Flux RSS
Données personnelles
643 documents trouvés, affichage des résultats 61 à 70.
| < Les 10 documents précédents | Les 10 documents suivants > |
(27/12/2011 12:22:37)
Entretien Jean-Henry Morin : "Sécurité, il faut augmenter la flexibilité du système"
Professeur à l'Université de Genève, Jean-Henry Morin s'intéresse aux manières de concilier sécurité et productivité au niveau de l'informatique d'entreprise. En entretien avec nos confrères d'ICTJournal.ch, il explique son idée d'un système de permis d'accès provisoire basé sur la confiance et sur la responsabilisation des collaborateurs.
Rodolphe Keller : Il est de plus en plus question des menaces sur la sécurité des informations dues aux négligences des utilisateurs. Que pensez-vous de cette préoccupation ?
Jean-Henry Morin : Je pense qu'il y a pas mal de mauvaises conceptions autour de l'utilisateur et on l'entend régulièrement de la bouche des consultants pour lesquels l'utilisateur est un problème, alors que pour moi, l'utilisateur fait partie de la solution. Je pense que c'est la seule approche viable dès lors que l'on accepte qu'il n'y an'existe pas de sécurité absolue, ce que l'on doit accepter. Partant de là, il y aura toujours un moyen d'éviter les dispositifs de sécurité: la sécurité ne s'attaque pas, elle se contourne - c'est naturel et c'est humain. Vous pouvez ériger de grandes forteresses, il est toujours possible de les contourner, ne serait-ce que par l'attaque analogique, ou alors il faudrait supprimer l'humain, ce qui n'est pas envisageable. C'est le point de départ de mes travaux: partir de l'hypothèse que l'être humain joue un rôle central dans le système et qu'il faut donc le mettre de son côté.
Il s'agit donc de les sensibiliser aux dangers qu'ils courent et font courir ?
La sensibilisation est un aspect extrêmement important et je ne suis pas sûr qu'il soit assez développé. Beaucoup de personnes font au quotidien des choses sans se rendre compte de leur impact sur la sécurité de l'entreprise. La sensibilisation est une première étape, la seconde étant la conscientisation. Il s'agit de mener le collaborateur vers une forme de responsabilisation ou tout au moins de valorisation de cette responsabilité de l'individu dans son milieu. Si l'on engage un collaborateur dans une fonction, il y a a à priori un rapport de confiance entre l'employeur et l'employé, quand bien même des exemples récents montrent qu'il est difficile d'établir ce rapport personnel avec chaque employé dans une très grande entreprise. Certes, le contrôle fait partie intégrante du management et de la gestion des infrastructures techniques, néanmoins cette question de confiance est capitale et on aurait beaucoup à gagner à la favoriser.
Peut-on exiger de tout collaborateur qu'il comprenne les enjeux de ses pratiques, qui peuvent être éminemment complexes comme dans le domaine de la conformité ?
Non, mais on peut l'exiger à l'échelle de sa capacité et de sa fonction. Il existe des études qui montrent qu'une personne sur deux est amenée quotidiennement à contourner les politiques de sécurité, tout simplement parce qu'elles l'empêchent de faire son travail. Bien sûr qu'on ne peut pas demander à tout le monde d'être certifié en sécurité à tous les niveaux, mais chacun doit et peut comprendre les raisons et les enjeux immédiats des contraintes qu'on lui impose. C'est à cela qu'il faut travailler et cela permettrait de faire un grand pas. La situation actuelle a des effets néfastes en termes de qualité de travail, pour l'employeur parce que des pratiques ont lieu à son insu et pour l'employé qui se met en défaut et fait courir un risque à lui-même et, éventuellement, à la société. C'est précisément la thèse que je défends: qui mieux qu'un individu, dans sa capacité et fonction, rendu responsable et conscient, est à même de dire ici et maintenant: «je dois absolument accéder à cette ressource pour mon travail; j'en prends la responsabilité.»
ICTJournal.ch
[[page]]
Comment peut-on mettre en oeuvre cette approche dans la pratique ?
Les méthodes traditionnelles empêchent de le faire parce qu'elles partent toutes de l'hypothèse de la non confiance. Elles fonctionnent par ailleurs de façon binaire, de sorte que si l'on ne remplit pas toutes les conditions requises, la réponse est fatalement non, il y a déni d'accès à la ressource. Or, en même temps, les entreprises ont de grands besoins d'agilité et elles doivent pouvoir réagir vite à des situations non anticipées, ce qui est souvent impossible au niveau des systèmes. La seule approche valable est donc à mon avis de donner la possibilité aux utilisateurs de dire pourquoi ils ont besoin d'accéder à une ressource, de laisser un crédentiel permettant de les auditer et d'obtenir l'accès à cette ressource pour un temps limité. Cette solution a deux avantages: d'une part l'utilisateur sent qu'il n'est pas en faute et il engage sa responsabilité; d'autre part, l'employeur est dans une situation très confortable du point de vue de la gestion des risques puisqu'il peut identifier ces situations. En tant que responsable de la sécurité de l'information dans une organisation, vous pouvez très bien mettre en place un tableau de bord basé sur ce modèle qui vous indique en temps réel la variation des demandes de situations exceptionnelles.
Faut-il à votre avis aller jusqu'à supprimer toutes les barrières absolues érigées dans le passé ?
Non, il ne s'agit pas tomber dans une confiance aveugle. Il faut conserver les solutions de gestion de risque et de sécurité en place qui fonctionnent bien aujourd'hui. Par contre, il faut augmenter la flexibilité du système. Lorsque l'on travaille pour une entreprise, on reçoit déjà plusieurs crédentiels, pour accéder par exemple à l'e-mail ou à l'ERP. Je propose simplement d'en ajouter un, une sorte de «bouton magique» ou de permis provisoire, qui permet au collaborateur d'engager sa responsabilité pour accéder à une ressource qui lui est interdite. Pour autant bien sûr qu'il ne s'agisse pas d'une ressource véritablement sensible. Entre le paradigme de la confiance aveugle et celui de la paranoïa, je propose une logique de confiance éclairée. On parle en anglais d'empowerment des individus. On ne délègue pas le risque qui reste au niveau de l'organisation, mais on délègue une capacité décisionnelle, que les systèmes ne sont pas à même d'assumer.
HP, IBM et Microsoft trop lents à corriger les failles Zero-Day
Selon le programme Zero-Day Initiative (ZDI) mis en place par HP TippingPoint, IBM, Hewlett-Packard (HP) et Microsoft figurent en tête de la liste des entreprises qui n'ont pas pris la peine de corriger les vulnérabilités présentes dans leurs produits et notifiées il y a six mois par le plus grand collecteur et chasseur de bugs au niveau mondial. En 2011, TippingPoint - une division de HP - avait publié 29 avis « zero-day » fournissant des informations sur les vulnérabilités signalées aux fournisseurs de logiciels concernés et laissées en souffrance six mois et plus. 10 des 29 bugs signalés concernaient des produits IBM, 6 des logiciels de HP et 5 des produits de Microsoft. D'autres entreprises comme CA, Cisco et EMC figurent aussi sur cette liste des éditeurs retardataires.
TippingPoint, peut être plus connu comme sponsor du concours annuel de piratage Pwn2Own, achète les vulnérabilités découvertes par des chercheurs indépendants spécialisés dans la sécurité, qu'il rétrocède ensuite aux éditeurs et les utilise aussi pour élaborer des parades pour ses propres dispositifs de sécurité. Depuis mi-2010, TippingPoint a décidé que, si un vendeur ne corrigeait pas la vulnérabilité signalée dans les six mois suivant sa notification, il la rendrait publique sous forme d'avis comportant « des détails limités » sur le bogue.
Un ultimatum de 6 mois bénéfique ?
Le 7 février 2011, TippingPoint publiait son premier avis Zero-Day. TippingPoint avait expliqué alors que ce délai de six mois devait inciter les développeurs de logiciels à livrer leurs correctifs plus rapidement. « L'ultimatum lié à la communication publique de certaines informations sert à faire pression sur les vendeurs, » avait déclaré à l'époque dans une interview Aaron Portnoy, le chef de l'équipe de chercheurs de TippingPoint.
A ce jour, de l'avis d'Aaron Portnoy et de Derek Brown, autre chercheur de ZDI, le programme a plus ou moins bien fonctionné. « Ce qui ressort de cette expérience, c'est que nous avons constaté une plus grande réactivité, » a déclaré Derek Brown. « Si les éditeurs ne se montrent pas suffisamment diligents, et si, après avoir travaillé avec eux, il apparaît qu'ils ne sont pas très motivés pour sortir un correctif, nous rendons l'information Zero-Day publique. » Selon le chef de l'équipe, « il ne s'agit pas seulement de l'impact réel des vulnérabilités en terme de sécurité, mais de l'impact sur le public. »
[[page]]
Selon les chercheurs, ces modalités « mettent la pression sur l'éditeur et devraient l'inciter à corriger son produit, parce qu'un logiciel avec des vulnérabilités non corrigées change la perception de la sécurité du produit. » Mais il y a eu de belles réussites, comme l'a fait remarquer Aaron Portnoy. « Certaines équipes de sécurité nous ont remercié d'avoir rendu public un avis « Zero-Day» sur un de leurs produits, » a déclaré le chercheur. « Ils ont pu ensuite faire valoir auprès de l'éditeur qu'ils avaient besoin de davantage de ressources. »
Une orientation vers les systèmes SCADA privilégiée
Sur les 5 vulnérabilités divulguées le 7 février 2011 par ZDI concernant Office, Microsoft les a toutes corrigées dans les bulletins MS11-021, MS11-022 et MS11-023 livrés en avril 2011. ZDI avait communiqué ces vulnérabilités à Microsoft en trois fois, exactement le 30 juin, le 20 juillet et le 25 août 2010. De leurs côtés, IBM et HP n'ont jamais corrigé les 16 vulnérabilités, dont certaines rapportées par ZDI il y a deux, voire même trois ans, grâce au programme de primes et de collecte de bugs. Selon Aaron Portnoy et Derek Brown, la limite des six mois avant la divulgation des Zero-Days a fait de 2011 une année record. « Jusqu'à présent, en 2011, le vivier de chercheurs indépendants de TippingPoint a généré 350 rapports de vulnérabilité, en hausse de 16% par rapport aux 301 rapports émis en 2010, » a déclaré Derek Brown. « L'ultimatum de six mois a contribué à cette accroissement du nombre d'avis, » a ajouté M. Brown. « Parmi les bogues achetés cette année, nous avons remarqué une tendance intéressante avec beaucoup de vulnérabilités dans les systèmes de contrôle industriel SCADA ou «Supervisory Control and Data Acquisition» qui arrivent en tête de liste, » a déclaré ZDI.
Le programme a acquis six vulnérabilités SCADA en 2011, affectant un logiciel développé par General Electric, Honeywell et InduSoft. « Nous avons récolté quelques très sérieux bogues SCADA, » a déclaré Derek Brown. « Et jusqu'à présent, notre collaboration avec les éditeurs a été très productive. » ZDI n'a publié aucun avis Zero-Day pour les bugs SCADA collectés par le programme, et Aaron Portnoy a indiqué que TippingPoint n'a pas l'intention de rendre cette information publique dans le cas où le correctif tarderait à venir. Selon les chercheurs, l'intérêt pour les vulnérabilités SCADA date de l'an dernier, avec la découverte du ver Stuxnet, qui, d'après la plupart des experts, aurait été conçu pour saboter le programme nucléaire iranien et les installations chargées de l'enrichissement de l'uranium. Le ver serait parvenu à endommager les centrifugeuses d'une ou plusieurs installations. TippingPoint travaille avec l'ICS-CERT (Industrial Control Systems Cyber Emergency Response Team), une extension de l'US-CERT, elle-même rattachée au Département de la Sécurité Intérieur américain, afin de coordonner les informations qui remontent sur SCADA.
Dans une autre communication, Aaron Portnoy a confirmé que TippingPoint et ZDI seraient de nouveau les sponsors du concours de piratage Pwn2Own piratage prévu début mars 2012 au CanSecWest de Vancouver, Colombie-Britannique. Le chercheur et chef d'équipe a déclaré que ZDI va « monter la barre des enjeux » du concours en modifiant à la fois le mode de fonctionnement de la compétition et la valeur des prix attribués. Celui-ci a refusé d'en dire plus sur Pwn2Own 2012, mais a promis de fournir davantage d'informations aux chercheurs en début d'année prochaine.
Elections 2012 : l'usage des fichiers nominatifs surveillé par la CNIL
Les campagnes électorales de préparation de la présidentielle en 2007 avaient été marquées par un certain nombre de questions sur les usages des fichiers nominatifs par les partis politiques, notamment autour du fameux Sarkospam, jamais sanctionné. Alors qu'Internet et, d'une manière générale, les TIC sont de plus en plus utilisées par les partis politiques, la CNIL (Commission Nationale Informatique et Liberté) prend cette fois les devants pour les campagnes électorales de 2012. L'autorité administrative indépendante a récemment publié au Journal Officiel ses recommandations « sur la mise en oeuvre par les partis ou groupements à caractère politique, élus ou candidats à des fonctions électives de fichiers dans le cadre de leurs activités politiques ».
Eviter un nouveau Sarkospam
Le scandale du Sarkospam avait consisté, en 2006, en un envoi par l'UMP de mails de promotion du candidat Nicolas Sarkozy auprès d'un très grand nombre d'internautes. Les destinataires n'avaient jamais (dans leur grande majorité) donné leur consentement à la réception de propagande électorale de la part de l'UMP (ou d'un autre parti du reste). Et pour cause : les fichiers avaient été achetés un peu partout (programmes de fidélisation commerciale...), parfois sans les précautions nécessaires auprès de loueurs de fichiers peu scrupuleux, certains ayant été déjà condamnés pour leurs pratiques illégales. Les réactions avaient été nombreuses et violentes. La CNIL les résume dans les attendus de sa recommandation : « La prospection politique, tout particulièrement, est souvent vécue de manière très intrusive par les personnes concernées, comme en témoignent les nombreuses plaintes instruites par la commission en ce domaine ».
Des bases juridiques limitées
Cet écart de l'UMP n'a jamais été sanctionné mais la CNIL, à l'époque, avait veillé à réunir tous les partis politiques pour éviter de futures dérives en fixant formellement quelques règles du jeu. Il est vrai que les partis politiques ne sont pas concernés par une réglementation précise issue de la Loi sur la Confiance dans l'Economie Numérique (LCEN)... destinée aux seules entreprises effectuant du démarchage commercial ! Du coup, seules les règles très générales de la Loi Informatique et Liberté de 1978 modifiée en 2004 s'appliquent, avec ses décrets d'application. L'UMP avait tiré prétexte de ce semblant de vide juridique pour se justifier. A la même époque, d'autres mouvements politiques avaient également usé massivement de propagande électorale électronique mais en veillant à ne pas acheter ou louer de fichiers de tiers, en dehors du fichier des listes électorales dont l'usage est très encadré.
[[page]]
La recommandation de la CNIL s'appuie donc sur la Loi Informatique et Liberté, sur les décrets d'application, sur le Code Electoral et sur sa propre jurisprudence. Elle remplace la délibération n° 2006-228 du 5 octobre 2006, adoptée à l'issue de la concertation avec les partis politiques en 2006.
Un rappel de principes malmenés
Ainsi, les fichiers employés doivent être issus d'une collecte respectant « licéité et loyauté ». Finis, donc, les fichiers achetés à l'arrière du camion comme lors du Sarkospam. Les « parrainages » sont également strictement encadrés, cette notion permettant d'inclure discrètement un grand nombre d'individus dans les fichiers. De la même manière, le respect des finalités d'un fichier est un impératif : il n'est pas plus possible, par exemple, de mélanger les caisses d'un candidat et de son entreprise que les fichiers professionnels et électoraux. Sans que cela soit explicitement dit, la recommandation condamne par avance tout détournement de fichiers municipaux ou de collectivités locales, administratifs, pour des usages partisans par un parti politique.
Si les partis politiques ont, par nature, à traiter des données relatives aux opinions politiques (particulièrement sensibles), ils ont l'obligation de prendre des précautions à la hauteur de la sensibilité des données. La CNIL insiste lourdement sur, par exemple, la non-divulgation d'informations sensibles, notamment auprès d'intermédiaires techniques comme des routeurs ou des achemineurs (La Poste...). De la même façon, la sécurité des fichiers -obligation générale- doit être examinée de manière particulièrement sévère dans le cas des mouvements politiques à cause de la sensibilité des données traitées.
(...)(16/12/2011 15:50:07)
Microsoft rend Office 365 compatible avec le Patriot Act et les exigences européennes
Microsoft veut rassurer les futurs clients de ses offres de collaboration et de communication en ligne sur leur compatibilité avec les différents cadres réglementaires, européens ou américains. L'éditeur a pris certaines mesures dans ce sens. Quand un prestataire vend une solution Office 365 en Europe, Microsoft devra signer des « clauses types » développées par l'Union européenne, qui établissent des garanties et des procédures pour protéger les données lorsqu'elles sont transférées hors de l'UE. Dans les pays européens qui ont des exigences supplémentaires, la firme de Redmond va inclure ce qu'elle appelle « un accord sur le traitement des données » qui va au-delà des règles inscrites au sein des directives sur la protection des données.
Aux États-Unis, pour les contrats avec les sociétés relatives à la santé qui doivent se conformer au Health Insurance Portability and Accountability Act (HIPAA), Microsoft va inclure un Business Associate Agreement (BAA) émis par le ministère de la santé américaine pour garantir la protection des données des patients. Stephen McGibbons, CTO de Microsoft pour la région EMEA a déclaré « nous voulons aider les clients à avoir confiance et se sentir en sécurité dans le cloud, en respectant les obligations du HIPAA ou des directives européennes sur la protection des données ». Si les entreprises sont séduites par les applications en mode hébergé, celles gravitant autour de la santé ou de la finance et qui sont fortement réglementées, hésitent à adopter ces logiciels qui ne se conforment pas aux cadres réglementaires.
L'éditeur a également relancé Office 365 Trust Center, un site web donnant des informations sur la confidentialité des produits et les différentes politiques de sécurité. Il a été rénové pour être plus facile d'accès.
(...)
Les services d'iBahn ont-ils été compromis par des pirates ?
iBahn, leader mondial des services Internet haut débit pour le secteur de l'hôtellerie, qui dessert 3 000 établissements dans le monde, a démenti l'information selon laquelle son réseau aurait été compromis par des pirates. Citant des sources anonymes, dont un responsable du renseignement américain, Bloomberg affirme qu'un groupe de pirates très aguerris, basés en Chine, et qui fait l'objet d'une enquête du département de la Défense Américain dans le cadre du programme « Byzantine Foothold », aurait attaqué iBahn. Le piratage supposé « pourrait avoir permis aux pirates d'accéder à des millions d'emails confidentiels, dont certains mails cryptés, » de cadres ayant séjourné dans les hôtels du réseau iBahn, selon Bloomberg.
Cette information a été incluse dans un papier consacré à l'intensification des actions de hackers basés en Chine pour s'infiltrer dans les systèmes informatiques de sociétés américaines pour voler des informations confidentielles. Dans une déclaration écrite, le réseau iBahn a indiqué qu'il avait pris connaissance de cette infiltration dans l'article de Bloomberg, mais qu'il n'avait « pas trouvé la preuve que son réseau avait été compromis. « iBahn prend la sécurité et la protection des informations de ses clients très au sérieux. Le réseau fournit à ses clients le meilleur niveau de sécurité possible, et effectue une surveillance permanente pour parer à toute tentative de piratage, » a indiqué l'entreprise. « De fait, nous rassemblons actuellement toutes les informations pertinentes à propos de cette affaire et nous informerons nos clients au fur et à mesure de notre investigation. »
Un service indispensable dans bon nombre d'hôtels
iBahn fournit à ses clients - des chaînes hôtelières - un accès Internet haut débit WiFi et filaire, la télévision par IP et des services de vidéoconférence. « L'intérêt d'attaquer un réseau comme iBahn, permettrait aux pirates de cibler les cadres qui utilisent leurs services au cours de leur déplacement, » a déclaré Rik Ferguson, directeur de recherche sur la sécurité et la communication chez Trend Micro Europe. Potentiellement, les salariés en déplacement sont des cadres de haut niveau susceptibles d'avoir « accès à des informations confidentielles, » a déclaré le spécialiste en sécurité informatique. Cependant, dans le cas où les pirates auraient réussi à voir le trafic transitant par le réseau d'iBahn, les entreprises ont souvent pour habitude d'utiliser les services d'un réseau privé virtuel (VPN) pour crypter le trafic entre leurs ordinateurs et le réseau interne de l'entreprise. Sans les clefs numériques nécessaires pour décrypter le trafic, celui-ci reste opaque et sans utilité pour les pirates.
D'après les informations publiées sur son site internet, iBahn a mis en place un programme de certification pour s'assurer que les logiciels VPN sont compatibles avec son réseau. Plus de la moitié des personnes qui voyagent pour affaires utilisent des VPN, et iBahn a certifié plus de 500 réseaux d'entreprise. Ces services VPN sont utilisés par des sociétés et des entreprises publiques. Reste que, « si les pirates avaient réussi à s'introduire à l'intérieur du réseau d'iBahn, ils avaient à leur disposition quelques solutions pour compromettre les ordinateurs des cadres itinérants, » estiment les experts. « Par exemple, ils auraient pu créer une fausse page de connexion pour accéder au réseau Ethernet de l'hôtel, » a déclaré Roel Schouwenberg, chercheur auprès du vendeur de solutions de sécurité Kaspersky Lab. « Cette page de log-in aurait pu être trafiquée pour mener une attaque de type « drive-by download ». Celle-ci consiste à lancer depuis la page web plusieurs attaques pour trouver une vulnérabilité dans le navigateur web de l'ordinateur ou un autre logiciel, » explique le chercheur de Kaspersky. Si le navigateur Internet de l'ordinateur n'est pas à jour, il peut être infecté par des logiciels malveillants.
La seule protection : passer par un VPN
L'ordinateur infecté comporte un risque à action différée. « De retour dans l'entreprise, le cadre introduit à son insu un bout de code difficile à détecter immédiatement, qui fournit aux pirates le point d'entrée nécessaire à l'intérieur du réseau de l'entreprise. Ils peuvent alors commencer à infecter les machines, » a déclaré Wolfgang Kandek, CTO de Qualys. La capacité de nuisance de ces attaques n'est pas réservée aux réseaux Ethernet [sans fil ou filaire] des hôtels. Ce risque existe avec tout type de réseaux utilisés à l'extérieur de l'entreprise, que ce soit dans un aéroport ou dans un web café. Le meilleur conseil est de toujours utiliser un VPN, et si possible, pour un site web, une connexion cryptée SSL (Secure Sockets Layer). Certes il existe des attaques évoluées contre les liaisons SSL, y compris du fait de l'émission possible de certificats numériques frauduleux. Mais le réseau privé virtuel reste une bonne pratique en matière de sécurité. « Le VPN est la meilleure protection possible, » a même estimé Roel Schouwenberg.
(...)(13/12/2011 16:25:47)Selon la Cnil, les mobiles ne sont pas assez sécurisés
L'étude de Médiamétrie "Smartphone et vie privée" réalisée pour le compte de la Cnil montre que 89% des utilisateurs de terminaux mobiles conservent sur leur appareil des données de contact, 86% des données multimédias, 40% des données à caractère secret (codes divers, coordonnées bancaires, informations médicales, etc.). Ils sont aussi très intéressés par de nouveaux services comme pouvoir stocker leurs cartes de fidélité sur leur mobile (51%) ou même des données médicales (46%). Ils sont aussi 38% à être déjà attirés par la technologie de paiement sans contact (qui concerne les terminaux équipés d'une puce NFC).
Malgré tous ces usages, ils sont majoritairement conscients (65%) que les données contenues dans leur téléphone ne sont pas bien protégées. Ils sont encore 30% à n'avoir aucun code de protection actif sur leur téléphone. Beaucoup pensent, à tort, qu'il n'est pas possible d'installer un antivirus sur son smartphone, alors que pourtant 20% des terminaux tournant sous Android en sont équipés. Autre signe de laxisme, 71% des personnes qui téléchargent des applications ne lisent jamais leurs conditions d'utilisation.
Les jeunes plus sensibles aux questions de sécurité
Ce sont au final les plus jeunes (15-17 ans) qui se révèlent aussi les plus prudents. Ils sont 82% à considérer qu'il est gênant d'enregistrer ses codes secrets (contre 76% en moyenne). Dans cette tranche d'âge, ils sont 37% à utiliser un code de verrouillage spécifique (contre 31% en moyenne). Enfin, 30% personnalisent l'accès aux informations qu'ils publient sur les réseaux sociaux selon leur type de contacts (contre 19% en moyenne).
En France, les utilisateurs de smartphones sont en majorité des hommes (59%), urbains (42%) utilisant un appareil fonctionnant sous Android (33%). D'autre part, sept personnes sur dix n'éteignent jamais leur smartphone. Cette enquête a été réalisée en ligne en novembre 2011 auprès de 2 315 utilisateurs de smartphones âgés de 15 ans et plus.
Pour consulter l'étude de la Cnil : www.cnil.fr/la-cnil/actualite/article/article/smartphone-et-vie-privee-un-ami-qui-vous-veut-du-bien/?tx_ttnews%5BbackPid%5D=2&cHash=aea48e3e9df859117d05f7cd9934d8c3
Recap IT : Forces et faiblesses du cloud, Apple donneur de leçons, Microsoft s'attaque à Duqu
En période de crise, les acteurs IT misent beaucoup sur le développement du cloud, qui sera une des tendances de l'année 2012. On ne s'étonnera donc pas cette semaine d'une forte actualité sur ce sujet. SAP a ainsi annoncé l'acquisition de SuccesFactor pour propager ses offres SaaS. De son côté Cisco a présenté l'unification de ses plateformes cloud avec CloudServe. Certains DSI avertissent néanmoins leurs confrères : « attention aux coûts cachés du cloud ». En périphérie, une étude montre que les erreurs de programmation ont un coût et que réparer du code Java coûte plus cher que des lignes en Cobol. Des inquiétudes peuvent également naître à partir d'un simple reboot pour des mises à jour sur les serveurs d'un fournisseur de service comme Amazon. Un cadre réglementaire stricte peut être aussi un handicap pour les fournisseurs de services clouds. Les entreprises américaines sont pénalisées par le Patriot Act. Enfin, l'offre de formation sur les sujets relatifs au cloud est faible. Centrale Paris et Global Knowledge ont lancé une première formation certifiante sur le sujet.
Apple donneur de leçons et Google inaugure son Googleplex
En matière de mobilité, Apple a donné une leçon de design et d'arrogance à Samsung pour éviter que le coréen ne réplique ses produits. RIM a provisionné 485 millions de dollars suite aux méventes de sa tablette Playbook. Cette dernière a d'ailleurs été jailbreakée et le constructeur a été obligé d'émettre un correctif en urgence. Le nombre de coeurs pour les puces à destination des tablettes n'en finit pas d'augmenter. Qualcomm a présenté une puce 4 coeurs, laissant les analystes dubitatifs sur l'utilité d'une telle frénésie de performance. Google est toujours sous les feux de l'actualité avec les perspectives d'Android pour 2012 avec l'intégration des commandes vocales. Par ailleurs, la firme de Moutain View a inauguré son Googleplex, situé en plein Paris, par Nicolas Sarkozy et Eric Schmidt.
Acquisitions et failles Zero-Day
Sur le plan business, IBM a fait quelques emplettes dans le domaine des smart cities (Curam Software) et du e-commerce (DemandTec). Big Blue voit sa collaboration avec la SNCF se terminer sur le projet Ulysse, alors qu'une cour d'Appel lui donne raison dans son litige avec la MAIF et efface son amende de 11 millions d'euros. Facebook a racheté Gowala pour se renforcer dans les services de géo-localisation. Enfin, Dell avoue lorgner sur une SSII en Europe pour se renforcer dans les services.
Petite semaine en matière de sécurité où l'affaire Carrier IQ, l'espion des smartphones, s'est déplacée sur le terrain judiciaire avec plusieurs plaintes aux Etats-Unis et des enquêtes en Allemagne et Hongrie. Adobe reste vulnérable sur ses logiciels avec plusieurs failles de type zero-day découvertes. Enfin, selon les spécialistes, le Patch Tuesday de Microsoft devrait colmater les failles relatives à Duqu et BEAST.
Pour protéger ses PC contre le vol, la SNCF mise sur Computrace
Confronté à des problèmes de vols d'ordinateurs, le technicentre cherchait une solution pour les protéger de façon inviolable. Après des tests en 2008, le centre industriel a décidé de déployer la solution Computrace d'Absolute Software au fur et à mesure du renouvellement du parc informatique. Le déploiement en est aujourd'hui à environ 150 postes.
La solution a été choisie d'une part à cause de ses capacités à faciliter le repérage et la récupération des matériels volés ainsi que la destruction à distance des données présentes, d'autre part à cause de sa résistance à l'éradication. En effet, la solution d'Absolute Software réside partiellement dans la mémoire du BIOS des machines et résiste donc au reformatage du disque dur. En cas de vol, les techniciens d'Absolute Software peuvent intervenir et bloquer à distance le fonctionnement de la machine. Le coût du projet n'a pas été dévoilé. Le ROI est surtout lié à la baisse des vols de matériels, la solution étant disssuasive.
Affaire Carrier IQ : Plaintes déposées et la FTC saisie pour enquête (MAJ)
En fin de semaine dernière, un chercheur en sécurité, Trevor Eckhart, a expliqué que le logiciel développé par Carrier IQ et installé sur les terminaux par les fabricants et les opérateurs enregistrerait des données à l'insu de l'utilisateur, comme des frappes au clavier et l'historique de navigation Internet. Grâce à un changement de code, ce programme peut devenir un logiciel espion redoutable. De son côté, l'éditeur Carrier IQ a commencé par nier les allégations du chercheur en sécurité et affirmé que sa technologie est utilisée uniquement à des fins de diagnostic pour améliorer les performances du terminal et la qualité du réseau. Cependant, une vidéo postée par Trevor Eckhart semble montrer que le logiciel enregistre les frappes des touches.
Après l'émoi suscité par cette affaire, un élu démocrate du Massachusetts, Edward Markey, a envoyé une lettre à la FTC pour lui demander d'enquêter sur Carrier IQ. « J'ai de sérieuses inquiétudes au sujet du logiciel Carrier IQ, notamment s'il a secrètement recueilli des données personnelles, tels que le contenu des messages texte, » a-t-il déclaré dans un communiqué. La FTC est chargée de protéger les gens contre les « actes ou pratiques injustes et trompeuses ». La commission fédérale ne s'est pas exprimée sur la suite accordée à cette demande.
Outre la demande d'enquête, deux plaintes en class action (recours collectif) ont été déposées dans l'Illinois pour infraction à une loi sur les écoutes téléphoniques. Les plaintes concernent les opérateurs, mais également les constructeurs de terminaux mobiles comme Samsung et HTC. Les plaignants réclament plusieurs millions de dollars de dédommagement. Une autre action judiciaire a été déposée en Californie.
NB: L'Europe commence aussi à s'intéresser à Carrier IQ. En Allemagne, le régulateur bavarois des données privées a envoyé une lettre à Apple pour connaître son implication dans l'utilisation de Carrier IQ. La réponse intéressera aussi l'Information Commissioner's Office (ICO) britannique (équivalent de la CNIL) et le BEUC (le bureau européens des usagers et des consommateurs).
(...)
| < Les 10 documents précédents | Les 10 documents suivants > |