Flux RSS

Inscrivez-vous

Les fraudes par carte bancaire progressent sur Internet

En 2010, 33 905 infractions de délinquance dite "astucieuse" réalisée sur internet ont été identifiées par l'Observatoire national de la délinquance et des réponses pénales (ONDRP). D'après le rapport annuel de l'instance, plus de 80% de ces cas sont des escroqueries et des abus de confiance, "et le reste des falsifications et usages de cartes de crédit".

Les fraudes par carte de crédit sur la toile sont en effet particulièrement concernées. Les paiements à distance représentent 8,6% de la valeur des transactions nationales, mais concernent pourtant 62% du montant total des fraudes.  "Le taux de fraude sur les paiements internet continue notamment d'augmenter pour se rapprocher de son maximum historique de 2007", souligne le rapport.

Le projet Privicons sur la confidentialité des courriels s'adapte à Google Chrome et Gmail

Connaissez-vous le projet Privicons développé par des chercheurs européens et américains ?  Il s'agit d'un ensemble de six icônes accompagnées de courtes descriptions que l'utilisateur peut ajouter à ses emails afin d'expliquer au destinataire la façon de traiter un message ou son contenu. Chaque icône a une signification particulière et peut être intégrée au message sous forme graphique ou en code ASCII, deux formats appropriés pour les emails, qu'ils soient envoyés en HTML ou en texte seul. Les instructions accompagnant les icônes sont les suivantes : « non identifié (anonyme) », « privé », « usage interne seulement », « ne pas imprimer », « à partager s'il vous plaît » et « supprimer après lecture ou après un nombre de jours spécifié ». L'utilisation de telles icônes dans la communication électronique avait été proposée en novembre 2010, mais il a fallu un an pour concrétiser le projet.

La première implémentation se présente sous forme d'extension pour le navigateur Google Chrome et fonctionne avec Gmail. Mais les développeurs ont également prévu de distribuer dans un avenir proche un add-on pour Firefox qui offrira les mêmes fonctions. Une fois l'extension installée dans Chrome, l'option permettant d'ajouter des Privicons apparaît dans la fenêtre de composition des messages de Gmail. Le bouton se trouve normalement à côté de celui qui sert à ajouter des fichiers en pièce jointe, mais il ne semble pas encore présent dans le récent changement d'interface de Gmail en cours de déploiement par Google. Les icônes et les instructions correspondantes sont ajoutées sur des lignes séparées au début du message, et des liens permettent de trouver des informations supplémentaires sur la signification et l'usage des Privicons. La représentation ASCII figure également dans l'« Objet » du message.

S'en remettre à l'humain et non à la technique

A la différence d'autres projets visant à la protection de la vie privé dans les courriels, Privicons repose sur le choix des utilisateurs et non sur des systèmes de protection technique. Les gens qui soutiennent le projet croient fermement que, s'ils en ont la possibilité, la plupart des utilisateurs respecteront les instructions exprimées à travers ces icônes, car ils répondent à des normes sociales similaires.

En fait, le choix de l'utilisateur est tellement important pour le projet, que l'équipe a déposé auprès de l'Internet Engineering Task Force (IETF) une requête par laquelle ils demandent aux développeurs qui créent des clients de messagerie d'ajouter dans leurs produits l'option « ignorer Privicons », dans le cas où ils choisissent d'intégrer la norme. « Privicons défend le concept de normes basées sur un code, » comme l'ont expliqué les développeurs dans leur proposition. Ajoutant que « cette approche a été préférée à des solutions plus compliquées qui restreignent la capacité de s'exprimer. » Selon eux, « le courriel est un système ouvert. Il n'est pas possible de changer la manière dont les clients de messagerie fonctionnent, ni les protocoles utilisés. Mais il est possible de créer une conscience culturelle en introduisant un choix sur la confidentialité exprimée par l'expéditeur, » a déclaré Marc Alier, un conférencier sur l'histoire et l'éthique à l'Université Technologique de Barcelone, également impliqué dans le projet Privicons. « Cette prise de conscience culturelle peut provoquer un changement important en matière de comportement et pourrait amener à d'autres transformations, comme la généralisation du chiffrement ou le développement de clients de messagerie capables de respecter les Privicons, » a ajouté le conférencier.

Les spammeurs migrent vers les réseaux sociaux

Le fabricant de solutions de sécurité internet (pare-feux) Cyberoam a mené une étude sur les propriétaires de comptes compromis. Ce type d'attaque survient souvent après une connexion depuis un réseau WiFi public, en raison de l'utilisation d'un mot de passe trop simple ou après avoir cliqué sur un lien envoyé par un ami sur Facebook. Les chiffres sont éloquents : 23% des utilisateurs n'ont pris aucune mesure pour remédier à la situation, pensant qu'il s'agissait d'un incident isolé. Cette tendance s'est accentuée après le démantèlement au début de l'année par Microsoft du botnet Rustock, responsable de près du tiers du spam au niveau mondial.

Adopter une hygiène sécuritaire

Les responsables de Cyberoam incitent les utilisateurs à la plus grande prudence et à respecter des règles de bon sens lorsqu'ils se connectent à internet depuis un réseau public. Il est conseillé aux internautes d'utiliser un gestionnaire de mots de passe (qui en génère de nouveaux et les synchronisent), de ne pas cocher la case "Mémoriser le mot de passe" lorsque l'on se connecte à sa messagerie ou son compte Facebook et surtout de ne pas cliquer sur les liens accompagnés de phrases accrocheuses.

La Gendarmerie Nationale s'équipe pour inspecter les terminaux mobiles

La Gendarmerie Nationale possède des missions de police judiciaire sur la plus grande partie du territoire national. Dans ce cadre, elle se retrouve de plus en plus confrontée à des terminaux mobiles : téléphones, smartphones, terminaux GPS...

Pour aider les gendarmes dans les enquêtes criminelles, la Gendarmerie Nationale a décidé de s'équiper d'une solution permettant d'extraire des données logiques et physiques de la majorité des terminaux mobiles : contacts, historique des appels, vidéos, textes, photos... y compris les données effacées.

Le choix de l'UFED de Cellebrite

Après un an de tests, la maréchaussée a décidé de s'équiper d'UFED (Universal Forensic Extraction Device) de Cellebrite. Les détails du contrat n'ont pas été révélés. Plusieurs centaines d'appareils seront livrés.

Selon le constructeur, l'appareil est capable d'extraire les données de plus de 4000 modèles de terminaux mobiles sous iOS, Android, Blackberry, Symbian ou PalmOS. Il est également capable de récupérer des données effacées par l'utilisateur. L'extraction serait conforme aux exigences judiciaires en matière de preuve et pourrait être réalisée sur le lieu même d'un crime.

Reconnaissance faciale : l'Allemagne s'apprête à poursuivre Facebook

Contestant la fonctionnalité de reconnaissance faciale utilisée pour le marquage des photos sur le réseau social, l'autorité allemande chargée de la protection des données - Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit (HmbBfDI), basée à Hambourg, a entamé des procédures préliminaires en vue d'intenter une action en justice contre Facebook. L'autorité a décidé de mettre fin aux négociations engagées avec le géant des réseaux sociaux, estimant qu'elles étaient inutiles, « dans la mesure où Facebook refuse d'accorder aux utilisateurs un consentement rétroactif. » En Allemagne, les lois sur la protection des données obligent les entreprises à informer clairement les utilisateurs sur la manière dont leurs informations personnelles sont utilisées. L'autorité de Hambourg fait valoir que cela n'a pas été le pas le cas quand Facebook a commencé à utiliser la technologie de reconnaissance faciale pour marquer les photos et suggérer d'autres amis.

En guise de compromis, Facebook a proposé d'ajouter une case à cocher par laquelle les utilisateurs peuvent accepter les termes, les conditions et la manière dont sont utilisées ces données. Mais l'autorité de Hambourg estime que cette solution ne suffit pas à légitimer la collecte et l'usage des données biométriques. Par ailleurs, cette case ne serait disponible que pour les nouveaux utilisateurs, ce qui signifie que ceux qui ont déjà opté pour le service ne pourront pas donner leur consentement a posteriori. Pour Johannes Caspar, Commissaire de Hambourg chargé de la protection des données et de la liberté de l'information, « ces mois de pourparlers avec Facebook ont débouché sur des résultats décevants. » Quant à Maik Möller, le porte-parole du Hamburgischen Beauftragten für Datenschutz und Informationsfreiheit, il a indiqué que l'autorité avait été mandatée par les autres représentations allemandes pour prendre toute action nécessaire, et une procédure judiciaire va être engagée auprès du Tribunal Administratif de Hamburg. « Facebook s'expose à une amende pouvant aller jusqu'à 300 000 euros et à une ordonnance d'interdiction, » a-t-il précisé.

Facebook n'a pas convaincu

L'entreprise de Mark Zuckerberg n'est pas d'accord avec l'autorité allemande. Elle estime que l'action judiciaire est inutile, parce que sa fonctionnalité est conforme aux lois de l'Union Européenne sur la protection des données. « Nous avons donné une explication claire et une information complète à nos utilisateurs en matière de suggestions d'identification sur les photos et nous fournissons à ceux qui veulent désactiver cette fonction des outils très simples pour le faire. Nous avons suggéré plusieurs options pour rendre les utilisateurs encore plus attentifs à notre politique sur la vie privée et nous sommes déçus que l'Autorité de Hambourg ne les ait pas acceptés, » a indiqué l'entreprise dans un communiqué.

Reste cependant une question liée à la compétence du tribunal, puisque le siège européen de Facebook est basé en Irlande. Selon le Professeur Joseph Cannataci, expert-consultant pour le Conseil de l'Europe sur les questions de protection des données dans l'espace européen et coordinateur du projet de recherche « Consent » sur le consentement, financé par l'UE, bien que la Constitution allemande protège le droit de la personne et le concept d'autodétermination informationnelle selon lequel « c'est le pouvoir de l'individu de décider lui-même, sur la base du concept d'autodétermination, quand et dans quelle mesure toute information relevant de sa vie privée peut être communiquée à autrui », les lois fondamentales d'autres pays de l'UE pourraient ne pas aller dans le même sens. Le projet « Consent » se concentre sur les questions de sécurité de la vie privée en relation aux réseaux sociaux en ligne et au contenu généré par l'utilisateur.

Une directive européenne sur la protection des données à revoir

Or « la directive européenne de protection des données de 1995 ne prévoit pas explicitement le droit à l'autodétermination informationnelle, comme la Constitution allemande, » indique le Professeur Cannataci. Par ailleurs, la directive n'est pas transposée dans les législations des États membres de la même manière. Si bien que les différentes autorités européennes de protection des données ne peuvent pas prendre des mesures identiques à celle de l'Autorité allemande contre Facebook. « La Commission européenne ferait bien de lancer et mettre en oeuvre une réforme globale du régime de la protection des données», a déclaré Joseph Cannataci, se référant à l'annonce faite lundi par Viviane Reding, Vice-présidente de la Commission européenne, en charge de la justice, des droits fondamentaux et de la citoyenneté, et par Ilse Aigner, le Ministre fédéral allemand chargé de la protection des consommateurs. Leur proposition de loi pour réformer la directive européenne sur la protection des données sera déposée d'ici la fin janvier 2012.

Aux États-Unis, Facebook doit également faire face à des procédures judiciaires liées à des questions de protection de la vie privée. La Federal Trade Commission (FTC) pourrait accuser le réseau social de pratiques commerciales trompeuses. La FTC a enquêté sur Facebook suite à la publication, en décembre 2009, de détails concernant certains utilisateurs après des changements dans les paramétrages de confidentialité du réseau social. Pour mettre fin à cette procédure, Facebook serait sur le point d'accepter de revoir sa politique de gestion des données personnelles, et de se soumettre à un audit sur la vie privée chaque année.

Selon PWC, 4 bonnes pratiques améliorent vraiment la sécurité

61% des entreprises françaises ont connu un incident relatif à la sécurité informatique en 2011 selon une étude du cabinet PWC, contre 39% en 2010. Le niveau de confiance des entreprises dans leur sécurité passe en trois ans de 87% à 55%. Tous les domaines sont touchés par une croissance forte de l'insécurité : 20% estiment avoir subi des pertes financières (contre 15% en 2010 et 8% en 2008), 17% se plaignent de vol de propriété intellectuelle (6% en 2008) et 13% des atteintes à l'image (6% en 2008). La situation est plutôt meilleure en France que dans le reste du monde, ceci dit.



Selon le cabinet d'audit, quatre bonnes pratiques divisent par deux les risques observés. Mais seulement 13% des entreprises (11% en France) les appliquent toutes les quatre. Tout d'abord, il s'agit de définir une stratégie de sécurité de l'information au lieu d'une simple politique technique de sécurité informatique. La différence résulte surtout de la volonté d'utiliser la technologie au lieu de la subir.

La deuxième bonne pratique est liée à la mise en place de la stratégie : il s'agit pour les dirigeants d'être en relation directe avec les experts afin d'être informés autant des risques que des opportunités afin de prendre les bonnes décisions. Le rattachement de la sécurité au Top Management n'existe que dans 47% des cas. Ce point est jugé comme le plus critique par 25% des entreprises, juste après le manque de moyens budgétaires (27%). Les RSSI préfèrent citer le manque de compréhension et de vision par la direction des enjeux et l'excès de complexité des SI comme sources des problèmes (respectivement : 37% et 30%).

Bien entendu, la stratégie de sécurité doit être révisée régulièrement. Dans son troisième point, PWC préconise une revue annuelle afin de s'assurer que les risques du moment sont bien couverts. Enfin, mais ce dernier point devrait peut-être se situer en premier, il s'agit d'être en mesure d'identifier les incidents, leurs causes et leurs conséquences afin de prendre les décisions adéquates.

Sources externes d'incidents

La France considérait ses relations externes habituelles (par opposition à des pirates inconnus ou des collaborateurs) plutôt moins sévèrement que le reste du monde en 2009. La tendance s'est aujourd'hui inversée. Ainsi, les clients n'étaient identifiés en 2009 comme une source de menace que dans 6% des cas en France (contre 10% dans le monde), 5% pour partenaires et fournisseurs (8% dans le monde). En 2011, 17% des entreprises, autant en France que dans le monde, accusent les clients et 17% en France les partenaires et fournisseurs contre 15% dans le monde.

Le marché des services de sécurité informatique se joue de la crise selon Gartner

Le marché des services délivrés autour des produits de sécurité informatique ne connaît pas la crise et ne devrait pas la connaître avant quelques années. Selon le cabinet d'études Gartner, la fourniture de ce type de prestations devrait représenter un chiffre d'affaires mondial de 35,1 milliards de dollars cette année contre 31,1 milliards un an plus tôt. L'an prochain, les revenus du secteur devraient progresser de 9% et atteindre enfin 49,1 milliards de dollars en 2015. « Le marché des services de sécurité a évolué rapidement ces dernières années avec [...] des clients qui préfèrent souvent souscrire à des prestations. Cela leur permet de baisser leurs coûts d'exploitation pendant qu'ils consacrent leurs ressources à des problématiques de sécurité plus stratégiques », indique Lawrence Pingree, directeur de recherche chez Gartner.

La gestion des ressources IT : premier poste de dépenses en 2015

Parmi les différents services proposés, le développement et l'intégration est celui dont les revenus seront les plus importants, 11,3 milliards de dollars en l'occurrence. Un montant qui devrait atteindre 13,8 milliards de dollars en 2015. Arrivent en seconde position les services de conseil avec 9,6 milliards en 2011 (12,1 milliards en 2015). La gestion des ressources IT, le support logiciel ainsi que le support et la maintenance matériel devraient dégager quant à eux 8, 5 et 1 milliard de dollars de revenus cette année. A noter que la croissance du segment des services de gestion des ressources IT sera telle dans les années à venir que ses revenus devraient passer à près de 15 Md$ en 2015. A cette date, il s'agira du poste de dépense le plus important consacré par les entreprise aux services de sécurité IT.

Comme l'indique Gartner, c'est en Amérique du Nord que les fournisseurs de services de sécurité IT trouvent les plus importants débouchés. Outre-Atlantique, le chiffre d'affaires du secteur devrait en effet atteindre 14,6 Md$ en 2012 puis 19 Md$ en 2015. Pour l'Europe de l'Ouest, Gartner table sur des revenus de l'ordre de 12 Md$ l'an prochain et de 14,4 Md$ en 2015.

Dossier Sécurité : les nouvelles menaces à la porte des entreprises

La CIA surveillerait jusqu'à 5 millions de tweets par jour

Twitter et Facebook permettent à la CIA, l'agence centrale de renseignement américaine, de se faire une idée fiable, en temps réel, de l'opinion publique, au tempo de l'évolution des événements dans le monde. Selon l'Associated Press, la CIA suit jusqu'à 5 millions de tweets par jour déversés sur Twitter, Facebook et dans les blogs. La centrale du renseignement observe aussi d'autres réseaux sociaux depuis un immeuble ordinaire situé dans une zone industrielle de Virginie. Contacté au sujet de cet article par nos confrères de ComputerWorld, le porte-parole de la CIA n'a pour l'instant pas réagi.

Une équipe de la CIA composée d'une centaine de personnes environ, connues en interne comme les « bibliothécaires vengeurs », rassemble des informations en plusieurs langues pour établir une photographie en temps réel de l'état de l'opinion dans différentes régions du monde. L'analyse est « prisée au plus haut niveau de la Maison Blanche » et « les services de renseignement du Président en font un compte rendu presque quotidien, » indique l'AP, citant Doug Naquin, le directeur de l'Open Source Center de la CIA.

Analyse des tweets en arabe et en turc

Par exemple, selon l'article de l'agence de presse, le jour où un soldat des SEAL, les forces spéciales de la Navy, a tué Oussama ben Laden au Pakistan, les analystes du centre de Virginie ont surveillé Twitter pour donner à la Maison Blanche une image rapide de la réaction mondiale à l'événement. Les analystes ont pu rapidement se rendre compte que la « majorité des tweets en ourdou, la langue officielle du Pakistan, réagissaient de manière négative à l'évènement, » indique l'AP.

« Une analyse similaire du trafic en arabe et en turc sur Twitter après le discours du Président Obama sur les enjeux au Moyen-Orient, quelques semaines après le raid, avait montré que dans la région, la majorité des gens estimait que Barack Obama était favorable à Israël, alors que les tweets en hébreu exprimaient des sentiments contraires, » ajoute l'AP.

Des directives pour protéger la vie privée des américains

« Récemment, Twitter et Facebook ont fourni des ressources clés pour suivre les événements en Égypte, à Bangkok, la capitale thaïlandaise, et en Iran, » ajoute encore l'AP. « Mis en place pour répondre aux recommandations de la Commission 9/11 sur le 11 septembre, ce département de la CIA se concentre sur les opérations antiterroristes, » précise aussi l'article.

Ces informations sur les opérations de la CIA interviennent quelques jours à peine après que le Département de la Sécurité Intérieure Américain (Department of Homeland Security - DHS) ait affirmé qu'il travaillait sur des directives pour protéger la vie privée des citoyens américains.

La CNIL confirme la condamnation d'un collecteur de donnée personnelles

La jurisprudence de la CNIL (Commission Nationale Informatique et Liberté) est constante en matière d'aspiration de données personnelles sur le web : c'est et cela demeure interdit. Une telle aspiration constitue en effet une collecte déloyale de données personnelles. En l'occurrence, la société PM Participation a été condamnée à une amende administrative de 10 000 euros par la formation contentieuse de la CNIL en juin dernier. La condamnation vient d'être publiée, une fois les délais de recours épuisés.

Cette société, tout comme Direct Annonces condamnée en 2009, collectait les petites annonces immobilières un peu partout sur le web et revendait les fichiers de personnes vendant leurs biens à des agences ou à des prestataires de services (déménageurs...). La collecte et la revente ne tenait même aucun compte de mentions expresses comme « agences s'abstenir ».

Aucun moyen de s'opposer à la revente des données personnelles

Au-delà de la collecte déloyale, le droit d'opposition des personnes ainsi intégrées aux fichiers revendues était nié. N'étant pas informés de la collecte en vue d'une revente, ces personnes n'avaient pas la possibilité de s'y opposer.

La condamnation a été opérée après un contrôle sur place dans les locaux de l'entreprise par des agents assermentés de la CNIL.