Tag: sécurité

Est ce que les employés Google peuvent lire vos mails sur Gmail ?

La réponse simple est Oui. Sauf que c’est loin d’être le cas. Pour des questions de confidentialité, d’indépendance et de respect de la règlementation, Google dispose d’une politique draconienne et très restrictive concernant l’accès aux données des utilisateurs de Gmail.

Pour personnaliser les publicités s’affichant sur Gmail, Google « lit » vos échanges mais à l’aide de robots, donc pas d’intervention humaine. D’autre part, très peu d’employés peuvent accéder aux échanges Gmail parce que ça fait partie de leur mission en tant qu’administrateur par exemple.

Dans un post publié sur Quora et qui date de 2010, les explications sont données par un salarié Google. Le risque zéro n’existe pas mais les précautions sont prises et appliquées rigoureusement.

A small number of GMail-related engineers have access to the servers as a matter of necessity to do their jobs; a very small number of people actually access the contents as a matter of necessity to do their jobs, and even then, almost always only the associated metadata. The rest have to file a request and justify any access they ever need, which is extremely rare. All have to sign paperwork re users’ privacy at the risk of dismissal & legal action, knowing that whatever they do is discoverable. And ultimately, an internal culture of respecting users’ privacy helps keep one another in check.

Be Sociable, Share!
Author name:
Publish date:
février 5th, 2012
Discussion:
1 Comment

Infographie : comment choisir un mot de passe sûr ?

Be Sociable, Share!
Author name:
Publish date:
octobre 8th, 2011
Discussion:
2 Comments

La sécurité serait-elle le talon d’Achille des éditeurs de veille ?

Le contenu de l’article est supprimé après discussion avec les entités concernées par l’affaire.

Je signale, pour clarifier la situation, qu’aucun moyen illégal n’a été mis en oeuvre pour accéder à ce contenu, contrairement à ce que certains peuvent penser. Il s’agit bien, de plusieurs adresses web renvoyant vers ces portails, partagées par un utilisateur sur un célèbre site de partage de favoris. Ces adresses sont accessibles au public, sans aucune compétence informatique particulière. Une simple requête sur le mot « veille » permet de remonter ces résultats. A l’instant où j’écris ces lignes, ces adresses sont encore consultables sur le site de partage.

Update : Les urls en question viennent d’être supprimées du compte de la personne qui les a partagées. Le compte est en effet maintenu par le « community strategist & manager ».

Be Sociable, Share!
Author name:
Publish date:
juin 23rd, 2011
Discussion:
6 Comments

Possesseurs d’iPhone et d’iPad, vous êtes suivis à la trace !

Même à votre insu, même en désactivant les paramètres de géolocalisation, vos iPhone et iPad (3G) stockent et capitalisent les données de vos déplacements à des intervalles très rapprochés et réguliers. A chaque synchronisation avec iTunes, le fichier avec toutes ces données personnelles est mis à jour.

Je ne m’avancerais pas sur les usages possibles, inquiétants, dangereux ou malsains qu’il est possible de faire avec ce type de données. Mais je vous propose dans un premier temps de tester par vous même, (uniquement pour les possesseurs de Mac ou système OS X), le niveau de détails qu’il est possible de récupérer depuis votre terminal mobile. A l’aide d’une application dédiée : iPhone Tracker, vous pourrez visualisez sur une carte l’ensemble de vos déplacements, trajets depuis le lancement de iOS 4. Ensuite, je vous invite à activer le cryptage des sauvegardes et leur protection via un mot de passe sur votre terminal, pour éviter que d’autres services ou applications puissent les exploiter !

Be Sociable, Share!
Author name:
Publish date:
avril 20th, 2011
Discussion:
No Comments

Etes-vous vigilant avec vos accès Facebook, Twitter, Google & Co ?

L’interopérabiltié, les identifiants uniques, l’interconnexion sont désormais les mots d’ordre pour tout nouveau service dit « social », qu’il soit en beta ou déjà opérationnel. Pour éviter donc de démultiplier les identifiants à chaque service ou application, les éditeurs sont quasiment obligés maintenant à faire appel aux systèmes d’enregistrement tiers comme Facebook Connect, ou ceux proposés par Twitter, Google ou encore Linkedin. Ceci signifie le partage d’un certain nombre de données personnelles avec des tiers sans pour autant que l’usage du service proposé soit durable ou régulier.



Combien d’applications avez-vous autorisez sur Facebook ou Twitter depuis que vous êtes membre sur ces réseaux ? Combien d’applications utilisez vous régulièrement ? A quand remonte le dernier « nettoyage » de vos applications autorisées ?

Faites l’exercice et vous allez probablement découvrir quelques surprises :) Vous accéderez aux pages d’administration directement depuis ces liens : FacebookTwitterGoogle, et LinkedIn.

Be Sociable, Share!
Author name:
Publish date:
avril 15th, 2011
Discussion:
1 Comment

Sécurité et sûreté des données : «L’humain reste le maillon faible»

«Les entreprises françaises se font littéralement piller!», assure la cybercriminologue Laurence Ifrah. Elles subissent toutes des attaques informatiques. Mais étouffent en général ces affaires pour ne pas altérer leur image de marque.» Au total, dans le monde, le vol de données en entreprise a causé un préjudice supérieur à 1000 milliards de dollars selon une étude de McAfee, société spécialisée dans la sécurité informatique. «La France figure parmi les pays les plus touchés», affirme le spécialiste Symantec, éditeur de Norton Antivirus.

Les secteurs stratégiques comme la défense, l’aéronautique, le nucléaire et toutes les entreprises de technologie sont particulièrement visés. «Dès qu’un appel d’offres international est lancé, l’espionnage se met en place. Chacun essaie de connaître les propositions des concurrents, pour ajuster la sienne», détaille Laurence Ifrah. Ces vols permettent aussi un «transfert» de technologie à bas coût.

Source : Le Figaro du 13/04/2011

Be Sociable, Share!
Author name:
Publish date:
avril 13th, 2011
Discussion:
No Comments

Le système d’information des Affaires étrangères à nu, gratuitement et pour tous !

L’affaire est passée quasiment inaperçue depuis début mars. Elle a été beaucoup moins médiatisée que l’intrusion informatique de Bercy. Elle reste quand même assez emblématique d’une forme d’inconscience voire d’insouciance professionnelle, pour ne pas dire un cas d’école en matière de sécurité et sûreté informatique.

De quoi s’agit-il ? Le ministère des Affaires Etrangères et Européennes a lancé un appel d’offre en février 2011 portant sur la prestation suivante : « Définition, pilotage et renforcement de la sécurité des systèmes d’information du Ministère des Affaires Etrangères et Européennes« . Et c’est là où les défaillances commencent à se multiplier.

D’abord, l’accès au contenu complet du dossier de l’appel d’offres se fait depuis la place de marché interministérielle, sans aucune identification nécessaire. En effet, le site propose en outre l’option de télécharger anonymement le dossier de consultation. Donc pas besoin d’être un spécialiste des serveurs proxys et des techniques furtives et d’anonymat en ligne pour pouvoir récupérer le contenu.

Ensuite, en feuilletant le contenu du dossier de consultation, on identifie 3 documents clefs qui décrivent quasiment dans les moindres détails les caractéristiques du système d’information du ministère. Le CCTP précise par exemple les éléments de dimensionnement du SI, les composantes techniques et leur degré de priorité, les moyens d’infrastructure et de système tout comme la volumétrie attendue (nombre de serveurs, nombre de passerelles, proxys…) Par ailleurs, le même document précise le degré d’importance accordé aux besoins en matière de sécurité du SI du ministère. C’est à dire que pour un malfaiteur (pour ne pas dire un terroriste), il est possible d’estimer de manière précise les ressources actuelles et potentielles ainsi que les degrés de faiblesses/menaces du SI en s’appuyant sur les degrés de priorisation par exemple. Puisque ce qui est jugé comme étant le plus prioritaire peut être interprété comme étant le maillon le plus faible de la chaîne.

Mais le plus frappant, et le plus délicat des informations, se trouve dans deux documents produits par la société Solucom : Le rapport d’analyse des risques pesant sur le SI du ministère et la note de cadrage. Outre le contenu assez sensible de ces documents (même si la production est datée de 2006), certains passages sont masqués pour camoufler le contenu qui est derrière. Sauf que à l’aide d’un simple copier-coller du contenu caché, il est facile de connaître ce qui se cache derrière :) Et dire que ce sont des spécialistes de la sécurité et sûreté qui l’ont produit. On peut y trouver à titre d’exemple certaines mentions invitant les interlocuteurs à se rapprocher rapidement de contacts au niveau de la DGSE.

Il est évident que pour pouvoir postuler à ce type d’appel d’offres et apporter une réponse adéquate, les prétendants auront besoin de ces détails techniques et organisationnels. Toutefois, là où le bât blesse, c’est que le contenu du dossier de consultation est en accès libre, sans aucune restriction ni traçabilité. Par ailleurs, certains documents ne méritent pas de figurer, au moins dans un premier temps, dans le dossier de consultation. Il aurait été plus sage de les soumettre aux prétendants individuellement, post-publication de l’appel d’offres. Enfin, ayant participé à certains appels d’offres, il était nécessaire de procéder en 2 étapes : d’abord un passage par une enquête/qualification fine des prétendants et ensuite la transmission des documents utiles et nécessaires. Ce n’est que l’appel d’offres remporté, que le prestataire pourra disposer d’autres documents plus sensibles.

C’est bien là donc qu’il est facile de se rendre compte que le risque qui pèse sur les systèmes d’informations du gouvernement et de ses ministères réside bel et bien dans le maillon humain. Il constitue la principale vulnérabilité (à mes yeux) de tout système d’information. La gouvernance de l’ANSSI a encore du travail à faire, passant par un long parcours de sensibilisation et de formation.

Be Sociable, Share!
Author name:
Publish date:
mars 30th, 2011
Discussion:
No Comments
Older entries