Doit-on criminaliser la négligence?

Le site ComputerWorldUK a fait état il y a quelques jours d'une démarche relativement novatrice de la part du Commissaire de l'information anglais, dont le mandat est de veiller à la protection des données personnelles des citoyens britanniques. Celui-ci a en effet demandé au ministre de la justice d'examiner la possibilité de criminaliser les négligences manifestes des principes de protection des données personnelles, quand celles-ci résultent dans des conséquences importantes pour les victimes. Les employés d'entreprises ou de services publics qui se font voler ou qui perdent des ordinateurs portables contenant des millions de dossiers personnels sans avoir pris des mesures élementaires de protection (comme l'utilisation de logiciels de cryptage) s'exposeraient à des poursuites pénales, si cette proposition donnait lieu à une loi.

On peut imaginer qu'une mesure aussi draconienne aura du mal à s'imposer, mais elle ne fait que rappeler avec quelle nonchalance nos informations personnelles sont traitées par les organisations à qui nous les confions, et que des incitatifs bien plus contraignants que la seule atteinte à la réputation des fautifs seront requis afin de modifier les comportements.

Une série d'articles sur la cybercriminalité

Le San José Mercury News vient de mettre en ligne une série de trois articles sur les vols d'identité commis en ligne (en anglais) qui offre une vision d'ensemble de ce phénomène complexe. L'intérêt de ces articles est qu'ils abordent tour à tour le problème selon la perspective des fraudeurs, des institutions publiques et privées détentrices de nos données personnelles, et de celles chargées de nous protéger de ce type d'incidents.

C'est cette troisième section qui m'a le plus intéressé, notamment car elle illustre parfaitement les difficultés que rencontrent les services de police dans ce domaine. Elle s'applique bien évidemment avant tout au contexte américain, mais elle contient cependant selon moi un certain nombre de constats universels:

• Tout d'abord, malgré la couverture médiatique de plus en plus importante de ce phénomène, les budgets spécifiquement alloués pour combattre ce type de crimes restent minimes en comparaison des montants dépensés pour la lutte contre le terrorisme par exemple;
• Les responsabilités sont encore trés fragmentées devant ce phénomène relativement nouveau, et cette dispersion des moyens nuit à un leadership efficace;
• Les caractéristiques de cette criminalité (multi-juridictionnelle, à faible impact individuel mais à fort volume, faisant appel à des supports techniques complexes et distribués...) se prêtent mal au modèle traditionnel de l'enquête policière;
• Les compétences très pointues acquises par certains policiers dans ce domaine sont fréquemment dilapidées par les politiques de rotation fréquentes, qui les affectent à d'autres fonctions au moment même où ils deviennent opérationnels;
• De nombreux policiers expérimentés font défection vers le secteur privé, qui leur fournit de meilleurs salaires et la possibilité de se consacrer exclusivement à ce type de crimes;
• Le choix de former des policiers enquêteurs à l'informatique, plutôt que d'embaucher des dîplomés en informatique qui seraient formés aux techniques d'enquête, constitue une contrainte importante à l'accumulation d'expertise au sein des organisations policières.

Peut-être voyez-vous d'autres obstacles qui m'auraient échappé?

Les réseaux sans fil des commerces de détail mal protégés

Le Washington Post rapporte les résultats d'une étude conduite par une entreprise spécialisée dans la sécurité des réseaux sans fil (Wi-Fi en bon français), AirDefense, dans plusieurs grandes villes américaines et européennes (dont Paris). L'objectif de cette enquête était de tester les niveaux de sécurité des réseaux déployés par les commerces de détail. Ces réseaux sans fils leurs servent notamment à transmettre des informations entre les terminaux de paiement et les réseaux filaires. Pour mesurer la sécurité de ces réseaux, les employés d'AirDefense ont parcouru les rayons de plus de 3000 commerces (appartenant à de grandes chaînes aussi bien qu'indépendants) équipés de sacs à dos contenant un ordinateur portable connecté à une antenne Wi-Fi de 1o centimètres.

Les résultats de cette étude menée volontairement à quelques semaines des fêtes de fin d'année, qui constituent une période d'achats intenses, montrent à quel point cette technologie est potentiellement à l'origine d'importantes vulnérabilités:

• Des 2500 appareils connectés à des réseaux sans fil identifiés, 85% auraient pu être facilement compromis;
• Des 5000 points d'accès à des réseaux filaires, 25% n'étaient pas cryptés, et 25% utilisaient le protocole de cryptage le plus ancien et le plus facile à pénétrer (WEP).

À l'instar de l'entreprise TJX, qui a été impliquée au début de l'année dans le vol de 45 millions de dossiers personnels appartenant à ses clients par le biais de son réseau sans fil, il semble que de nombreux commerces accordent encore une bien plus grande attention à la sécurité physique de leurs magasins (systèmes de protection contre le vol, de vidéosurveillance et agents de sécurité) qu'à celle des masses d'informations personnelles qu'ils recueillent chaque jour.

Le marché clandestin du vol d'identité

Le site CIO.com a réalisé une enquête trés fouillée sur le marché des identité volées et le modèle de service qui est développé par certains fraudeurs. En effet, ces derniers proposent un abonnement mensuel à leur site, qui permet à toute personne intéressée d'accéder à des ordinateurs infestés par des logiciels malfaisants (malware) et contrôlés par un botnet, le prix étant fixé en fonction de la quantité des ordinateurs compromis et de la qualité des informations disponibles. Ainsi, les ordinateurs infectés depuis plusieurs mois sont moins onéreux que ceux nouvellement mis sur le marché, les propriétaires de ces derniers n'ayant pas encore eu le temps de détecter la fraude dont ils sont les victimes.

Cette série de trois articles est accompagnée d'une vidéo de quelques minutes qui nous offre une visite guidée de l'un de ces sites (fermé depuis), et illustre le degré de sophistication technique atteint par certain fraudeurs, qui adoptent des stratégies directement inspirées des meilleurs ouvrages de management.

Comment pirater un compte bancaire en ligne

Petite vidéo éducative sur le mode opératoire des pirates qui prennent le contrôle de comptes bancaires... et raison supplémentaire de ne pas ouvrir les pourriels qui encombrent nos boîtes aux lettres électroniques (source Suisse, mais le principe s'applique partout).

via .:d4 n3wS:.

L'explosion de la bulle immobilière US et le vol d'identité

Le Wall Street Journal a publié il y a quelques jours un article faisant état des conséquences directes sur le vol d'identité de l'explosion de la bulle immobilière US et de la crise du crédit 'subprime'. En effet, d'innombrables courtiers qui commercialisaient les prêts à hauts risques se retrouvent en situation de faillite, et ne sont plus capables de garantir l'intégrité des données personnelles de leurs clients, qui en plus d'être expulsés de leur maison pourraient faire face à des fraudes. Les disques durs des entreprises de crédit facile en liquidation regorgent également de fichiers contenant les histoires financières détaillées de leurs clients, ou de ceux qui leurs avaient demandé un prêt.

On le voit encore une fois, en l'absence de cadre régulatoire explicite concernant le stockage des données personnelles, y compris en cas de disparition de l'entreprise qui les détenaient, les chances sont élevées de voir augmenter les risques de vol d'identité au gré des difficultés éprouvées par certains secteurs de l'économie. L'immobilier américain est sur la sellette aujourd'hui, mais l'explosion de la bulle du Web 2.0 qui ne manquera pas de se produire dans quelques mois ou quelques années (combien de sites de réseaux sociaux peut-on encore créer?) devrait également donner lieu à de nombreuses pertes de données privées, qui pourront s'avérer très pratiques pour les voleurs d'identité.