lundi 28 juillet 2008

Les incidents liés aux pertes et vols de données personnelles augmentent en Colombie-Britannique

Le Commissaire de l'information et de la vie privée de Colombie Britannique vient de rendre public le nombre d'incidents de pertes ou de vols de données pour cette province de l'Ouest du Canada. Ces atteintes potentielles à la vie privée des citoyens ont fait l'objet de 92 enquêtes de la part des employés du bureau du commissaire au cours des 12 derniers mois, par comparaison avec 86 incidents en 2006-2007 et seulement 34 incidents en 2005-2006. Cette augmentation des incidents est alarmante, mais elle est principalement attribuable à des vols d'ordinateurs portables et à des négligences récurrentes de la part des employés d'organismes publics ou d'entreprises qui ont en leur possession des informations personnelles de clients ou d'usagers. Ce n'est pas tant l'augmentation en tant que telle qui est alarmante que l'indifférence apparente des organisations impliquées vis-à-vis des données personnelles qui leurs sont confiées: l'une d'entre elles (qui n'est pas nommée mais qui est un service public) a ainsi été victime de 10 incidents afférents au même programme pendant la même année... Cette légèreté est confirmée par des affaires similaires qui se succèdent à un rythme effréné dans la presse nord américaine, et parfois en Europe. 

Il est également significatif de noter que la cause majoritaire de ces incidents n'est pas la menace que posent d'hypothétiques pirates informatiques, mais plutôt le manque de rigueur dans la gestion des données personnelles et de leur support physique, aussi bien de la part des organisations que de leurs employés. Peut-être que la bonne vieille méthode du déshonneur sur la place publique serait plus efficace pour inciter les administrations et les entreprises à prendre ce problème au sérieux. Quoi qu'il en soit, ces chiffres restent très localisés, et l'on continue d'ignorer, aussi bien au Québec qu'en France ou ailleurs dans la francophonie, combien d'incidents identiques se produisent chaque année. Il y a là un déficit d'information qu'il semble urgent de combler.

jeudi 24 juillet 2008

5 minutes...

C'est l'espérance de vie d'un ordinateur PC ne disposant pas des dernières mises à jour de Windows lorsqu'il est connecté à Internet, avant qu'un pirate ne puisse l'identifier et compromettre ses données. Ces chiffres alarmistes proviennent de l'Internet Storm Center du SANS Institute aux États-Unis. Mais tout n'est pas perdu: des chercheurs allemands qui gèrent des honeypots (pots de miel en bon français) estiment plutôt la durée de survie moyenne à environ 16 heures. Voilà qui est en effet rassurant!

mardi 22 juillet 2008

Investissements massifs en cybersécurité

Le gouvernement américain s'apprête à investir des milliards de dollars dans la protection de ses infrastructures informatiques, afin de lutter contre les intrusions malveillantes et de se préparer à affronter de nouvelles menaces. Ces dépenses seront imputées au budget du renseignement et le programme, dont le contour est encore très vague et qui est couvert du plus grand secret, est connu sous le nom de Comprehensive National Cybersecurity Initiative (CNCI). Ses objectifs toucheront dans un premier temps la sécurité nationale, mais il est prévu dans une deuxième étape d'étendre les moyens qui seront déployés aux systèmes "civils" du secteur privé qui gèrent les données financières, commerciales ou médicales. Le législateur a également suggéré que soit mis sur pied un comité consultatif composé d'élus et de représentants du secteur privé, afin que le gouvernement prenne en compte la nature hybride des systèmes d'information.

Si l'on peut s'interroger sur le secret qui entoure une telle initiative, l'opportunité de l'inclure dans le budget des agences de renseignement et sur l'utilisation certainement offensive qui sera faite de certains systèmes qui y seront associés, on ne peut que constater l'avance prise une fois de plus par les États-Unis dans le domaine d'élaboration des politiques et des standards technologiques. La diffusion dans le reste du monde de ces derniers confèrera aux États-Unis un avantage compétitif qu'il sera difficile de rattraper. D'ailleurs, cette question a officiellement fait son entrée dans la campagne présidentielle, puisque les candidats Obama et McCain (qui de son propre aveu ne sait pas comment utiliser un ordinateur pour surfer sur Internet) ont évoqué les questions de cybersécurité dans de récents discours.  

vendredi 18 juillet 2008

Le hacking: nouvelle discipline olympique?

Le Wall Street Journal a publié le 17 juillet un article qui ne va pas améliorer les relations diplomatiques entre les USA et la Chine. Celui-ci fait état de la divergence d'opinions au sein de la communauté américaine du renseignement quant à l'opportunité de mettre en garde les hommes et femmes d'affaires (ainsi que les hauts fonctionnaires) américains qui assisteront aux Jeux Olympique de Pékin, le mois prochain contre les tentatives de piratage de leurs équipements informatiques.

En effet, selon l'article, les agences américaines sont préoccupées des pratiques systématiques de piratage informatique déployées par certains gouvernements étrangers, dont (mais pas uniquement) la Chine. Parmi les techniques observées ces derniers temps, on recense la copie intégrale des disques durs d'ordinateurs portables aux points de contrôles dans les aéroports ou dans les chambres d'hôtel, l'injection de virus dans les téléphones intelligents style Blackberry ou Treo, ou le "slurping" qui consiste à voler les données de téléphones ou équipements électroniques équipés de la technologie Bluetooth.

Le gouvernement américain ne souhaite pas faire de mise en garde publique, afin de ne pas froisser ses interlocuteurs chinois, mais de plus en plus d'entreprises actives dans des secteurs sensibles ont pris des mesures afin de minimiser l'exposition à ce type d'incidents:
  •  Il est par exemple de plus en plus fréquent qu'elles confient à leurs cadres en déplacement des ordinateurs portables réservés aux voyages et qui ne contiennent aucune donnée sensible, quand elles ne leurs interdisent pas carrément d'emporter de tels équipements en voyage;
  • Les données sensibles doivent alors être conservées sur des clés USB cryptées qui doivent rester constamment sous le contrôle de leur propriétaire; 
  • Les boîtiers d'ordinateurs sont équipés de sceaux inviolables qui permettent de vérifier que le disque dur n'a pas été démonté et que la machine n'a pas été "bricolée" en l'absence de son propriétaire;
  • L'utilisation de téléphones rechargeables à bas-coûts pouvant être jetés au retour du voyage, et vierges de toute donnée, est également conseillé;
  • etc...
Une liste des stratégies à mettre en oeuvre est mise à la disposition des entreprises ici.

L'un des seuls aspects positifs de cette nouvelle catégorie de menace est que nous assisterons peut-être à une diminution du nombre de présentations Powerpoint inutiles dans les réunions et conférences, en raison des restrictions de sécurité qui frapperont de plus en plus les ordinateurs portables... 

On peut toujours rêver!

lundi 14 juillet 2008

Les logiciels de P2P facilitent le vol d'identité

Un article du Washington Post du 9 juillet fait état du vol de données personnelles de 2000 clients fortunés de l'entreprise spécialisée dans les placements financiers et les conseils fiscaux Wagner Resource Group. Parmi les victimes, figurent de nombreux juristes de haut vol ainsi que le juge Breyer de la Cour suprême des États Unis.  

Le déroulement de l'incident a suivi une séquence désormais classique: un employé qui manifestement dispose de trop de temps libre pendant sa journée de travail télécharge sur son ordinateur professionnel le logiciel de partage de données LimeWire, qui lui permet de télécharger les derniers morceaux de musique à la mode ou les films piratés qui viennent de sortir en salle. Il ne prête pas une grande attention au paramétrage des fichiers qui peuvent être échangés, et se trouve mettre à la disposition de tous les internautes qui recherchent ce type d'informations des fichiers confidentiels contenant des données relatives aux clients, aux nouveaux produits ou aux fournisseurs de l'entreprise. Dans le cas en question, ce sont les noms, les dates de naissance et les numéros de sécurité sociale (utilisés pour valider de nombreuses transactions financières aux USA) des riches clients qui ont été compromis. Ces données, visibles de tous sur Internet, peuvent ensuite être utilisées par des fraudeurs pour obtenir des cartes de crédit ou des service de téléphonie mobile au nom de leurs victimes.

Si de tels incidents sont hélas en train de devenir monnaie courante, on voit qu'ils n'impliquent pas des compétences techniques très développées de la part des fraudeurs, qui ont seulement à rechercher les fichiers abusivement partagés sur les sites "pair à pair" (P2P). Par ailleurs, dans ce cas particulier, 6 mois se sont écoulés avant que la faille ne soit découverte par l'entreprise victime, et l'alerte n'a pas été donnée par les services informatiques de l'entreprise mais par un internaute qui est tombé dessus par hasard. 

Un tel niveau de négligence semble être la norme, puisqu'un rapport de la société Verizon Business portant sur 500 incidents de perte ou de vol de données personnelles recensés entre 2004 et 2007 fait apparaître que la découverte de tels incidents est dans 70% des cas le fait de tierces parties. Les procédures d'audit interne ou les technologies d'analyse des activités ne sont déterminantes, quant à elles, que dans 7% des incidents. On se demande à ce compte si les investissements en sécurité de l'information seront bien en mesure de produire des résultats escomptés, ou s'ils sont réalisés par les entreprises en pure perte.