Flux RSS
Sécurité
2589 documents trouvés, affichage des résultats 2291 à 2300.
| < Les 10 documents précédents | Les 10 documents suivants > |
(02/12/2005 17:09:00)
Biométrie et banques : la Cnil Juvénale*
Semaine biométrique en diable, avec notamment une récente décision de la Cnil qui autorise « la société Bloomberg à mettre en oeuvre un dispositif biométrique permettant de contrôler les accès à un service en ligne d'informations financières. Ce dispositif repose sur l'enregistrement des empreintes digitales dans un carte individuelle ». En d'autres termes, la Cnil crée un précédent en légalisant en France la transmission de données biométriques en guise d'authentifiant secondaire. Il est, dans ce cas précis, absolument impossible à l'entreprise en question de vérifier l'origine de cette signature biométrique (la personne à qui appartient cette pseudo « preuve » n'est pas sous les yeux d'un quelconque agent de contrôle). Avec ce premier petit « coup de canif » dans l'usage du biométrique utilisé durant une transaction, la Cnil ouvre une vanne qu'il sera bien difficile de refermer. La Cnil, il y a à peine un jour, publiait un autre communiqué qui, également, soulève un certain nombre d'interrogations, tant sur le fond que sur la forme : « 7 banques sur 10 assurent une confidentialité et une sécurité correctes sur leur site Internet » nous affirme la Commission Nationale Informatique et Libertés. Le titre est considérablement plus triomphaliste que le contenu. Car, à la lecture du rapport, l'on s'aperçoit que rien ne permet de dire que les banques veillent à la sécurité des accès de leurs clients. De l'avis même de la Cnil : - Aucune authentification forte et incontestable des clients internautes n'est mise en oeuvre, par exemple par carte à puce ou clé électronique unique. Seuls les identifiants et mots de passe ouvrent les portes des banques en ligne ; - La moitié seulement des sites effectue une mise en garde concernant la question de la sécurité préalablement à la première connexion et dispose d'une aide en ligne permanente. - Le mot de passe est rarement remis sous pli confidentiel ou envoyé en recommandé avec accusé de réception lorsqu'il est transmis par courrier postal. Il est souvent inférieur à 7 caractères alphanumériques et sa durée de validité est illimitée ; - Quatre sites de banques en ligne ne sont pas en transaction sécurisée « https » lors de l'échange des identifiants et mots de passe, la bascule en mode sécurisé ne se faisant qu'après l'envoi de ces informations en clair sur le net ; - Peu de sites permettent la consultation d'un historique des dernières connexions ou la réception d'un accusé de réception des opérations effectuées ; - Enfin, la quasi-totalité des sites n'offre pas la possibilité aux internautes : - de tester leur poste de travail (test du système d'exploitation, du navigateur, des cookies, etc.), - d'être informés des mises à jour régulières des règles de sécurité à suivre. ...et ce ne sont là que quelques uns des problèmes réels, la Cnil n'ayant pas rang d'expert en matière de test de pénétration ou de validation de procédure de sécurité. On peut citer notamment, parmi les hiatus courants chez les banquiers spécialistes du « en ligne », la fixité des noms de login (50 % du travail facilité en faveur des pirates), la divulgation à de multiples personnes dudit identifiant -et parfois même du mot de passe-, la sécurisation https « fantôme » disparaissant une fois la première page de connexion franchie, l'absence de procédures visant à prévenir les clients en cas de vol manifeste d'identité suivi de détournement d'argent, la transmission du code de hachage de certains mots de passe « en clair » sur Internet... soyons charitables envers ces pauvres financiers, cessons là cette sinistre énumération. On peut se demander, le jour où les banquiers français seront capables de fournir un service d'accès en ligne réellement sécurisé, quels seront les termes utilisés par les futurs communiqués de la Cnil. Car il sera difficile de faire plus ronflant qu'aujourd'hui. La suite du communiqué est encore plus préoccupante. On y découvre une suite de conseils dont la mise en oeuvre relève bien souvent du v?u pieux - Assurez-vous de la sécurité de votre ordinateur (mises à jour récentes de votre système d'exploitation, installation d'un logiciel anti-virus et d'un logiciel pare-feu - firewall) Outre le fait que ces avis de la Cnil ne dépasseront probablement pas le cercle restreint d'un petit nombre d'initiés et de curieux, ce genre de proposition n'est pas toujours possible à appliquer. En outre, la récente affaire du rootkit Sony-Bmg prouve que les firewalls et autres anti-virus sont loin de mériter les valeurs que nos respectés gardiens des fichiers informatiques veulent bien leur prêter. Ce genre d'avis conforte également un peu plus l'idée reçue que le « couplet gagnant » de la sécurité se limite au binôme antivirus-firewall... certains poncifs ont la vie dure. - Attention également aux « spywares » (espiongiciel ou encore mouchard) ; Sage remarque auquel il faudrait ajouter les keyloggers et autres rootkits. - Accédez à votre site de banque de manière sécurisée et vérifiez l'orthographe de l'adresse Glissons sur les signes et caractéristiques d'une liaison sécurisée qui ne dépend hélas pas du client comme semble l'affirmer la Cnil, et fermons les yeux sur la seconde partie de la suggestion. Le propre d'un spoofing d'URL est précisément de « sembler » officiel, et à part quelques outils du genre « barre Netcraft », bien malin qui pourrait dire si tel ou tel site du Crédit Yonnais ou de la Banque Fortiche est pain béni ou non. Des professionnels se font abuser par des techniques de leurre simples, comment demander à des gens « normaux » de s'avérer plus sages que ces gourous du hack ? - Contrôlez la date et l'heure de votre dernière connexion ainsi que la durée. Vous serez ainsi aussitôt avisé d'une connexion effectuée à votre insu. ... si de telles informations sont accessibles sur le site bancaire, si la mémoire ne fait pas défaut à l'usager, si les connexions ne sont pas trop fréquentes, si l'utilisateur sait lire son propre cahier de logs, si ... - Vérifiez que la connexion est sécurisée Là, ce n'est plus un leitmotiv, c'est une réplique obsessionnelle. A une époque où les banques américaines abandonnent le https pour des raisons évidentes, et où des sites de phishing exploitent des pages « autosignées » ou des « multiframes » de provenances trompeuses, l'interprétation d'une telle recommandation s'adresse aux personnes possédant un certain niveau d'expertise, sinon un niveau d'expertise certain. - Terminez obligatoirement votre connexion à votre site bancaire en utilisant le bouton « déconnexion » ... ce qui sous-entendrait qu'il serait envisageable d'imaginer des Webmestres de banques capables de laisser une session http « ouverte » après disparition du socket IP ? - Ne cliquez jamais sur un lien dans un courriel reçu pour accéder à votre site de banque en ligne (« phishing ») Enfin un avis sérieux. Espérons qu'eBay aura entendu ce genre de conseil et cessera de communiquer par email avec ses clients dont l'identité a été compromise. Car entre un « véritable » courrier eBay et un phishing éhonté, bien malin qui peut faire la différence. - Réservez vos accès banque en ligne à votre domicile à l'exclusion de tout autre lieu. Encore un conseil avisé qui repose, une fois de plus, la question de la responsabilité des organismes bancaires et des mesures de quarantaine que l'on doit imposer à tout poste distant accédant à un réseau sensible. Ceci dit, rien ne garantit qu'une machine « personnelle » soit mieux protégée qu'une machine « kiosque ». Un ordinateur de Web Café est à priori, désinfecté à périodes régulières, par une personne disposant d'un bagage technique que l'on espère supérieur à la moyenne. *Qualificatif résumant à la fois le sens critique et satirique des articles de notre chère Commission. Le contrepet n'est pas parfait... ce sont hélas les impératifs de la presse, coco. (...)
(01/12/2005 17:39:24)Les députés généralisent le flicage informatique
Gauche et droite main dans la main, les premiers s'abstenant de critiquer ce que les seconds ont encensé. Il n'y avait guère que Noël Mamère pour s'élever contre le projet de loi antiterroriste adopté à une majorité écrasante par l'Assemblée nationale le 29 novembre. Présenté par le ministre de l'Intérieur, Nicolas Sarkozy, le texte renforce drastiquement les outils de surveillance déjà en place. Au programme, un florilège de mesures que les associations de défense des libertés individuelles - au premier rang desquelles la Ligue Odebi, Iris (Imaginons un réseau Internet solidaire) - et surtout la Cnil - organisme officiel en charge de la protection des données personnelles - n'hésitent pas à associer à l'idée d'un état policier. Outre l'aggravation des peines et la réforme de la garde à vue - durée étendue, avocat intervenant plus tardivement - la loi crée les outils nécessaires au fichage numérique généralisé de la population. Au même titre que les opérateurs télécoms et que les FAI, les cybercafés et détenteurs de réseaux wifi seront tenus de conserver les logs de connexion des internautes et de les fournir aux services de police, même en dehors d'une procédure judiciaire. L'exposé des motifs précise que "la problématique des « cybercafés » est d'offrir des accès à l'Internet sans ménager de possibilités d'identifier les clients, ni de cerner les connexions individuellement". Les possibilités de vidéosurveillance seront accrues, qui autoriseront l'installation des systèmes près des installations sensibles, aux abords des lieux de culte ou autre "personnes morales" ainsi que les désigne le texte. Il sera même possible en cas de risque terroriste, d'installer des caméras pendant quatre mois dans avis ni autorisation de la commission départementale de la vidéosurveillance. En voiture, pas davantage de salut. Un système de surveillance des véhicules doit ainsi être mis en place et aboutir à la prise de photographie automatique des conducteur et des passagers ainsi qu'à la lecture des plaques d'immatriculation. Mieux que le GPS. Toujours dans un esprit de consacrer le fichage-roi, la force publique pourra avoir accès aux bases de données de la place Beauvau : plaques d'immatriculation, permis de conduire, cartes d'identité, passeports, titres de séjour, demandes de visas, etc. Au regard des ces éléments, la ligue Odebi se demande "jusqu'où une démocratie peut-elle aller dans la lutte contre le terrorisme ?". L'association s'indigne particulièrement des pouvoirs échappant à la justice pour échoir aux agents de police judiciaire, dans le cas du traitement des fichiers notamment. Un tel constat met à néant, selon Iris, "le principe de finalité des fichiers informatiques qui constitue une garantie importante pour les libertés". Si la Cnil avait émis des réserves sur de telles mesures, le législateur n'en a jamais tenu compte. De même, les - rares - amendements visant à assouplir les prérogatives par trop liberticides ont été balayés lors des débats dans l'hémicycle. Un oeil derrière une caméra, un autre sur Internet, Big Brother a donc débarqué en France. Ce que résume la ligue Odebi en ces termes : "en sapant ainsi les fondements de notre société démocratique, Nicolas Sarkozy tombe dans le piège conceptualisé de longue date par les milieux terroristes, alors même qu'il ne peut ignorer que la protection des droits fondamentaux est l'un des enjeux majeurs de la construction du contre terrorisme européen". (...)
(30/11/2005 18:05:50)Cisco s'offre le service d'alertes de sécurité de Cybertrust
Cisco Systems Inc. va racheter le service de bulletins de sécurité Intellishield Alert Manager de CyberTrust pour 14 M$. Dans le cadre de l'accord nouer avec Sybertrust, Cisco assurera la continuité du service et reprendra les contrats clients existants de Cybertrust Intellishield Alert Manager est un service d'information web, RSS et e-mail qui fournit des alertes de sécurité et des informations sur les vulnérabilités des logiciels et produits informatiques. L'équipe en charge du service devrait rejoindre l'organisation de support technique client de Cisco et le service sera revendu sous la marque Cisco. (...)
(29/11/2005 17:43:30)Symantec met fin aux produits Sygate
Symantec a décidé de mettre un terme à la diffusion de la ligne gratuite de firewall logiciels de Sygate.La décision de l'éditeur intervient à peine trois mois après le rachat de Sygate Technologies et de ses pare-feux Symantec souhaite vraisemblablement protéger les ventes de ses propres outils, payants, tout en intensifiant le développement des solutions de sécurisation des postes clients d'entreprises de Sygate dans le cadre de sa stratégie de sécurisation des systèmes d'information de bout en bout. (...)
(29/11/2005 17:36:53)Les Etats européens s'accordent sur les caractéristiques des cartes d'identité biométriques
En préparation du conseil européen sur la justice et les affaires intérieures qui se déroulera le 1er et le 2 Décembre à Bruxelles, les représentants des états membres de l'Union se sont accordés sur les critères minimums que devront respecter les futures cartes d'identités nationales sécurisées dans les Etats qui ont choisi d'en émettre. Dans un souci de cohérence avec les standards déjà définis pour l'établissement des passeports européens sécurisés (règlement EC2252/2004), les représentants des différents pays ont défini les identifiants biométriques, qui devront figurer sur les documents d'identité, ainsi que la nature des moyens techniques pour les stocker. Dans un document de travail publié sur le site statewatch.org, les Etats préconisent de coupler les données biométriques aux mesures de sécurité déjà existantes dans les différents documents d'identité nationaux (encres, techniques d'impressions, hologrammes...). Les nouvelles cartes utiliseront au minimum deux types d'identifiants biométriques : une photographie et deux empreintes digitales, des données qui seront stockées sur une puce sans contact. Ces éléments biométriques ne pourront être accédés que pour vérifier l'authenticité du document ou vérifier l'identité du porteur de la carte lors d'un contrôle tel que prévu par la législation nationale de chaque pays. Pour assurer une émission sécurisée des nouvelles cartes d'identité, les demandeurs devront faire leur demande en personne lors de la procédure de demande de la carte. Une vérification soigneuse de leur demande de document devra être effectuée en utilisant tout moyen pertinent (registres d'Etat-civil, base de données des passeports et cartes d'identité, permis de conduire..). La procédure ne pourra être réalisée par un seul fonctionnaire mais devra être fragmentée de façon à ce que jamais une seule et unique personne n'assume l'intégralité des tâches nécessaires à l'émission d'un document d'identité sécurisé. Les processus de collecte des informations menant à la réalisation du document et à sa distribution au titulaire devront être sécurisés par les différentes autorités administratives compétentes. En France, en l'état actuel du projet INES (identité nationale électronique sécurisée) , le nombre de centres d'émission sera limité, de telle sorte que dans certains départements, il faudra se déplacer dans une sous-préfecture ou dans une préfecture pour faire établir le document, alors que la carte d'identité actuelle peut être demandée en mairie. Il est à noter que l'accord sur les caractéristiques des nouveaux documents biométrique n'est que technique. Il n'impose aucune contrainte ni calendrier d'adoption de ces documents aux Etats-membres. En principe, tous devraient commencer, si ce n'est déjà fait, à émettre des passeports biométriques avant octobre 2007. Côté cartes d'identité, la France devrait en principe commencer à émettre ses cartes l'an prochain, outres les nouveaux identifiants biométriques, ces cartes devraient incorporer un certificat électronique, utilisable pour les téléprocédures avec l'administration. Chez nos voisins, la Belgique a commencé la distribution de sa carte d'identité électronique en 2004, mais celle-ci ne contient pour l'instant pas de données biométriques. L'Allemagne prévoit les premières distributions de son "biometrische Personalausweis" en 2007 et l'Angleterre, jusqu'alors réfractaire aux cartes d'identité, devrait directement passer aux "ID Card" biométrique en 2008. (...)
(28/11/2005 17:31:52)Le marché français des solutions de sécurité croît de 17 % en 2005
La croissance du marché français des solutions de sécurité devrait atteindre 17,4 % en 2005, à 1113 ME, après s'être élevée à 15,5 % en 2004. C'est l'une des principales conclusions d'une étude réalisée par le cabinet IDC France. Si l'étude indique que la croissance du budget consacré à la sécurité augmente, elle révèle également que la part ces dépenses progressent plus rapidement que l'ensemble des budgets IT. Ainsi, en 2004, les dépenses informatiques globales ont crû de 3,2 % alors que celles liées à la sécurité gagnaient 15,5 %. Ces dernières représentaient 2,4 % de l'ensemble de la facture IT des entreprises et des administration en 2004, un taux qui devrait atteindre 2,7 % en 2005. Plus de la moitié des dépenses en sécurité sont liées aux services. Avec 530 ME en 2004, ils affichaient une progression de 15 % sur un an et constituaient 56 % du budget global. Si ce taux devrait reculer d'un point cette année, la facture des services affichera néanmoins une progression comparable à celle de 2004 pour s'aligner à 612 ME. Les appliances ont marqué le marché de la sécurité en 2004 avec une croissance de 28 %, à 70 ME, soit 7,4 % des dépenses totales. En 2005 cette hausse devrait s'accélérer : le budget consacré aux appliances atteindra ainsi 96 ME, soit 8,6 % des dépenses globales liées à la sécurité et progressera de 37 % sur un an. Enfin, la facture des logiciels - 348 ME en 2004, en hausse de 14 % - passera à 405 ME cette année, soit une croissance de 16,4%. Ce marché est porté par les solutions de gestion sécurisée du contenu qui représentent 46,1 % des dépenses liées aux solutions en 2005, contre 45 % en 2004. (...)
(25/11/2005 17:19:29)Données personnelles : les députés européens contre le stockage supérieur à un an
Le projet de directive discuté par le Parlement et les 25 gouvernements des Etats membres prévoit de doter police et services de renseignements de davantage de moyens dans leur lutte contre le terrorisme. Les 25 exécutifs membres de l'Union européenne ont soutenu le projet visant la conservation pendant deux ans des données relatives aux appels téléphoniques et pendant six mois pour celles liées à Internet. Des délais que les eurodéputés membres de la Commission des libertés civiles ont estimé trop longs. Ils ont alors amendé le projet pour ramener la période de conservation des données à douze mois. Ils ont également établi que le stockage de ces données doit intervenir uniquement dans les cas de crime sérieux et non pour n'importe quelle infraction comme l'auraient souhaité les gouvernements européens. Et comme l'auraient également désiré les sociétés d'édition musicale qui ont activement réclamé l'utilisation des logs Internet comme base de poursuite des auteurs de téléchargements illégaux. La Commission des libertés civiles a, d'autre part, souhaité que les gouvernements soient tenus de dédommager les FAI et les opérateurs des coûts engendrés par le stockage des données et leur mise à disposition aux agences de renseignement. Les parlementaires européens, enfin, entendent rendre optionnelle la conservation des données téléphoniques en cas d'appel infructueux. Selon un porte-parole du gouvernement britannique, qui occupe actuellement la présidence de l'Union, les Etats membres sont opposés à presque toutes les modifications suggérées par les parlementaires. Et plus particulièrement en ce qui concerne les délais de conservation et le remboursement des coûts. C'est maintenant au tour des ministres européens de la justice et de l'intérieur de se réunir, le 1er décembre, à Bruxelles, pour finaliser leur position et tenter d'infléchir les amendements des députés. (...)
(25/11/2005 17:27:53)Cobit, Itil et ISO 17799 sur un pied d'égalité
L'ITGI, en collaboration avec l'Office of Government Commerce britannique, vient de publier un document intitulé "Aligner Cobit, Itil et ISO 17799 dans l'intérêt des affaires". Autrement dit un document directeur indiquant comment associer normes, bonnes pratiques, recommandations et méthodes traitant de gouvernance des systèmes d'information, afin que les buts de ces textes parviennent à concorder et à se compléter. 62 pages denses de textes et surtout de tableaux établissant les correspondances entre Cobit et Itil, Itil et ISO à Cobit... bref, du « cross reference » aussi ardu que rigoriste. (...)
(25/11/2005 17:29:50)Au prochain hack, je plaque mon banquier !
La moitié des clients d'organismes financiers sont prêts à quitter leur banquier s'ils sont victimes d'un vol d'identité selon une étude commanditée par Sun et obtenue par nos confrères de TechNewWork. Plus surprenant encore, 83% des sondés pensent qu'ils sont potentiellement plus exposés durant les périodes d'achat des fêtes de fin d'année. 67 % des clients utilisant des services de vente en ligne pensent abandonner cette pratique s'ils apprennent qu'ils ont été victimes d'un vol d'identité. Précisons que ce sont là les résultats d'un sondage d'opinion. L'étude de Kenneth F. Belva, publiée en septembre dernier, tendait à prouver que, dans les faits, les clients étaient littéralement captifs des organismes financiers. Si l'impact à court terme pouvait éventuellement provoquer quelques légers soubresauts boursiers, les situations les plus dramatiques se concluent souvent par un happy end, sans perte de confiance boursière, sans hémorragie de client. Après un peu chaud et froid, continuons dans le show effroi en rappelant cette série d'articles relatant des études et sondages signés Forrester ou The Register, lesquels donnaient un éclairage assez catastrophiste de la situation en défaveur des banques. (...)
(24/11/2005 17:37:16)Les développeurs de navigateurs web s'accordent sur des mécanismes de lutte contre le phishing
Après près de huit mois de débats, les développeurs des quatre navigateurs Internet les plus populaires, Internet Explorer (Microsoft), Firefox (Mozilla), Opera (Opera Software), et enfin Konqueror (navigateur open source présent dans le desktop linux KDE) se sont accordés à modifier leurs applications respectives en vue de lutter contre le phishing (usurpation d'identité en ligne), principal frein à l'achat en ligne. Les intervenants ont décidé d'améliorer la signalétique des sites de commerce en ligne, sécurisés et digne de « confiance ». Tel que Ebay et son système PayPal. Une fois connecté, la barre d'adresse des navigateurs se coloriera alors en vert, témoin d'un espace sécurisé garantissant les transactions. Ce processus s'appuiera sur une nouvelle technologie plus pointue de certification numérique, « qui reste encore à déterminée ». Mais, pour les quatre développeurs, il s'agit avant tout d'informer les utilisateurs sur l'identité du site, via un mécanisme de forte authentification. « Nous voulons garantir aux utilisateurs qu'ils se trouvent bien sur le site de leur banque , par exemple, et non sur une page web qui imite le site d'une banque », explique George Staikos, développeur de Konqueror. En ce sens, les développeurs se sont également engagés à insérer systématiquement une barre d'adresse dans les fenêtres pop-up. Si l'idée semble encore très théorique, Microsoft et Mozilla, qui à eux deux représentent plus de 97% du marché, ont adopté le concept. Reste encore un développer le nouveau certificat numérique, une tâche qui peut prendre plusieurs années. (...)
| < Les 10 documents précédents | Les 10 documents suivants > |