Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 481 à 490.
| < Les 10 documents précédents | Les 10 documents suivants > |
(29/01/2008 09:46:18)
Différend entre Google et l'UE sur le statut juridique de l'adresse IP
L'enquête en cours de la Parlement européen à propos du rapprochement de Google et de DoubleClick / (société de régie publicitaire en ligne) a soulevé ces derniers jours une autre question auprès des députés, celle du statut juridique de l'adresse IP (protocole Internet). Les élus européens se sont longuement penchés sur cette nébuleuse de l'Internet, et ont conclu que l'adresse IP constituait une donnée privée, au grand dam de Google et d'autres sites vivant de la publicité en ligne. « Si une personne peut être identifiée par son adresse IP, à ce titre elle est privée et son utilisation par les sociétés de l'Internet doit être réglementée », a déclaré Peter Schaar, coordinateur des Cnil européennes et président de l'Article 29, un groupe de protection des données personnelles dépendant de la commission européenne. D'ailleurs l'Union européenne a déjà tenté d'encadrer l'utilisation des données personnelles au travers de directives (datant de 1995 et 2002) qui définissent comme donnée personnelle « toute information concernant une personne physique identifiée ou identifiable ». Le traitement de ces informations (modalités de collecte, durée de conservation, utilisation...) est réglementé. L'Article 29 examinera dans quelle mesure les moteurs de recherche respectent les lois de protection de données, et devrait rendre ses premières conclusions avant la mi-juin. Le groupe encourage vivement le Parlement européen à adopter une loi définissant plus clairement le statut de l'adresse IP Google estime se servir des adresses IP pour « améliorer le service » aux internautes Sans surprise, Google et les autres sites qui vivent de la publicité en ligne ne sont pas d'accord avec les conclusions de Peter Schaar. Pour eux, l'adresse IP ne doit pas être considérée comme une donnée personnelle, mais comme une simple indication géographique d'un ordinateur, et non pas d'une personne. D'après John Steinback, porte-parole de Google, « un FAI peut relier une adresse IP à un abonné, mais un site Web visité par un internaute disposant d'une adresse IP ne peut pas relier cette dernière à une personne physique ». Google a par ailleurs argué que l'utilisation de ces adresses IP servent uniquement à apporter un meilleur service aux internautes. « Tout dépend du contexte » a encore précisé John Steinback. Dans sa réflexion, la Commission européenne est confrontée à un autre problème de taille : Internet est un réseau mondial, et si l'adresse IP bénéficie un jour d'un statut juridique, cela nécessitera d'homogénéiser la législation au niveau international. Un défi qui semble difficile à relever. (...)
(28/01/2008 11:34:05)La Société Générale se dit victime d'utilisation frauduleuse de mots de passe
Jérôme Kerviel aurait tout bêtement pu jouer en Bourse environ 50 Md€ pour le compte de la Société Générale parce qu'il aurait pu déjouer les contrôles « en usurpant les codes d'accès informatiques appartenant à des opérateurs pour annuler certaines opérations ». C'est ce qu'explique la banque dans une note de 5 pages. La Société Générale y détaille la façon dont, selon elle, son trader, actuellement en garde à vue, « a réussi à détourner les contrôles en combinant plusieurs techniques de fraude ». Au niveau informatique, le trader, qui a reconnu devant les policiers bien connaître les systèmes de contrôle pour avoir travaillé dès l'an 2000 au 'middle office' de la banque, aurait donc simplement contourné les systèmes grâce à de simples mots de passe appartenant à des collègues chargés du contrôle. En termes de sécurité, il s'agit donc d'un niveau très bas, qui ne coïncide pas avec ce que présente généralement la Société Générale de son système informatique. Sachant en outre que les opérations de M. Kerviel s'étendent sur plusieurs mois, cela soulève plusieurs questions aujourd'hui sans réponse : Ces mots de passe sont-ils changés, et avec quelle régularité ? Des logiciels de supervision des événements (BAM, Business activity monitoring) et de corrélation des événements en temps réel (CEP, Complex event processing) capables de détecter des mouvements frauduleux n'ont-ils pas été mis en place ? De même, ce type de logiciel peut détecter des anomalies en matière de ressources humaines, telles que des intervalles bizarrement longs dans la prise de congés, par exemple, ce qui semble être le cas ici. (...)
(22/01/2008 10:52:44)Le cyber-espionnage économique entre dans le Top 3 des menaces
D'après l'institut SANS, spécialisé dans la formation sur la sécurité informatique, le cyber-espionnage économique arriverait en troisième position dans les menaces informatiques en 2008. Il toucherait aussi bien les entreprises que les Etats. L'institut aurait même déclaré que « l'espionnage économique deviendra de plus en plus courant, les états eux-mêmes n'hésitant pas à faire appel à ces pratiques pour être dans une position avantageuse lors de négociations internationales ». Les méthodes utilisées reposent pour l'essentiel sur le phishing et le social engineering , deux formes d'attaque qui exploitent la crédulité des gens à travers des mails frauduleux notamment. Si l'Institut ne donne aucun chiffre sur le coût de cette cybercriminalité pour les entreprises, il souligne néanmoins que des trésors d'informations ont déjà été volés. Il ajoute que les moyens déployés sont aujourd'hui similaires à ceux présents dans l'espionnage militaire, c'est dire si le danger est grand. Le problème est d'autant plus difficile à gérer que les cybercriminels ne cherchent pas forcément des données classées confidentielles, d'après une enquête menée par notre confère Ellen Messmer de NetworkWorld.com. Pour John Pescatore, analyste au Gartner, l'objectif des attaques consiste à récupérer des données d'entreprise telles que les cartes de crédit professionnelles ou encore le carnet de clients. Les sites de réseaux sociaux ainsi que les prestataires d'hébergement seraient donc des cibles privilégiées, car détenteurs d'une grande masse d'information sur les utilisateurs. Il faut en effet savoir qu'aujourd'hui les cybercriminels vont jusqu'à embaucher des psychologues et des sociologues pour décrypter les habitudes d'utilisation et de consommation. Ils ne jouent plus seulement sur les messages mais aussi sur la couleur, la position, les réflexes des utilisateurs. Toute information recueillie est donc une nouvelle brique dans la constitution d'une attaque. Contre cette recrudescence de la collecte d'information à des fins frauduleuses, les parades sont difficiles. Les produits de sécurité ne suffisent pas. Il faut mettre en place une politique rigoureuse de sensibilisation et de classement des informations. Certains experts vont même jusqu'à préconiser deux réseaux : un pour Internet et les messages électroniques, un autre pour le reste. La chine pointée du doigt Dans son enquête menée auprès de nombreuses entreprises qui avouent avoir été la cible d'attaques de ce type, Ellen Messmer montre la Chine du doigt. Les experts en sécurité chargés d'analyser les attaques seraient en effet souvent remontés jusqu'en Chine. Les cybercriminels ne sont pas forcément Chinois mais il apparaitrait clairement que la source des attaques provienne de serveurs localisés dans ce pays. Pour John Pescatore, « le problème est moins de savoir qui a fait l'attaque que de constater que la Chine ne fait rien de vraiment concret pour arrêter ces criminels ». Au passage, l'analyste du Gartner ajoute que les moyens mis en oeuvre par les Etats pour se prémunir sont rarement à la hauteur du problème. (...)
(21/01/2008 17:07:21)Le gouvernement anglais perd les données de 600 000 soldats
Le gouvernement britannique va-t-il tomber à cause d'une mauvaise gestion de la sécurité informatique ? Si la situation n'est pas encore si dramatique, le vol le 9 janvier dernier d'un ordinateur portable appartenant à un officier de la Marine britannique le met en mauvaise posture. Au point que le ministre de la Défense lui-même a dû assurer aux parlementaires anglais qu'il renforcera la sécurité des données informatiques de son ministère. Cet ordinateur, volé alors qu'il avait été laissé sans protection dans l'habitacle d'une voiture, contenait en effet les données personnelles (état-civil, numéro de passeport, numéro de sécurité social, etc.) de 600 000 personnes, intégrées aux forces armées britanniques ou intéressées pour être incorporées. Cet incident est le huitième en l'espace de trois mois, après notamment la perte de la base de données de l'équivalent anglais des allocations familiales, soit environ 25 millions de données personnelles dans la nature. Pour Richard Thomas, rapporteur devant le Parlement (Information Commissioner), cette nouvelle perte soulève de nombreuses questions : « Pourquoi autant d'informations sont collectées et combien de temps sont-elle conservées, et comment est-il possible qu'elle puissent quitter le bureau, sur un portable. Seulement ensuite il sera temps de se poser la question de savoir si elles étaient correctement chiffrées et si des mesures de sécurité adéquates ont été prises avec l'ordinateur portable. » En attendant, la police de Birmingham enquête pour retrouver le PC disparu. (...)
(18/01/2008 15:31:46)27 correctifs Oracle pour ce mois-ci
Le tout dernier lot de correctifs d'Oracle (ou Critical patch update, CPU) totalise 27 rustines, donc 8 colmatant des défauts de la base de données, et 6 concernant le serveur d'applications. Les trous de sécurités les plus importants concernent de sérieux risques d'attaques par injection SQL et par exploitation d'inconsistances dans XML DB (le danger pouvant provenir des stations « clientes »). Coté serveur d'application, Oracle précise que 5 des défauts sont potentiellement exploitables à distance. Rappelons à cette occasion l'étude publiée par Sentrigo qui laissait apparaître que 67% des utilisateurs d'Oracle, sur un échantillonnage de 300 installations, n'avaient jamais appliqué un CPU, chiffre qui démontre non pas « l'inconscience » des administrateurs Oracle, mais la difficulté et les risques supposés liés à l'application d'un code - correctif ou non - sur une application aussi stratégique qu'un SGBD ou qu'un outil métier. (...)
(11/01/2008 17:18:25)Les données clients exposées lors des phases de test
La plupart des entreprises font inutilement courir un risque aux données de leurs clients ou de leurs employés lorsqu'elles testent leurs applications informatiques. C'est ce que révèle un rapport intitulé « Test data insecurity : the unseen crisis », publié en décembre par l'éditeur Compuware et les analystes de Ponemon Institute, à la suite d'une enquête menée en juillet et août dernier auprès de 897 responsables informatiques. On y découvre qu'en Europe, 64% des entreprises interrogées utilisent les véritables données de leurs clients (des données issues de leur système de production) sans prendre la peine de les modifier, lors des phases de test qui accompagnent le développement de leurs applications. Parmi les entreprises françaises sondées, elles ne sont que 43% à avoir reconnu procéder ainsi. Seule concession à la confidentialité : les données sont mélangées au sein des colonnes, de façon à ce que les lignes restent cohérentes. Parmi celles qui le font en France, 66% se servent des fichiers clients complets (63% en Europe) et 37% se bornent à utiliser des listes de clients (45% en Europe). Or, les informations ainsi utilisées incluent la plupart du temps des renseignements sensibles ou confidentiels, tant sur les employés que sur les clients (numéros de référence, de cartes de crédit, de sécurité sociale...). Nécessité d'une prise de conscience Les entreprises pensent généralement que les procédures de tests ne mettent pas en danger ces données privées parce qu'elles ne se déroulent pas dans un environnement de production. Pourtant, les informations ainsi manipulées se retrouvent entre les mains d'intervenants qui ne sont généralement pas autorisées à les consulter, non seulement au sein des équipes internes de l'entreprise, mais aussi et surtout lorsque les tests sont effectués chez des partenaires ou des sous-traitants. L'enquête de Compuware et Ponemon montre justement que 59% des entreprises françaises interrogées externalisent les tests de leurs applications (42% seulement en Europe) et que 81% partagent leurs données de production avec leurs sous-traitants (60% en Europe). Larry Ponemon, président fondateur de l'Institut Ponemon, explique cette pratique risquée par le fait qu'il est plus facile et moins cher d'utiliser des fichiers de données internes pour tester les applications. Mais il souligne à quel point cela peut compromettre la sécurité de ces données confidentielles et insiste sur la nécessité d'une prise de conscience. De fait, l'étude révèle aussi que 38% des entreprises françaises interrogées (35% en Europe) reconnaissent ne pas savoir si l'intégrité de leurs informations a été compromise. Pire, 45% des entreprises européennes admettent que des données utilisées dans le cadre de tests ont été perdues ou volées. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |