Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 361 à 370.
| < Les 10 documents précédents | Les 10 documents suivants > |
(29/01/2010 16:26:19)
La Loppsi pourrait paradoxalement profiter aux réseaux pédophiles
Et si les barrages que les lois Hadopi et Loppsi voulaient ériger sur les autoroutes de l'information n'aboutissaient qu'à renforcer les réseaux criminels, à l'instar de ce qui s'est passé pour la prohibition ? Tel est le point de vue que défend Fabrice Epelboin, entrepreneur, blogueur et désormais voix française de ReadWriteWeb, dans une étude d'une trentaine de pages. Rédigé dans un langage très compréhensible, bien qu'abordant des sujets techniques, le document s'appuie sur la confession d'un technicien ayant oeuvré dans et pour les réseaux pédophiles. En effet, après Hadopi censé défendre le droit d'auteur, mais qui est en retard d'un métro sur les technologies, Loppsi est censée mettre un frein, sinon un terme, à la pédopornographie sur Internet. Or, Fabrice Epelboin décrit minutieusement comment les distributeurs de contenu pédophile se sont déjà organisés pour échapper à toute menace de ce type. Les moins compétents techniquement se feront sans doute prendre, ce qui pourrait légitimer la loi aux yeux des politiques et des médias, mais le noeud du problème restera. Car le véritable problème, soutient l'auteur, est celui de l'argent. Ceux qui distribuent ce contenu illégal ne le font pas par idéologie (nauséabonde), mais parce que cela rapporte de l'argent, et que des banques acceptent de fermer les yeux sur les transactions en ligne effectuées dans ce cadre. S'attaquer au circuit financier serait dès lors plus profitable. Et cela éviterait peut-être que des adolescents cherchant à contourner Hadopi ne se retrouvent sur des serveurs mafieux tenus par des réseaux pédophiles... (...)
(15/01/2010 15:24:28)Google transfère Gmail vers un service HTTPS plus sécurisé
Au risque de gêner certains utilisateurs, Google a décidé de déplacer son service de messagerie Gmail vers un protocole plus sécurisé. Le calendrier choisi pour ce déménagement semble correspondre à une réponse aux tentatives de piratage du service de Google par des hackers chinois. L'entreprise californienne proposait jusque-là l'accès HTTPS à Gmail en option. Cette semaine, elle a indiqué qu'il s'agissait maintenant d'un choix par défaut et qu'elle allait généraliser dans les prochaines semaines ce mode à tous les utilisateurs. Du transfert sécurisé en HTTPS pour tous Le HTTPS (pour Hypertext Transport Protocol Secure) qui crypte le trafic Web, est destiné à empêcher l'écoute et les tentatives de piratage de l'information pendant le transfert des données quand le message parcourt l'Internet. Il demande plus de ressources et coûte donc plus cher à Google. La modification du service, annoncée sur le blog officiel de la société, ne fait aucune mention des tentatives de piratage de son service e-mail depuis la Chine et explique simplement : "L'usage du HTTPS permet de protéger les données contre leur interception par des tiers, comme c'est le cas pour les hotspots Wi-Fi publics", écrit Sam Schillace, directeur de l'ingénierie chez Gmail. Il rappelle qu'à l'origine, Google a laissé le choix d'utiliser ou non ce mode de cryptage HTTPS, "parce qu'il a l'inconvénient de ralentir les opérations de messagerie. En effet, à travers le Web, les données cryptées transitent à une vitesse plus lente que les données non cryptées. Au cours des derniers mois, nous avons étudié le rapport sécurité/temps de latence et nous avons estimé que l'activation du protocole HTTPS pour tous était la meilleure chose à faire. " Protection des données... et des droits de l'homme en Chine L'usage du protocole HTTPS par défaut sur Gmail protégera systématiquement les renseignements commerciaux confidentiels, que le HTTP ne permet pas et ne cherche pas à résoudre. Ce protocole de connexion est utilisé par les institutions financières et d'autres organismes qui veulent disposer de connexions sécurisées vers les pages Web et certaines applications (l'URL de ces liens commencent par https://). C'est donc important pour les professionnels, et en particulier les utilisateurs de Gmail dont l'activité est de militer en faveur des droits de l'homme en Chine. Pour la plupart des utilisateurs, ce changement devrait être indolore, voire passer inaperçu. Cependant, les utilisateurs qui se servent de Gmail en mode hors ligne pourraient avoir quelques problèmes, comme l'a fait savoir le service Gmail (un lien vers une page d'instructions fournit des explications pour contourner le problème). (...)
(11/01/2010 15:32:28)La Maison Blanche dénonce les failles informatiques dans la gestion des menaces terroristes
Ainsi, il est apparu que, avant le 25 décembre, date à laquelle le citoyen nigérian Umar Farouk Abdulmutallab a tenté de faire exploser le vol Amsterdam-Detroit sur lequel il a pu embarquer alors qu'il était en possession d'un engin explosif, son père s'était inquiété de la radicalisation politique de son fils. Au point qu'il en avait fait part aux fonctionnaires de l'ambassade américaine au Nigeria. De leur côté, d'autres organismes du renseignement avaient également recueilli des informations sur Abdulmuttalab, concernant notamment un voyage au Yémen pendant lequel il aurait rencontré les membres d'un groupe terroriste proche d'Al-Qaida. Le bilan publié hier, fait état d'un manquement global et pointe sur la défaillance des agences de renseignement pour «relier les informations entre elles», alors qu'elles disposaient de suffisamment d'éléments pour potentiellement identifier et empêcher cette attaque. Le rapport se montre même plus sévère, puisqu'il ne met pas en cause le partage d'informations entre les agences de sécurité gouvernementales. L'échec des services de renseignement vient de leur incapacité dans «l'identification, la mise en corrélation et l'élaboration d'un scénario cohérent à partir des éléments de renseignement disparates détenus par le gouvernement américain." Recoupements informatiques difficiles entre les différentes bases de données Le rapport attribue en partie les raisons de cet échec aux technologies de l'information utilisées par les services de renseignements travaillant contre le terrorisme : "elles n'ont pas permis de confronter les données disponibles de manière suffisamment pertinente pour conduire les analystes vers l'éventualité d'une telle menace." C'est pourquoi il demande à Dennis C. Blair, Director of National Intelligence, qui dirige l'ensemble des services de renseignement américains, , de "procéder à la mise à niveau rapide de ces nouvelles technologies,» notamment celles utilisées dans des domaines comme la recherche d'informations, l'intégration des différentes bases de données entre elles ou le recoupement des informations. Le rapport lui demande également d'améliorer les capacités permettant de relier les données biographiques des personnes avec celles des services de renseignements chargés de la lutte contre le terrorisme. « Le rapport ne fait que rappeler le défi posé depuis un certain temps à la communauté du renseignement, » a déclaré James Lewis, directeur et membre émérite du Center for Strategic and International Studies (CSIS), qui a soumis une série de recommandations sur la cyber-sécurité au président Obama en janvier dernier. « Les services du Director of National Intelligence, l'un des organismes chargé d'analyser et d'intégrer les données sur le terrorisme recueillies par le gouvernement américain, se bat depuis des années pour accomplir cette mission, » a t-il dit. Ajoutant : «Dans le passé, le patron du contre espionnage chargé de lutter contre le terrorisme disposait de 11 ordinateurs différents, parce qu'aucun d'entre eux ne pouvait communiquer avec les autres", a-t-il expliqué. « Nous avons commencé à normaliser l'acquisition de ces technologies, mais nous avons encore des progrès à faire, » a déclaré Lewis. Faisant référence à l'attaque manqué contre l'avion de ligne, il a conclu: « dans ce cas particulier, les éléments étaient éparpillés à plusieurs endroits différents et nous ne les avons pas réuni. » (...)
(04/01/2010 17:06:20)Adobe sera plus visé que MS Office en 2010 par les pirates, selon McAfee
Flash et Reader d'Adobe seront davantage visés par les pirates en 2010 que Microsoft Office, prédisent les chercheurs de McAfee. L'éditeur d'antivirus a publié ses prédictions sur les menaces que nous devons attendre cette année. Au vu du taux de déploiement des technologies clientes d'Adobe, McAfee conclut qu'elles subiront plus d'attaques qu'Office, les auteurs de 'malvares' (logiciels malveillants) privilégiant le meilleur retour sur investissement. De même, note le rapport, l'arrivée progressive de la version 5 de HTML, qui « brouille la distinction entre applications en ligne et applications installées sur le PC », et cela pour toutes les plateformes, accélérera ce glissement du logiciel lourd au Web. Une tendance renforcée par le succès des outils de réseaux sociaux, Facebook avec ses 350 000 applications pas forcément toutes dénuées d'arrière-pensée, ou encore Twitter qui a popularisé les raccourcisseurs d'adresses comme bit.ly ou tinyurl.com, aux URL non explicites, et donc potentiellement plus dangereuses. Google Wave et Chrome OS, pains bénits pour les auteurs de 'malwares' Ce mélange de Web, d'applications clientes, et d'applications « recommandées par des amis » constitue un cocktail explosif, note McAfee, qui pointe déjà les bénéfices que les pirates pourront retirer du grand brassage de technologies opéré par Google, avec son service collaboratif Wave et son futur système d'exploitation connecté, Chrome OS. Toutefois, en-dehors de la prédiction concernant Adobe, les chercheurs de McAfee ne se risquent pas à émettre de suppositions trop précises. Les exemples évoqués de vol d'informations confidentielles, voire de détournement d'argent, décrivent des méthodes qui font peur, mais ne sont pas associées à des éléments qualitatifs (moyens prophylactiques) et quantitatifs (occurrences de ces attaques) permettant de juger de leur importance. Si en conclusion McAfee souligne les efforts des services de police pour endiguer le crime informatique, le lecteur comprend, en creux, qu'il reste essentiel en 2010 et pour les années à venir de se prémunir, avec force antivirus, analyseurs d'URL, antispam, etc. (...)
(30/12/2009 11:01:10)Twitter publie une liste de 386 mots de passe à bannir
Fans de George Lucas, ne vous inscrivez pas sur des sites publics avec des mots de passe comme starwars ou THX1138, ils sont trop simples à deviner. Plutôt que de se contenter d'inviter ses nouveaux utilisateurs à choisir des mots de passe compliqués, Twitter en a carrément banni 386 (à l'heure où nous publions ces lignes), inscrits en dur dans le code source de sa page d'adhésion au service. De même que les programmeurs reproduisent fréquemment des erreurs toutes bêtes compromettant la sécurité de leur code, les internautes ont tendance à utiliser et réutiliser des mots de passe trop simples ou trop largement répandus, compromettant la sécurité de leur compte. Dans un effort louable, quoique évidemment incomplet, le service de micro-blogging a donc pris les devants, afin d'empêcher l'utilisation de ces mots de passe peu sûrs. Pour que chacun - internaute comme créateur de site - puisse s'en inspirer, et l'adapter à un usage en France, nous reproduisons ci-dessous la liste. (...)
(18/12/2009 10:37:18)5 choses que vous devez savoir sur la sécurité de l'information
1 - Le secteur de la sécurité de l'information est en plein développement. La sécurité de l'information (engineering social en anglais), l'acte de tromper les gens en leur soutirant des informations sensibles, n'est pas un phénomène nouveau. Avant d'être condamné, le hacker Kevin Mitnick s'était illustré en obtenant par téléphone des informations de la part de membres du personnel de grandes entreprises américaines. Aujourd'hui, avec le courrier électronique et les réseaux sociaux, les criminels vivent un véritable âge d'or. Une message bien écrit peut servir d'appât pour le phishing et une campagne anti-spam véhiculer un Cheval de Troie, des moyens bon marché et efficaces pour obtenir des données privées. Le phishing a essentiellement pour objectif de voler l'identité des personnes. Les cyberescrocs cherchent à soutirer des informations privées, comme des numéros de carte de crédit, des mots de passe, des numéros de compte bancaires ou d'autres informations confidentielles sous de faux prétextes, en utilisant de faux messages électroniques ou des fenêtres contextuelles imitant un site web connu. Ces messages, et les sites Web auxquels ils renvoient, sont souvent si proches de l'original que nombre des personnes se laissent prendre. Ils communiquent alors des informations strictement personnelles que les cybercriminels sauront mettre à profit. 2 - Les attaques ciblées sont en augmentation. Les experts en sécurité ont remarqué que les criminels utilisait une autre méthode appelée "spear phishing" pour pirater des données sensibles et des secrets d'État. A la différence des arnaques au phishing classiques qui cherchent à voler des informations personnelles, le "spear phishing" est un phishing très ciblé qui a pour objectif la violation du système informatique d'une entreprise, d'un organisme, etc. Il consiste en l'envoi de courriers ciblés à en-tête de l'employeur, d'un organisme officiel ou connu ou d'un collègue de travail, qui ont l'air authentiques. En général ces courriers sont adressés à tous les membres d'une entreprise, d'un organisme gouvernemental, d'une organisation ou d'un groupe donné. demandant de s'identifier par un nom d'utilisateur ou un mot de passe. En fait, les informations sur l'expéditeur du courrier ont été falsifiées. Donner un nom d'utilisateur ou un mot de passe, cliquer sur un lien ou ouvrir une pièce jointe dans un courrier électronique, une fenêtre contextuelle ou un site Web factice, peut mettre la sécurité d'une entreprise en danger. En analysant certains "spear phishing", Northrop Grumman a récemment fait savoir que la Chine s'était "probablement" engagée dans un programme sophistiqué et à long terme pour récolter des données sensibles aux États-Unis. Selon l'analyste, la méthode s'est généralisée. Les attaques ciblées peuvent aussi consister à diffuser des Chevaux de Troie ou Trojan Horse programmés pour s'exécuter sur l'ordinateur cible en utilisant des messages e-mail soigneusement élaborés. [[page]] 3 - Le pishing à large échelle est payant. Certains criminels ratissent plus large avec leurs attaques. Ils choisissent des sujets e-mail qui peuvent intéresser tout le monde : un message ayant pour objet "déclaration de revenus", ou "une photo de toi" trompent facilement la vigilance des destinataires. Plus il y a de victimes qui cliquent sur leurs liens, installent un logiciel inamical, plus les cybercriminels gagnent de l'argent. Maintenant, "ils agissent à travers les messageries électroniques, ce qui leur permet de toucher un public extrêmement large", a dit Gary Warner, directeur de recherche en criminalité informatique à l'Université de Birmingham, Alabama. 4 - Les choses gratuites peuvent coûter cher. Les experts en sécurité ont constaté que les pirates savaient tenter les gens avec des freebies, des applicatifs gratuits. «L'applicatif populaire, c'est l'appât qui fonctionne le mieux, "affirme Sherri Davidoff, spécialiste de l'intrusion et chargée de vérifier l'inviolabilité de certains réseaux d'entreprise. Selon elle, l'une des techniques les plus efficaces consiste à réaliser un faux sondage auprès des employés d'une entreprise en les faisant participer à une loterie factice "pour gagner un iPod". Selon Davidoff, "près de 30 à 35% des participants donnent leurs noms d'utilisateur et leur mot de passe" en répondant au questionnaire et fournissent ainsi des informations sensibles. 5 - Les gens ont confiance dans leurs amis. Y compris en ceux qui ont été eux-mêmes piratés. Cette confiance a permis au ver Koobface de se répandre via Facebook et a favorisé une vague d'attaques par messages directs sur Twitter. "Ce n'est qu'une étape avant la prochaine série d'attaques d'ingénierie sociale," explique Steve Santorelli, ancien détective de Scotland Yard et aujourd'hui directeur de Team Cymru. Selon lui, la cyber tromperie fait partie de la stratégie des criminels. "Il y a quelques années les pirates étaient plus soucieux de la qualité de leurs codes. Aujourd'hui, les techniques d'intrusion et d'ingénierie sociale sont devenues aussi importantes pour mener leurs actions." (...)
(30/11/2009 15:01:38)Viviane Reding chargée de récrire les lois européennes sur la protection des données personnelles
Viviane Reding ne disparaît pas complètement du paysage informatique dans le cadre du remaniement de la Commission européenne. Celle qui a été ces cinq dernières années commissaire à la Société de l'information a cédé son fauteuil à Neelie Kroes, désormais responsable de l'Agenda numérique, pour celui de commissaire à la Justice, aux Droits fondamentaux et à la Citoyenneté. Dans ce nouveau rôle, elle sera chargée de récrire les lois européennes sur la protection des données personnelles. Cette nouvelle mission, qui doit démarrer dès l'année prochaine, vise à mettre à jour une directive qui date de 1995, époque des débuts du Web grand public. « En tant que commissaire chargée des télécoms, indique son porte-parole, Viviane Reding était responsable d'une minuscule partie du domaine de la protection des données personnelles, dans la mesure où la directive 'e-privacy' faisait partie du paquet télécoms. Dorénavant, elle prendra la responsabilité de l'ensemble du domaine. » On s'attend également à ce qu'elle intervienne sur le domaine de la publicité en ligne. Les noms de deux autres commissaires européens pourraient bientôt surgir dans la presse informatique : Joaquin Almunia et Michel Barnier. Le premier prend en effet la succession de Neelie Kroes et devra donc veiller au respect de la concurrence. L'affaire Microsoft commençant à se tasser, d'aucuns lui prédisent déjà une belle lutte contre Google au nom de l'antitrust. Michel Barnier hérite de son côté du dossier de la propriété intellectuelle - ce qui inclut les problèmes de brevets (un vrai serpent de mer européen) et de copyrights (et donc le dossier très chaud de la numérisation des livres). (...)
(16/11/2009 15:59:56)La France contre l'intrusion des Etats-Unis dans le réseau interbancaire Swift
Plusieurs pays européens, dont la France, souhaitent faire marche arrière sur l'ébauche d'accord qui permettrait aux agences antiterroristes américaines d'accéder aux données bancaires de millions de citoyens européens. Les informations en question transitent par le réseau Swift, service de transfert interbancaire qui gère des millions de transactions internationales chaque jour. La Suède, qui assure actuellement la présidence tournante de l'Union Européenne, a négocié avec le gouvernement américain un accord qui permettrait à ce dernier de pouvoir examiner un large éventail de données incluant numéros de comptes bancaires, adresses et numéros d'identification. La France, l'Allemagne, l'Autriche et la Finlande craignent que cet accord ne soit trop intrusif. La ministre allemande de la justice s'est notamment dit opposée à un accord qui autoriserait le transfert d'énormes quantités de données « sans garantie de protection légale ». L'intervention de ces quatre pays fait écho aux inquiétudes qu'ont exprimé plusieurs parlementaires européens qui estiment avoir été tenu à l'écart des négociations. Pour l'instant, les lois de l'UE ne prévoient pas d'inclure les parlementaires dans les discussions portant sur des questions judiciaires, mais le traité de Lisbonne qui doit entrer en vigueur le mois prochain va modifier ces dispositions. Un accord provisoire d'une durée maximum d'un an La présidence suédoise de l'UE rappelle que le texte de l'accord avec les Etats-Unis n'a pas été finalisé. « Plusieurs pays ont émis des réserves, a reconnu vendredi dernier Nils Hanninger, porte-parole du gouvernement suédois. Mais nous sommes toujours en négociation. » Il rappelle que rien n'est arrêté tant que toutes les dispositions n'ont pas été acceptées. Le porte-parole a par ailleurs nié la volonté d'exclure le Parlement européen de la boucle, soulignant que l'accord temporaire aurait de toutes façons une durée maximum d'un an et que, aussitôt qu'il serait signé démarreraient les négociations pour un accord définitif. Les préoccupations portant sur l'accès aux données transitant par le réseau interbancaire Swift sont apparues pour la première fois en 2006. Un article du New York Times avait alors révélé que les Etats-Unis accédaient à ces informations sur les citoyens européens (gérées par la société belge Swift, Society for Worldwide Interbank Financial Telecommunication), sans que les autorités européennes en soient averties. (...)
(16/11/2009 12:08:31)Les moyens efficaces de protection des données personnelles restent encore à inventer
Il existe bien des moyens pour protéger les données personnelles de l'internaute, mais ils ont leurs limites et dépendent beaucoup de la responsabilisation des différents acteurs. Daniel Le Métayer, directeur de recherche au centre Inria de Grenoble, l'a rappelé la semaine dernière, lors de l'Atelier sur le « Droit à l'oubli numérique », accueilli à Sciences Po Paris, le 12 novembre. Une matinée organisée à l'initiative de Nathalie Kosciusko-Morizet, secrétaire d'Etat chargée de la Prospective et du Développement de l'économie numérique, auprès du Premier ministre, et à laquelle participaient Alex Türk, président de la CNIL, et différents acteurs du monde Internet, parmi lesquels Google et Microsoft. NKM avait d'emblée reconnu, au début de la matinée, qu'elle faisait partie des très nombreux internautes qui ne lisaient pas les chartes de confidentialité soumises par les sites Web avant de les accepter. Agir à la source et limiter l'usage des données Pour limiter la divulgation des informations privées, le premier moyen consiste à agir à la source, en chiffrant ses données ou en communiquant sans livrer son identité, avec des adresses anonymes et 'jetables', a d'abord rappelé le directeur de recherche. « Pour naviguer et effectuer des recherches sur le Web de manière anonyme, certaines techniques de protection des adresses reposent sur l'idée d'introduire un intermédiaire [NDLR : un tiers de confiance] entre nous et notre correspondant », explique-t-il aussi. De la même façon, on peut faire valoir ses droits en fournissant des garanties anonymes, en utilisant des certificats, par exemple pour prouver que l'on est un adulte. Le deuxième moyen de protection consiste à limiter les usages des informations. Du côté de l'internaute, cela implique de filtrer les messages non désirés et les cookies, notamment, ou d'effacer les traces, les cookies, etc. Du côté du responsable du traitement, la sécurisation des données requiert contrôle d'accès, chiffrement, anonymisation, etc. Mais la plupart de ces méthodes ont leurs limites, rappelle encore Daniel Le Métayer. « Pour l'internaute, les outils sont quelquefois difficiles à utiliser et ils induisent des pénalités en temps de réponse, reconnaît-il. Et la question se pose toujours de savoir jusqu'à quel point on peut faire confiance aux relais et intermédiaires. » Sur un autre plan, la protection des données personnelles « par l'obscurité » entre en conflit avec d'autres besoins de l'internaute, liés notamment à sa vie sociale. Des données pas aussi anonymes que cela [[page]] Quant aux techniques d'anonymisation utilisées par les responsables du traitement, elles ont aussi leurs limites, rappelle le directeur de recherche. Aux Etats-Unis, le rapprochement d'informations comme le code postal, la date de naissance et le genre permettraient d'identifier 87% des citoyens. Il y a quelques années, des chercheurs américains ont montré que les informations collectées par le loueur de DVD en ligne Netflix permettaient d'identifier une personne aussi facilement qu'avec son numéro de sécurité sociale. Netflix avait publié les notes accordées aux DVD par 500 000 utilisateurs en six ans. « La connaissance de deux notes suffit à identifier l'ensemble des vidéos notées par 68% des utilisateurs ». Le chercheur à l'Inria cite encore AOL, montré du doigt pour avoir publié des données qu'il croyait avoir anonymisées ; pas suffisamment cependant pour que l'on ne retrouve l'identité des personnes. Etablir des schémas de certification pour attribuer des labels reconnus aux outils Parmi les voies de recherche explorées pour mieux protéger les données personnelles, Daniel Le Métayer évoque le principe de transparence, « pas toujours facile à mettre en oeuvre », ou encore la limitation de l'essaimage de données par partage de pointeurs (des liens renvoyant vers la source des données). « Il y a aussi des techniques, en cours d'étude, qui visent à associer systématiquement des dates d'expiration aux fichiers », ajoute-t-il. Ou encore « à contrôler la durée de vie des données par chiffrement avec des clés éphémères ». Le directeur de recherche reconnaît qu'en matière de protection, on a jusqu'à présent « surtout fait du palliatif, des rustines pour colmater les brèches. » Il considère que dans la recherche des moyens, il faut avoir, dès le départ, l'objectif de protéger la vie privée pour « prévenir plutôt que guérir ». Il y a, selon lui, un manque d'incitation : « La loi doit venir à la rescousse ». On pourrait aussi établir des schémas de certification pour attribuer des labels reconnus. « Cela pourrait constituer un véritable différentiateur pour les fournisseurs d'outils et de services », ce qui leur permettrait alors d'investir vraiment dans des moyens de protection de la vie privée. Les conditions de la confiance de l'internaute restant la transparence et la responsabilisation. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |