Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 551 à 560.
| < Les 10 documents précédents | Les 10 documents suivants > |
(15/06/2007 17:24:41)
Les budgets sécurité ne suivent pas les paroles, constate Devoteam
Pour la quatrième fois, la SSII Devoteam a fait le point sur la sécurité des systèmes d'information. Cent cinquante entreprises (grosses PME, grands comptes) et administrations, en majorité françaises, ont répondu à son questionnaire de trente-quatre questions. Il en ressort un constat paradoxal : si, d'un côté, l'importance de la sécurisation des systèmes d'information est reconnue, on ne trouve pas en face les ressources nécessaires pour sa prise en compte. Ainsi, pour 63% des entreprises, la sécurisation des systèmes d'information est un enjeu stratégique. Il n'empêche qu'elles sont 47% à ne pas avoir de budget dédié et que 86% estime que 5% de leur budget informatique suffit à sécuriser leurs systèmes. Elles ne sont d'ailleurs que 33% à avoir réalisé une évaluation globale des risques en 2006. Si on leur ajoute les 19% qui disent s'appuyer sur les résultats d'évaluations réalisées auparavant, on constate que près d'une entreprise sur deux n'a jamais conduit d'évaluation globale des risques. L'an dernier, la gestion des accès a été la préoccupation majeure dans 65% des entreprises. Ces risques liés à la malveillance arrivent juste devant ceux liés à l'indisponibilité du système d'information (46% des entreprises). Derrière ces deux menaces considérées comme majeures, arrivent très loin derrière les risques liés aux attaques DoS/DDoS (déni de service, 4%), aux messageries instantanées (6%), aux intrusions (7,5%). On notera encore que plus d'un RSSI sur deux (52%) dépend de la Direction des systèmes d'information de son entreprise. Ils ne sont que 31% à être rattachés à la direction générale. (...)
(15/06/2007 15:50:13)29% des réseaux WiFi parisiens ne sont pas sûrs, alarme RSA
En matière de sécurisation des réseaux WiFi, « la France est à la traîne », dénonce Bernard Montel, directeur technique pour la France et Israël de RSA, la division sécurité d'EMC. Selon la dernière étude sur la sécurité des réseaux sans fil des grandes villes réalisée par RSA, le nombre de réseaux WiFi détectés à Paris a en effet augmenté de 44% entre 2006 et 2007. RSA recense ainsi 566 points d'accès sécurisés, 93 hotspots et 145 points d'accès non sécurisés. Globalement, le nombre de réseau non sécurisés augmente de 35% par rapport à 2006. Toutefois, alors qu'ils représentaient 31% des réseaux en 2006, ce taux tombe à 29% cette année. Selon RSA, les hotspots publics sont également vulnérables. « Les collaborateurs nomades s'appuient sur des hospots fournis par des opérateurs ou établissements offrant un accès à Internet. Ces réseaux peuvent être sources de menaces importantes », assure Bernard Montel. RSA indique dans son rapport que, souvent, ces hotspots n'utilisent aucun système de sécurité. Aucune technologie ne serait aujourd'hui capable de garantir l'identité du fournisseur du point d'accès. Certains hotspots frauduleux sont tagués avec des noms de fournisseurs connus et de confiance. Pourtant, ils sont contrôlés par des pirates qui s'en servent pour soutirer des informations personnelles (numéros de cartes de crédit, login, mot de passe, etc.) aux utilisateurs connectés. Ce procédé est connu sous le nom de 'man in the middle'. Pour s'assurer de la sécurité d'un réseau WiFi, RSA recommande de mettre en place un VPN SSL ou IPSec, des processus d'authentification par mots de passe et certificats « et surtout d'adopter des règles de bon usage », énumère Bernard Montel. A Paris, même si le taux de réseaux sûrs atteint 71%, « il reste encore beaucoup d'entreprises pour lesquelles il y a beaucoup à faire ». Entre 20 et 25% des réseaux WiFi d'entreprise sont sans protection, à Paris comme à New York et Londres. La capitale française est cependant légèrement en retard en matière d'adoption de systèmes évolués de cryptage. Seuls 41% des réseaux sécurisés utilisent les normes 802.11i ou WPA. (...)
(15/06/2007 15:33:48)Le DVD de Vista permet de craquer un système sous XP
Le meilleur outil pour craquer un système sous Windows XP ? Le DVD de Vista. Lancé en mode récupération de systèmes, le système du DVD ouvre une invite de commande avec les privilèges d'administrateur sans aucun mot de passe. Pratique, efficace, et certifié par Microsoft... Les détails de cette découverte (réalisée par un Finlandais, cf. ci-dessous) et moult commentaires (im)pertinents en français dans la section sécurité de notre site frère Réseaux et Télécoms.net. (...)
(13/06/2007 10:52:28)Google ramène la durée de conservation des données utilisateurs à 18 mois
Google réagit aux nombreuses critiques qui lui ont été adressées au cours des derniers mois et qui stigmatisaient le traitement réservé par le gargantuesque moteur de recherche aux données de connexion de ses utilisateurs. Les logs seront désormais rendus anonymes après 18 mois de présence sur les serveurs californiens. C'est dans une lettre adressée au « groupe de l'article 29 », composé des représentants de la Cnil et de ses homologues issus des Etats membres de l'Union européenne, que Google a fait part de son intention de ramener le délai de conservation des données de connexion à dix-mois mois, contre 24 mois maximum jusqu'alors. Le moteur s'engage également à repenser la conception de ses cookies afin de réduire la durée pendant laquelle ils scrutent les agissements des utilisateurs. La lettre, signée par Peter Fleischer, responsable des questions relatives à la vie privée chez Google, répond à celle adressée fin mai par le « groupe de l'article 29 ». Ses auteurs y exprimaient leurs inquiétudes face aux pratiques du groupe de Mountain View - notamment en ce qui concerne la durée de la conservation des données personnelles -, des méthodes qui leur semblaient ne pas répondre aux exigences européennes en la matière. La missive expliquait ainsi que les données de connexion rassemblaient des éléments - dont l'historique des recherches effectuées - qui constituaient, de fait, des données personnelles permettant de constituer les profils des internautes. Dans sa réponse, Peter Fleischer justifie néanmoins la période pendant laquelle les données sont conservées. Selon le juriste, l'amélioration de l'algorithme de recherche au profit des utilisateurs, la lutte contre la fraude au clic et le spam constituent les principales raisons pour lesquelles Google se doit de stocker les données de connexion. Et Peter Fleischer d'expliquer qu'il convient de trouver un équilibre entre des notions contradictoires : « alors des périodes de conservation courtes profitent aux utilisateurs, des durées plus longues sont nécessaires pour la sécurité et l'innovation. » Cette nécessité pourrait servir d'argument à Google pour refuser toute nouvelle réduction de la durée de conservation des données. Le moteur peut, de plus, avancer qu'il n'est pas avare d'efforts pour contenter l'Europe. La réduction de la période de rétention annoncée ce 12 juin, succède en effet à une démarche similaire effectuée en mars. Google avait alors ramené la période de stockage des données relatives à ses utilisateurs dans une fourchette de 18 à 24 mois, alors qu'aucune limite n'existait auparavant. Reste qu'en dépit de ces efforts, Google ne s'affranchira certainement pas de toutes les critiques qui lui sont adressées sur des sujets qui dépassent la seule durée de conservation. La semaine dernière, l'ONG Privacy International attribuait un bonnet d'âne au moteur de recherche en lui décernant la plus mauvaise note parmi une liste de 23 acteurs majeurs du Web. L'organisation jugeait Google « hostile à la vie privée » en raison de « la surveillance totale des utilisateurs » . (...)
(11/06/2007 12:38:25)Google néfaste à la vie privée de ses utilisateurs selon Privacy International
Google ne fait que peu de cas du respect de la vie privée de ses utilisateurs. C'est ce qui émane du classement établi par Privacy International, qui place le gargantuesque moteur de recherche dernier d'une liste de 23 acteurs majeurs du Web. Google est ainsi la seule des sociétés examinées à tomber dans la catégorie de niveau 6 répertoriée comme « hostile à la vie privée » en raison de la « surveillance totale des utilisateurs » qu'elle met en place. Parmi les autres groupes apparaissant dans l'anti-palmarès, Microsoft hérite du niveau 4 pour ses « sérieuses lacunes » et Yahoo du niveau 5 pour les « menaces substantielles » qui pèse sur les internautes. « Nous sommes conscients que la décision de placer Google en bas de classement fait naître une controverse mais, à travers l'ensemble de nos recherches, nous avons trouvé de nombreuses déficiences dans l'approche qu'a Google de la vie privée, qui vont bien au-delà de celles des autres sociétés », indique Privacy International. » Dans la foulée de ce classement, Simon Davies, le PDG de l'institut, a adressé une lettre ouverte à Eric Schmidt, le patron de Google, l'accusant d'avoir engagé une campagne de dénigrement en réponse à la dernière place obtenue par son groupe : « deux journalistes européens nous ont indiqué avoir été contactés par Google ». Le moteur de recherche leur aurait rapporté que Privacy International se trouve au milieu d'un conflit d'intérêt et privilégierait Microsoft plutôt que Google. Selon le groupe de Mountain View, l'un des membres de Privacy serait également employé par Microsoft. En réponse à ces accusation, Simon Davies exige des excuses d'Eric Schmidt. Sur le même sujet Google : la conservation des données personnelles inquiète l'Europe (...)
(08/06/2007 10:48:41)Quatre lycéens français accusés de cyber-escroquerie
Quatre lycéens ont été arrêtés en Savoie pour une escroquerie sur Internet. Les faits remonteraient à l'année 2006 et portent sur un gain de quelque 250 000 €. Le modus operandi est des plus simples : les quatre adolescents (tous majeurs aujourd'hui) ouvraient des comptes sur des sites Internet par le biais de fausses coordonnées bancaires obtenues à l'aide d'un logiciel spécifique téléchargé sur Internet. Ensuite, tout passait par le site orange.fr où les quatre escrocs s'inscrivaient à l'aide des codes bancaires et utilisaient le compte ainsi créé pour jouer sur des sites privés et remporter de nombreux lots, pour un montant de 250 000 € en quelques mois. De son côté, Orange invalidait bien les coordonnées bancaires fausses mais mettait plusieurs semaines pour ce faire et ne pouvait rien contre la création de nouveaux accès avec de nouvelles références. Seul problème : se faire livrer les gains ! Les quatre jeunes étaient bien obligés de laisser des coordonnées physiques qui ont été utilisées par la Befti (Brigade d'enquête sur les fraudes aux technologies de l'information) de la police judiciaire parisienne pour remonter jusqu'à eux. Interpelés le 30 mai dernier, ils ont reconnu les faits avant d'être déférés devant le parquet de Chambéry. Ils encourent jusqu'à cinq années d'emprisonnement. (...)
(31/05/2007 16:04:14)La Cnil lance la phase d'essai du dossier pharmaceutique en ligne
Alors que le dossier médical personnel devrait voir le jour en 2008, la Cnil vient d'autoriser l'ordre des pharmaciens à expérimenter pendant six mois le dossier pharmaceutique. A l'instar du DMP, le projet ayant reçu le feu vert de l'autorité administrative indépendante consiste en un partage d'informations en ligne. En l'espèce, il consiste à permettre aux pharmaciens d'échanger des données relatives à la délivrance de médicaments, afin d'éviter des interactions malheureuses. Les officines de six départements participeront à l'expérimentation : Doubs, Meurthe-et-Moselle, Nièvre, Pas-de-Calais, Rhône et Seine-Maritime. Au-delà de la finalité pratique du dossier pharmaceutique, la phase de test servira essentiellement à juger du bon fonctionnement technique des plateformes mises en place - par un prestataire privé, dont l'identité n'a pas été communiquée - et à jauger l'accueil fait à l'outil par les pharmaciens et les patients. La Cnil - qui a récemment soulevé des problèmes de sécurité relatifs au DMP - entend entourer le dossier pharmaceutique de multiples précautions. En premier lieu, le patient aura le choix d'ouvrir, ou non, un dossier. Une décision qui ne fera peser aucune conséquence sur les remboursements ultérieurs. De même, le titulaire d'un dossier pourra choisir, à tout moment, de le supprimer. Si les pharmaciens seront les seuls à être habilités à alimenter les dossiers (via leur carte professionnelle et la carte Vitale du patient), ce dernier aura l'opportunité de consulter les informations qui le concernent dans n'importe quelle officine. Il aura aussi le loisir de refuser l'inscription d'une donnée dans son dossier. Enfin, la Cnil insiste pour que les dossiers pharmaceutiques détenus par l'hébergeur soient cryptés. Le coût du projet est estimé à 20 M€, dont un cinquième sera à la charge des pharmaciens. A terme, les données contenues dans le dossier pharmaceutique devraient être versées au DMP. (...)
(30/05/2007 15:46:49)Les services IT aiment fouiner dans les fichiers des utilisateurs
Les membres des services informatiques fouinent dans les fichiers et les emails des salariés, selon une étude explosive - Trust, Security and Passwords - réalisée par Cyber-Ark Software auprès de 200 professionnels de l'IT. Les responsables IT seraient ainsi un sur trois à user des privilèges administrateur pour fureter dans le système de leur société et y consulter des informations confidentielles ou privées. L'une des personnes interrogées, administrateur IT, demande sur le ton de la plaisanterie : « ne feriez-vous pas de même si vous disposiez d'un accès secret à tout ce qui est à portée de main ? » Et l'espionnite ne s'arrêterait pas une fois franchies les portes de l'entreprise : un tiers des sondés indiquent qu'ils pourraient poursuivre leurs agissements coupables après avoir quitté leur emploi, sans que personne ne puisse les en empêcher. Si les responsables IT ne donnent pas l'exemple en matière de confidentialité, ils ne le font pas davantage en ce qui concerne la sécurité. Ils sont en effet 50% à reconnaître qu'ils notent les mots de passe de leurs comptes administrateurs sur de simples Post-it, et 18% sur des tableaux Excel. Et, pour 7% des entreprises, ces précieux sésames ne changent jamais. Pire, 8% des responsables IT conservent les mots de passe prévus par défaut par les constructeurs. De fait, il devient facile pour une personne malintentionnée de s'immiscer dans un système. C'est ce que confirme le hacker Gary McKinnon, qui indique que « le moyen le plus simple est de chercher les mots de passe restés vierges, puis d'essayer les sésames par défaut des constructeurs ou simplement des noms qui semblent évidents. Une fois que vous avez trouvé, ce qui est incroyablement simple, vous avez le contrôle du système informatique. » (...)
| < Les 10 documents précédents | Les 10 documents suivants > |