faut l'avoir pour la Poste, EdF, SFR, etc., on passe à une autre dimension, proche de l'exemple coréen. Sera-t-on au ban de la vie numérique si on n'a pas son eID ? » De fait, la généralisation de l'usage d'un eID pour tous les services numériques simplifierait grandement la traçabilité des actions des internautes : une aubaine pour les Hadopi et autres Loppsi ou lois en i à venir. Pour Jean-Michel Planche, une autre solution est possible, et elle ne passe pas par la technique - bien que « nous ayons besoin d'outils simples, pour des humains normaux » - mais par l'éducation. « La question est bien posée, mais la réponse est technique alors que le problème est humain. Il faut éduquer, de façon à ce qu'on puisse appréhender notre vie numérique. » (...)
(02/02/2010 15:18:26)Facebook, Twitter : trois fois plus d'attaques en 2009
Alors que de plus en plus d'entreprises autorisent l'utilisation de réseaux sociaux comme Facebook et Twitter au travail, les attaques de cybercriminels contre ces réseaux ont explosé. C'est ce que révèle une enquête publiée par l'éditeur de logiciels de sécurité Sophos, qui constate que le nombre de logiciels malveillants et de spams a augmenté de 70% sur ces réseaux au cours des 12 derniers mois. 57% des utilisateurs ont été 'spammés' et 36% se plaignent d'avoir reçu des logiciels malveillants via les sites de réseautage social. La manière la plus courante de se faire piéger est détaillée dans le chapitre « Cinq arnaques et plus à éviter sur Facebook et Twitter ». Selon Graham Cluley, consultant senior chez Sophos, « les utilisateurs passent plus de temps sur les réseaux sociaux, partageant des informations personnelles sensibles et précieuses, et les pirates ont flairé où se faire de l'argent. » Pour lui, la hausse spectaculaire des attaques constatée cette année est une alerte. « Les réseaux sociaux et leurs millions d'utilisateurs doivent mieux se protéger contre la cybercriminalité organisée, au risque de devenir la proie de voleurs d'identité, d'être victimes d'escroqueries, et de servir de cible pour les logiciels malveillants. » Facebook en première ligne Sur les 500 entreprises interrogées par Sophos, 72% se disent préoccupées par le comportement de leurs salariés sur les réseaux sociaux, et se demandent même s'ils ne mettent pas leur activité en péril. Parmi elles, près de la moitié (49 %) autorisent à tout leur personnel un accès sans contrôle à Facebook et aux autres sites de réseautage social. «Alors que les entreprises sont plus tolérantes quant à l'accès de leurs salariés aux réseaux sociaux, la menace des logiciels malveillants, le spaming, le phishing et le vol d'identité ne cessent d'augmenter sur Facebook », déclare Graham Cluley. Paradoxalement, à la question « selon vous, quel est le réseau social qui présente le plus de risques ? », 60% des personnes interrogées ont cité Facebook. « Nous ne devons pas oublier que Facebook est de loin le plus grand réseau social - et on trouve des pommes pourries dans le plus grand des vergers», explique Graham Cluley. « La vérité est que l'équipe de sécurité de Facebook travaille dur pour contrer les menaces sur leur site. Il faut juste reconnaître que surveiller 350 millions d'utilisateurs n'est pas une tâche facile. Mais il n'y a pas de doute non plus que de simples changements de comportement pourraient renforcer la sécurité des utilisateurs. Par exemple, l'an dernier, les recommandations publiées par Facebook sur la manière de configurer les paramètres de vie privée pour mieux se protéger a eu un effet inverse, puisque cela a encouragé de nombreux utilisateurs à partager leurs informations avec tout le monde », rappelle-t-il. Linkedln, moins menacé mais pas à l'abri Le rapport souligne également les problèmes de sécurité inhérents à LinkedIn, un réseau social ciblé vers les professionnels, qui permet de créer entre eux, entre autres choses, un réseau de compétences et de recherche d'emplois. Bien que LinkedIn soit considéré de loin comme le moins menacé des réseaux, Sophos estime qu'il peut tout de même offrir aux pirates une source importante d'informations. « Les attaques ciblées contre certaines entreprises font beaucoup l'actualité en ce moment, et plus le cybercriminel dispose d'informations sur la structure de l'entreprise, plus il lui sera facile de cibler l'ordinateur de la personne à laquelle il veut précisément envoyer une pièce jointe infectée », explique Graham Cluley. « Des sites comme LinkedIn fournissent aux pirates un annuaire d'entreprise complet, listant les noms du personnel et leurs fonctions. Remonter jusqu'aux victimes potentielles à partir de leurs adresses électroniques est ensuite un jeu d'enfant ! » (...)
| < Les 10 documents précédents | Les 10 documents suivants > |