Armées, virus et piratage: Actu & Infos.

[g4lly]

http://www.silicon.fr/fr/news/2009/04/24/chaque_pc_portable_disparu_couterait_50_000_dollars__

Le prix d'un PC perdu ou volé ne pèse que 2 % de l'ensemble des coûts qu'entraîne sa disparition pour l'entreprise. D'où l'intérêt du cryptage des données... mais relatif
Publicité

Combien en coûte-t-il  aux entreprises de perdre ou de se faire voler un ordinateur portable ? En moyenne,  50.000 dollars - estime une étude commandée par Intel à l'Institut Ponemon. Ce dernier a étayé sa recherche sur 138 cas survenus aux Etats-Unis ces 12 derniers mois.
Cette moyenne cache de grandes disparités sur le terrain. Selon les témoignages obtenus par téléphone auprès des organisations intérrogées, les conséquences financières liées à la disparition d'un notebook varient de 1.213 à 975.527 dollars. Les cas dépassant les 200.000 dollars restent cependant exceptionnels, précise Ponemon.

Ce n'est évidemment pas le prix du PC lui-même qui explique de tels montants mais bien les conséquences que la perte de l'appareil entraîne. Parmi les 7 composantes de cette addition étonnamment salée, l'étude montre que le coût de la perte des données est le poste de loin le plus élevé:   39.000 dollars, en moyenne. Les conséquences du  piratage des informations représentent, à elles seules, 80 % du coût total. Suit la perte de la propriété intellectuelle: plus de 5.800 dollars. Le remplacement du PC et de ses logiciels  ne pèse que 1.500 dollars. Ce coût arrive en troisième position, devant celui des démarches administratives qui frôle les 1.200 dollars. Les divers autres coûts induits concernent la perte de productivité, due au temps passé à rechercher la machine, les déclarations administratives et légales, l'assurance, les frais judiciaires éventuels, etc.

A noter que ces coûts varient évidemment selon les secteurs d'activité, selon les services au sein de l'entreprise et surtout selon le 'job' des utilisateurs. Ainsi, les dirigeants (managers, directeurs) présentent les coûts les plus élevés: 61.000 dollars en moyenne, par PC disparu. C'est, évidemment, bien plus que pour les employés interimaires: 46.000 dollars, les exploitants  techniques (41.500) ou les postes d'exécution (28.000).

La note la plus salée dans les services
Par ailleurs, ce sont les sociétés de service qui accusent la facture la plus salée: près de 113.000 dollars par PC). C'est largement plus que dans les secteurs de la finance (72.000 dollars), de la santé (68.000), de l'industrie pharmaceutique (50.000) et de l'éducation (37.000).
Les industries de la fabrication (manufacturing) et des produits de consommation courante sont moins impactées: environ 2.200 dollars. Soit à peu près autant que le coût net de la machine et de ses logiciels.

Le temps est également un facteur d'aggravation des coûts. Les frais de recouvrement s'élèvent à moins de 9.000 dollars si la perte est déclarée à l'entreprise dans la journée contre plus de 115.000 dollars au bout d'une semaine.
Paradoxalement, une sauvegarde antérieure à la disparition du PC alourdit également la situation. Selon Ponemon, les frais de traitement liés à un PC sans backup se montent à 39.000 dollars contre près de 70.000 avec une machine non sauvegardée.
"Une des raisons possibles est que la restauration des données, depuis la sauvegarde, permet de relever avec plus d'objectivité  le coût de la perte de données sensibles ou confidentielles", explique l'étude.

Pas de solutions miracles
Il existe peu de solutions radicales pour limiter les pertes financières dues à de tels sinistres - conclut l'étude. Les technologies de chiffrement en sont une, mais ne suffisent pas. Un PC disparu avec des données en clair coûte en moyenne plus de 56.000 dollars à l'entreprise (ou à son assurance) contre un peu plus de 37.000 dans le cas d'une machine avec disque dur crypté.  Soit une différence d'environ 20.000 dollars ( ou 35 % des frais d'un PC non crypté).  Cette économie reste inférieure aux 39.000 dollars estimés que représente le piratage des données, piratage que les technologies de chiffrement sont censées protéger...

[g4lly]

http://technaute.cyberpresse.ca/nouvelles/internet/200904/28/01-850943-un-fournisseur-internet-supprime-les-adresses-ip-de-ses-clients.php

Le fournisseur d'accès suédois Tele2 a annoncé lundi qu'il supprimerait dorénavant sous quelques jours les adresses dites IP permettant d'identifier ses clients en Suède, une mesure qui pourrait compliquer l'application d'une nouvelle loi contre le téléchargement illégal.

«Nous allons effacer à partir d'aujourd'hui les adresses IP une fois qu'elles auront été utilisées en interne» soit quelques jours, a indiqué à l'AFP Niclas Palmstierna, le patron de l'opérateur télécom Tele2 en Suède, qui compte 600 000 clients sur Internet dans le pays nordique.

Entrée en vigueur le 1er avril, la nouvelle loi dite Ipred (pour Intellectual Property Rights Enforcement Directive du nom de la directive européenne qui l'a inspirée), autorise la justice suédoise à demander aux fournisseurs d'accès de dire quel client se cache derrière le numéro d'une adresse IP, afin d'engager des poursuites.

Tele2, qui est avec les autres opérateurs nordiques Telenor et TeliaSonera un des principaux fournisseurs d'accès en Suède, imite ainsi Bahnhof, un petit fournisseur d'accès suédois qui le premier avait annoncé son intention de ne pas communiquer les adresses IP.

«Le but (de la suppression des adresses IP) est de respecter l'intégrité de nos clients, qui ont montré beaucoup d'intérêt pour ça. C'est un droit démocratique que votre intégrité soit respectée», a plaidé M. Palmstierna.

Le dirigeant assure néanmoins que les informations, si elles sont encore en la possession de Tele2, seront transmises à la justice. Mais la mesure suscite l'inquiétude de la police.

«Dans certains cas, cela va rendre impossible le travail d'enquête», estime Stefan Kronkvist, le directeur de la section de la police criminelle suédoise en charge de la criminalité en ligne, cité par l'agence TT.

Avec la nouvelle loi et la condamnation le 17 avril à un an de prison de quatre responsables du site de partage de fichiers The Pirate Bay, le téléchargement fait l'objet d'un vif débat en Suède, où existe même depuis 2006 un Parti des pirates, candidat aux élections européennes de juin.

Ca va etre sympa les log qui disparaissent avec les baux DHCP

[g4lly]

http://letemps.blogs.com/paris/2009/04/la-p%C3%A9nurie-de-coffreforts-qui-menace-le-secret-d%C3%A9fense.html

La pénurie de coffre-forts qui menace le secret défense

"Grandeur" oblige, on ne plaisante pas, en France, avec le secret défense. Après l'avoir utilisé pour étouffer le scandale des frégates de Taïwan, les autorités songent à le renforcer en empêchant les juges de mettre leurs nez dans des sites stratégiques sensibles.

 Mais avant d'élaborer une loi de plus, le gouvernement ferait bien de s'interroger sur la sécurité très relative dont jouissent les informations confidentielles au sommet de l'Etat. De passage dans le bureau d'un haut fonctionnaire du Quai d'Orsay, l'autre jour, j'aperçois une enveloppe jaune marquée "DGSE" et "confidentiel". Mon interlocuteur s'excuse: "J'ai demandé un coffre-fort, mais on me l'a refusé au motif que tout l'étage est sécurisé!" Les rapports des services secrets n'ont d'autre choix que de traîner ça et là, à portée du premier venu.

Car l'étage dont parle le fonctionnaire n'est pas vraiment "sécurisé". Certes, un pompier (?) et un gardien vous y accompagnent lorsque vous arrivez. Mais ensuite, on vous laisse seul, parfois pendant une bonne demi-heure. Il suffirait de pousser la porte non fermée d'un bureau, lorsque tout le monde est en réunion, pour s'emparer des secrets d'Etat (ceux de mon interlocuteur concernaient probablement l'Afrique).

Avis aux Etats étrangers: si vous voulez espionner tranquille, recrutez des secrétaires du Quai, ou, encore plus simple, prenez des rendez-vous sous des prétextes bidon à l'heure du déjeuner, traînez dans la salle d'attente et poussez les portes en faisant semblant de chercher quelqu'un. Si vous voyez une enveloppe jaune marquée DGSE, emportez-là : ils ne fouillent pas les gens à la sortie.

[g4lly]

http://www.zdnet.fr/actualites/informatique/0,39040745,39500888,00.htm

Vol de données médicales : un pirate demande une rançon

Sécurité - Un pirate a dérobé les données médicales de 8 millions de patients de l' Etat américain de Virginie. Il menace de les divulguer si une rançon de 10 millions de dollars ne lui est pas versée. C’est la deuxième affaire de ce type en quelques mois.

La mise à disposition sur Internet de données médicales sensibles peut représenter un risque, notamment lorsque la sécurisation des accès à ces informations s'avère insuffisant. Aux Etats-Unis, un pirate est ainsi parvenu à s'introduire sur le réseau des professionnels de santé de l'Etat de Virginie.

Il a dérobé les données médicales de plus de 8 millions de patients et les informations se rapportant à 36 millions de prescriptions. Ce pirate a ensuite posté un message sur un forum, Wikileaks, afin de réclamer une rançon : 10 millions de dollars.

Un backup chiffré des données en échange d'une rançon

Il explique avoir créé un backup, protégé par du chiffrement, de l'ensemble des données, et accorde un délai de sept jours aux responsables du département de la santé de Virginie pour lui répondre.

Dans une interview accordée à Security Fix, une porte-parole de cette administration reconnaît qu'il y a bien eu une intrusion informatique. En revanche, elle ne s'est pas exprimée sur le vol d'informations sensibles. Le FBI a été saisi.

En novembre 2008, un autre acteur américain du secteur de la santé, Express Scripts, avait déjà été victime d'un piratage. L'entreprise avait alors offert une prime de 1 million de dollars pour des informations permettant d'appréhender les coupables. Ces derniers menaçaient de divulguer des données médicales si une rançon ne leur était pas versée. Ils ont été arrêtés.

La dématérialisation des informations de santé est l'un des chantiers de Barack Obama dans le domaine du numérique. En France, le dossier médical électronique peine toujours à prendre forme, pour des raisons de sécurité notamment. La ministre de la Santé, Roselyne Bachelot, a déclaré en avril qu'une première version du DMP serait lancée en 2010.

[tom]

hier dans envoyer spécial
Les cybercriminels
Avec 600 millions d’ordinateurs connectés en permanence, le monde que l’on appelait « virtuel » est devenu l’un des terrains de chasse favori du crime organisé.Comptes bancaires pillés, vols d’identité, vente de secrets industriels, ce sont plusieurs dizaines de milliards de dollars bien « réels » qui se volatilisent chaque année. Qui sont ces délinquants et ces réseaux organisés cachés derrière nos ordinateurs ? Entre Paris, Berlin et Moscou, les équipes d’Envoyé Spécial ont suivi pendant plusieurs mois les policiers spécialistes de la lutte anti cybercriminalité et des hackers pour mettre des visages sur ceux qui agissent de leur fauteuil, armés d’un clavier et d’un écran.
 
pas mal du tout
   
 

[Jojo67]

http://letemps.blogs.com/paris/2009/04/la-p%C3%A9nurie-de-coffreforts-qui-menace-le-secret-d%C3%A9fense.html

La pénurie de coffre-forts qui menace le secret défense

"Grandeur" oblige, on ne plaisante pas, en France, avec le secret défense. Après l'avoir utilisé pour étouffer le scandale des frégates de Taïwan, les autorités songent à le renforcer en empêchant les juges de mettre leurs nez dans des sites stratégiques sensibles.

 Mais avant d'élaborer une loi de plus, le gouvernement ferait bien de s'interroger sur la sécurité très relative dont jouissent les informations confidentielles au sommet de l'Etat. De passage dans le bureau d'un haut fonctionnaire du Quai d'Orsay, l'autre jour, j'aperçois une enveloppe jaune marquée "DGSE" et "confidentiel". Mon interlocuteur s'excuse: "J'ai demandé un coffre-fort, mais on me l'a refusé au motif que tout l'étage est sécurisé!" Les rapports des services secrets n'ont d'autre choix que de traîner ça et là, à portée du premier venu.

Car l'étage dont parle le fonctionnaire n'est pas vraiment "sécurisé". Certes, un pompier (?) et un gardien vous y accompagnent lorsque vous arrivez. Mais ensuite, on vous laisse seul, parfois pendant une bonne demi-heure. Il suffirait de pousser la porte non fermée d'un bureau, lorsque tout le monde est en réunion, pour s'emparer des secrets d'Etat (ceux de mon interlocuteur concernaient probablement l'Afrique).

Avis aux Etats étrangers: si vous voulez espionner tranquille, recrutez des secrétaires du Quai, ou, encore plus simple, prenez des rendez-vous sous des prétextes bidon à l'heure du déjeuner, traînez dans la salle d'attente et poussez les portes en faisant semblant de chercher quelqu'un. Si vous voyez une enveloppe jaune marquée DGSE, emportez-là : ils ne fouillent pas les gens à la sortie.

Le Quai d'Orsay est bien connu dans les milieux du renseignement militaire pour être d'un laxisme étonnant, récurrent, intangible, et pour tout dire scandaleux en matière de protection du secret. C'est quasi légendaire.

[g4lly]

http://www.lemonde.fr/technologies/article/2009/05/15/herisson-l-autre-systeme-de-surveillance-du-net_1187148_651865.html

Herisson, l'autre système de surveillance du Net

Le débat sur la loi Hadopi a mis en lumière les procédés de surveillance électronique. La France se dote progressivement d'un arsenal de surveillance à des fins militaires : Herisson, pour "Habile extraction du renseignement d'intérêt stratégique à partir de sources ouvertes numérisées".

Derrière ce nom sympathique se trouve une plate-forme consacrée au traitement des "sources ouvertes" à des fins de renseignement militaire d'intérêt stratégique. En clair : un outil qui serait en mesure de surveiller toutes les informations circulant sur les réseaux de communication. Un mode de fonctionnement qui pourrait s'apparenter au réseau Echelon, dont se sont dotés les Etats-Unis il y a déjà presque une décennie.

C'est un appel d'offres lancé en avril 2007 par la délégation générale de l'armement (DGA) qui a révélé le projet du gouvernement. Il prévoit la fabrication d'un outil capable de surveiller tous les réseaux, visibles ou souterrains, les échanges de communication, qu'ils soient écrits, audio ou vidéo, à partir de tous les médias disponibles, qu'ils s'agisse du téléphone, de sites Internet ou de messageries instantanées.

Détaillées dans un "cahier des clauses techniques particulières" que s'est procuré PC Inpact en mars dernier, toutes ces contraintes techniques permettraient à ce super indexeur des réseaux – bien que n'ayant pas vocation à s'immiscer dans la sphère privée – de tracer, mais aussi d'identifier les auteurs de fichiers ou de communications. Son installation serait prévue dans le centre d'expertise parisien d'Arcueil.

"PROTOTYPE DE DÉMONSTRATION"

EADS est mandaté depuis la fin de l'année dernière afin de suivre le projet pour les trois années à venir. Deux sociétés, Bull et Bertin, travaillent depuis à l'élaboration d'un prototype, un "démonstrateur technologique" selon un porte-parole de la DGA interrogé par Ecrans.fr.

A travers ses différents services de renseignement, la France utilise déjà diverses solutions commerciales destinées à effectuer une veille. Quant à savoir si le gouvernement envisage de créer un "Echelon" à la française ou d'introduire cette plate-forme dans le vaste projet "Frenchelon", le porte-parole précise que l'appel d'offres aurait dans ce cas été classé "secret-défense" et n'aurait donc pas été rendu public. Les données listées par Herisson ne seraient pas nominatives ; seule la nature des documents serait enregistrée. D'ailleurs, la CNIL n'a tout simplement pas été consultée puisqu'il ne s'agit que d'un "prototype de démonstration".

[g4lly]

http://www.spyworld-actu.com/spip.php?article10879

Lors de mes voyages à l’étranger je me suis fait contrôler à plusieurs reprises mon ordinateur portable à la douane ; Hasard ? Nécessité ? Pourquoi les douaniers contrôlent-ils de plus en plus les ordinateurs qui rentrent dans leur pays et comment réagir ?

« Shanghai 8h50 - poste de douane de l’aéroport de Pudong »
- Can I see your laptop sir ?
- Yes certainly
- We need to proceed to a deep investigation, this is a routine control. Can you wait in this room for 15 minutes ?
- Sure I wait (le douanier n’a pas encore tamponné le visa d’entrée) 25 minutes plus tard, le douanier revient, embarrassé :
- Can you unlock your computer Sir ?
- Sure (si vous refusez vous risquez de ne pas rentrer dans le pays, je n’ai pas essayé...)
- Je glisse le doigt sur le lecteur biométrique et le douanier repart avec mon PC satisfait... Quelques minutes plus tard il revient, radieux :
- No problem Sir you can proceed...

Démarrage du PC avec une clé USB Linux

Que s’est-il passé en coulisse ? Le douanier a démarré le portable avec une clef USB contenant une version de Linux de type Ubuntu, qui permet d’éviter le boot Windows, et donc le mot de passe qui va avec. Il visualise ensuite tous les fichiers dans « Mes documents » et les copie sur la clef USB. Il éteint ensuite le PC et vous le restitue. Variante : Il « ghoste » tout le disque dur, ce qui prend un peu plus longtemps, de l’ordre de 20 minutes pour 60 Go. L’avantage de faire une copie de tout le disque est de trouver des documents dans le cache Windows, ou bien des mots de passe ou des cookies, ainsi que l’historique de tous les sites explorés par l’utilisateur.

Pourquoi le douanier m’a-t-il demandé de déverrouiller mon ordinateur ? Parce qu’il n’a pas pu booter la clef USB avec Linux et n’a pas pu accéder au disque dur, celui-ci étant chiffré et protégé par biométrie. J’avais deux options : soit refuser de déverrouiller le portable auquel cas j’aurais pu être refoulé, ou arrêté, soit accepter et donner accès à mon disque. Ont-ils récupéré des informations sensibles, comme des audits sécurité de clients, ou bien d’autres informations économiquement intéressantes ?

Quelle parade ?

La réponse au passage de douane en Chine est double : soit vous chiffrez le disque dur, avec la possibilité de vous faire refouler, si les autorités n’ont pas accès au disque (c’est le cas dans de nombreux pays pour lutter contre le terrorisme et les fraudes financières), soit vous arrivez avec un ordinateur « vide », et vous vous connectez en extranet en utilisant un canal chiffré (SSL). Ainsi, la plupart des consultants internationaux et avocats préconisent de passer toute douane avec un ordinateur ne contenant aucun fichier sensible, et de se connecter à distance à leur bureau ou à un dispositif de type « Google docs » et Gmail.

Un utilitaire comme Truecrypt

Bruce Schneier, grand guru de la sécurité, préconise l’utilisation de la stéganographie, notamment en créant une partition chiffrée cachée sur le disque à l’aide d’un utilitaire dédié comme Truecrypt. C’est une bonne idée, mais si la douane se rend compte de la tactique, il se peut que les ennuis soient bien pires que le remède.

Le plus simple est la technique de la lettre volée ... utiliser un fichier standard dont le contenu est crypté caché sous l'apparence d'un fichier standard systeme ... comme l'hybersys ou un pagefile inutilisé. On peut aussi planquer de la donnée crypté dans les partition de restauration des OS... etc. Sinon reste la soltuion des carte mémoire des téléphone ou appareil photo qui permettent de stocker plusieurs giga de maniere tres discrete.

[cvs]

Dans tous les pays, ils contrôlent les PC portables comme ça ?

[Kenwod]

Des Pays de l'Est et quelques pays Anglo saxons que j'ai pu faire, aucun ne m'a jamais demandé de leur laisser mon portable, juste parfois vérifier le fonctionnement effectif de l'OS. Même à Hong Kong, ils ne m'avaient pas demandé cela... (mais c'était en 2005 pour la dernière fois, peut être cela à changé)

Au pire, mes quelques données sensibles sont sur clé USB en cryptage fort (pour ne pas dire très très fort puisque fournie par le service travaillant avec les armées et ne fonctionnant qu'avec mon portable), et dans le portable rien, hormis un client VPN pour se connecter aux ressources de mon entreprise. La clé USB (IP67) n'étant là qu'un cas de non connexion possible..

[g4lly]

http://www.spyworld-actu.com/spip.php?article11079

La Commission nationale Internet et liberté vient officiellement de rendre un «  avis favorable » concernant les dispositifs biométriques basés sur la « reconnaissance du réseau veineux ». Une technologie dite « sans trace » qui serait, par conséquent, moins risquée. Une bonne nouvelle, puisque, malgré leur succès grandissant, les systèmes de sécurité biométriques ne sont pas « révocables ».

L'avis de la Commission (article 50) a été publié au Journal Officiel, le 21 juin 2009. Il stipule que la Cnil « autorise la mise en œuvre de dispositifs biométriques reposant sur la reconnaissance du réseau veineux des doigts de la main ayant pour finalité le contrôle de l'accès aux locaux sur les lieux de travail ». Début mai, après la délibération, un formulaire de déclaration a d'ailleurs été mis en ligne.

Contrairement aux empreintes digitales qui peuvent être captées à l'insu de leur propriétaire (sur une poignée de porte, par exemple) puis reproduites dans du silicone, le réseau veineux de la main, situé « à l'intérieur » du corps, ne pourrait-être ni capté ni reproduit. Reste que la doctrine de la Cnil mentionne tout de même un défaut majeur des identités biométriques : leur irrévocabilité. En cas de défaillance (usurpation d'identité), elles deviennent inutilisables par leurs propriétaire d'origine.

Réseau veneux
Dans son combat, la Cnil tente également de limiter le recours aux bases de données centrales réservées à des organismes stratégiques et « légitimes » (centrales nucléaires, par exemple). Dans tous les autres cas, on privilégiera le droit de chacun à « contrôler » l'usage de ses données personnelles (stockées sur un support individuel utilisé par un terminal de lecture-comparaison, entre autres).

[g4lly]

http://securite.reseaux-telecoms.net/actualites/lire-les-directives-nationales-de-securite-ce-secret-s-applique-t-il-a-votre-systeme-d-information-20396-page-3.html

Des organisations privées et publiques si elles ont un rôle stratégique en France peuvent se voir forcées d'appliquer des directives nationales de sécurité (DNS). Les DNS impactent l'informatique. Et il n'est pas simple de les appliquer car elles sont classifiées.

Le 25 juin, le Cercle Européen de la Sécurité et des Systèmes d'Information a consacré son séminaire mensuel aux directives nationales de sécurité (DNS) dont certaines dispositions ont des impacts sur l'informatique.

A ce jour, les services gouvernementaux ont identifié 234 opérateurs dans 12 secteurs d'activité comme étant concernés. Ils sont présents aussi bien dans l'industrie que dans les établissements publics. Mais les considérations liées au Secret Défense compliquent légèrement les choses. En effet, ces informations sont classifiées, c'est à dire que l'on ne peut pas en parler librement.

Pierre Lasbordes, député spécialiste des questions de sécurité, a tout d'abord rappelé ce que sont les DNS. Celles-ci concernent les infrastructures critiques dans un secteur d'activité vital, autrement dit des services nécessaires pour répondre aux besoins essentiels du pays ou de la population. La définition est assez large pour inclure aussi bien les hôpitaux que la SNCF.

L'objet des DNS est de préserver la sécurité de ces infrastructures afin de garantir leur fonctionnement continu. Chaque secteur vital est rattaché à un ministère coordinateur qui rédige les directives nationales de sécurité (DNS) sous la coordination du secrétariat général du Gouvernement. Les DNS sont ensuite adressées à tous les opérateurs « d'importance vitale » qui ont l'obligation de les appliquer à leurs frais.

Si le sujet visé par l'une ou l'autre de ces DNS est externalisé, l'opérateur est responsable de la bonne exécution des consignes par son sous-traitant. Bien entendu, l'Etat se réserve le droit d'auditer les dits opérateurs pour vérifier l'application des DNS.

Le RSSI de la SNCF concerné témoigne
« Les DNS comprennent trois grandes familles de directives » a témoigné Sylvain Thiry, RSSI de la SNCF. Il détaille ainsi : « On trouve tout d'abord, la gouvernance des risques externes. La démarche est très proche de l'ISO 27000, avec une analyse de risques, une politique de sécurité et des moyens à mettre en oeuvre. Ensuite, il y a les points d'importance vitale à protéger. Enfin, il y a les consignes Vigipirate qui sont très opérationnelles mais peuvent arriver à tout moment y compris en dehors des horaires ouvrés, ce qui implique de mettre en oeuvre une astreinte. »

Pour les systèmes d'information, les DNS concernent autant les risques logiques que physiques. « Il y a un accent sur la ToIP car celle-ci est moins fiable et moins sûre que la téléphonie classique mais, en revanche, l'accès à Internet ne semble pas avoir été pris en compte alors que beaucoup d'entreprises sont incapables de fonctionner sans celui-ci » prévient Sylvain Thiry.

Il en déduit logiquement : « Les DNS sont une faible part de la sécurité et ce serait une grosse erreur que de construire sa politique de sécurité en se basant sur celles-ci. Il faut juste intégrer les DNS à sa politique. Et le RSSI est évidemment le responsable pour tout ce qui concerne l'informatique. »


Il y a cependant un vrai problème avec ces DNS : elles sont classifiées. Ce qui signifie que l'on ne doit pas en parler. Pour Sylvain Thiry, « il n'est pas simple d'organiser le travail sans donner à ses collaborateurs les tenants et aboutissants. Et les habilitations, qui mettent de 4 à 6 mois à être délivrées, ne concernent que ce qui est strictement nécessaire au regard de sa fonction. »

Un effet secondaire, c'est que personne dans le grand public ou parmi les professionnels ne sait exactement quelles entreprises ou organisations sont concernées, sauf les responsables de celles-ci, et quelles sont les consignes données (puisqu'elles sont classifiées), même vaguement. Les DNS ne peuvent donc pas servir de référentiel ou de bonnes pratiques qui pourraient être appliquées volontairement par d'autres structures.

Selon Pierre Lasbordes, « Les DNS, comme les certifications ISO, apportent un plus aux organisations qui les appliquent. Ce ne sont pas que des contraintes. » Il ne reste pas moins que seulement 10% de l'objectif est aujourd'hui atteint en terme d'identification des opérateurs et des risques ainsi que de conception des DNS.

Les prochaines Assises de la Sécurité y seront largement consacrées et un travail en commun avec le Cigref est prévu sur plusieurs années.

[Thyd]

La France s'y mettrait enfin ...

http://blog.latribune.fr/blogpascal/?p=199

Je ne savais pas trop où mettre ce fil, la création d'un chapitre spécifique à l'information/informatique/électronique/technologie serait peut-être pas mal.

[Tomcat-2000]

Je pense que c'est dans la continuité  de ce topic.
http://www.air-defense.net/Forum_AD/index.php/topic,7219.175.html

[philippe]

http://www.lepoint.fr/actualites-technologie-internet/2009-07-09/cyberguerre-la-france-les-etats-unis-et-la-coree-du-sud-cibles-de-cyber/1387/0/359876

Des États font l'objet de cyber-attaques coordonnées de plus en plus inquiétantes, d'autant qu'il est presque toujours impossible de déterminer avec certitude leur origine. Dernière en date : celle qui a visé les États-Unis et la Corée du Sud ces derniers jours. Selon le renseignement sud-coréen, elle ne peut être que le fait d'un État ou d'une organisation. Plusieurs sites sensibles ont été ciblés aux États-Unis, dont ceux de la Maison-Blanche, du Pentagone, du département d'État ou encore de la Bourse de New York, alors que les Américains célébraient le 4-Juillet, leur fête nationale. En France, le directeur de la nouvelle agence de cybersécurité a révélé qu'une attaque a visé l'Hexagone début 2009.

Une origine difficile à déterminer

"Nous enquêtons, mais nous ne sommes pas encore en mesure de confirmer l'origine de l'attaque, qui a depuis beaucoup diminué d'intensité, et ne semble pas avoir fait beaucoup de dégâts", a précisé Ian Kelly, porte-parole du département d'État (équivalent américain du ministère des Affaires étrangères). Les dommages ont en revanche été plus sérieux en Corée du Sud, où plusieurs sites, notamment ceux de la présidence et de la Défense, ont été touchés mardi 7 juillet, au point d'être mis hors service pendant quatre heures, selon la presse locale.

Des cyber-attaques quotidiennes

Le département américain de la Sécurité intérieure a rappelé que les "cyber-attaques" visant les sites gouvernementaux sont pratiquement quotidiennes. Qualifiée de "peu sophistiquée" par les experts, cette récente attaque pourrait provenir de la Corée du Nord, selon l'agence sud-coréenne Yonhap, qui rappelle que la tension est montée d'un cran entre les deux Corée depuis que le régime nord-coréen a exécuté son deuxième essai nucléaire, le 25 mai. "Ce n'est pas une simple attaque lancée par des particuliers. L'offensive semble avoir été élaborée par une organisation ou par un État", ont expliqué les services secrets sud-coréens (NIS). Selon eux, 12.000 ordinateurs de particuliers en Corée du Sud et 8.000 à l'étranger ont été utilisés pour lancer les offensives.

"Une arme idéale"

L'Estonie, ou encore la Géorgie, ont été ciblées en 2007 et 2008. L'Otan avait tiré la sonnette d'alarme en mars 2008, estimant qu'une attaque cybernétique serait "quasiment impossible à stopper". "La guerre cybernétique peut devenir un grave problème global, parce qu'elle est peu risquée, peu coûteuse, très efficace et facilement mise en oeuvre. C'est une arme idéale que personne ne peut ignorer", a alors expliqué Suleyman Anil, le directeur du Centre de sécurité informatique de l'Otan. En juin 2009, le Pentagone a annoncé la création d'un commandement militaire chargé de réagir aux attaques informatiques et de conduire des offensives dans le cyberespace, le Cyber Command, qui sera opérationnel à partir de cet automne. Il est dirigé par le général Keith B. Alexander, le patron de la NSA (National Security Agency), le plus puissant des services américains d'espionnage.

La France attaquée début 2009

En marge de l'agitation provoquée par l'attaque coordonnée contre les États-Unis et la Corée du Sud, Patrick Pailloux, directeur de la nouvelle agence française de cyber-défense a révélé jeudi 9 juillet qu'une administration française a été victime d'une cyber-attaque au premier trimestre, une agression qui a rendu "indisponibles" plusieurs de ses sites et sa messagerie pendant plusieurs heures. Ce polytechnicien de 43 ans, nommé à la tête de l'Agence nationale de la sécurité des systèmes d'information (Anssi), s'exprimait lors d'une conférence de presse organisée pour présenter cette agence gouvernementale. Il n'a donné volontairement aucun autre détail, mais a précisé que cette attaque avait été menée pendant la nuit à partir de 7 000 ordinateurs infectés.

[g4lly]

http://bugbrother.blog.lemonde.fr/2009/08/06/la-carte-didentite-uk-piratee-en-12/

... muni de son téléphone mobile et d’un ordinateur portable, Adam Laurie a d’abord cracké l’algorithme de sécurité de la puce RFiD “sécurisée“, copié toutes les données qu’elle contenait, avant de cloner la carte d’identité en… 12 minutes.

Petit détail : il a aussi réussi à modifier toutes les données de la carte clonée : nom, caractéristiques physiques, empreintes digitales, droits aux prestations sociales…

Afin de signer son exploit, et d’éviter que la carte clonée ne puisse être utilisée à de vils desseins, il a aussi tenu à rajouter, à l’intention des autorités, cette petite dédicace :

    Je suis un terroriste. Tirez à vue...

[fool]

...
   Je suis un terroriste. Tirez à vue...

  en plus d'etre doué et couillu il a le sens de l'humour   ! ............

[Chris.]

faut espérer que les services de sécurité en aient autant... 

non parce qu'à mon avis, si jamais y en a qui passe un contrôle avec cela, il fini dans une salle d'interrogatoire pour plusieurs heures...

[g4lly]

http://pro.01net.com/editorial/505626/l-ecoute-des-gsm-bientot-accessible-a-tous/

Chercheur à l'université de Virginie aux Etats-Unis, Karsten Nohl prend la relève d'un projet lancé il y a quelques années : créer une table arc-en-ciel (1) permettant d'accélérer le déchiffrement d'une conversation téléphonique cryptée avec l'algorithme A5/1 : autrement dit, rendre beaucoup plus aisée l'écoute des communications classiques affrétées via les téléphones mobiles de deuxième génération, que nous utilisons tous les jours.

Pour éviter les mêmes désagréments que ses prédécesseurs – qui auraient subi des pressions de la part d'opérateurs –, Karsten Nohl a pris le parti (le soin ?) d'utiliser l'informatique distribuée, diluant ainsi les intervenants sur Internet. Les participants ont juste à installer sur leur machine un petit composant – un intergiciel – qui les relie entre eux et leur alloue un temps processeur affecté à des séquences de calcul issues d'un découpage du projet de calcul global. Ce choix plutôt rusé le met à l'abri des pressions pour ce projet, qui, par ailleurs, est tout-à-fait légal tant que la table n'est pas utilisée.
Provoquer pour être « écouté »

Dans le cas présent, à la différence d'un SETI@home, autre projet distribué qui n'en finit pas de chercher des extra-terrestres, le projet de création de table pourrait aboutir d'ici à six mois(2).

Dès lors, il ne sera plus nécessaire d'investir dans un logiciel onéreux (on parle aujourd'hui d'une fourchette allant de 100 000 à 250 000 dollars), ni de disposer d'une infrastructure matérielle démesurée pour casser la clé : un simple ordinateur et de bonnes connaissances techniques suffiront pour placer un téléphone sur écoute.

Karsten Nohl ne cache pas ses motivations. Il veut tout simplement que la 2G bénéficie d'une protection digne de ce nom au même titre que la 3G et la future 4G, face à cette faille déjà bien connue. Il compte surtout, avec cette énorme provocation, sensibiliser constructeurs et opérateurs autour de cette question.

Il faut savoir qu'en France, au 1er trimestre 2009, le parc 2G était encore de 45 millions d'unités pour un parc mobile total de 58 millions de terminaux.

(1) Structure de données renfermant les différentes combinaisons de chiffrement possibles favorisant un meilleur compromis temps-mémoire.

(2) Selon Nohl, avec 160 personnes partageant leurs ressources la table serait terminée en un mois et demi.

[g4lly]

http://www.lemonde.fr/technologies/article/2009/10/19/l-armee-americaine-veut-reinventer-son-propre-internet_1255749_651865.html

a Defense Advanced Research Projects Agency (Darpa), l'agence de l'armée américaine chargée de la recherche, a confié à Lockheed Martin et à plusieurs autres entreprises, dont Microsoft, le soin de créer un protocole de réseau militaire distinct d'Internet. Ce "Military Network Protocol", alternative au classique protocole TCP/IP, mettra l'accent sur la sécurité.

"Lockheed Martin développera de nouvelles technologies de routeurs, comportant de stricts contrôles d'authentification et capables de s'autoconfigurer, qui amélioreront la sécurité des réseaux et réduiront les besoins en formation des équipes", explique l'entreprise dans un communiqué. Des entreprises comme Anagran, Juniper Networks, LGS Innovations, et Microsoft collaboreront au projet, ainsi que l'université de Stanford. Le projet dispose d'un financement de 31 millions de dollars (un peu plus de 20 millions d'euros).

Le précurseur d'Internet, le réseau Arpanet, avait été créé par la Darpa, alors appelée Arpa. Initialement conçu pour permettre aux ordinateurs des forces armées de communiquer simplement et rapidement, et ce même si une attaque nucléaire détruisait certains nœuds du réseau, le système avait ensuite été adopté par les grandes universités américaines, avant de s'étendre au grand public.

[collectionneur]

Les données devront suivre le même cheminement que les infos de l'internet ''normal'', donc pourront toujours êtres détournée. 

[g4lly]

Les données devront suivre le même cheminement que les infos de l'internet ''normal'', donc pourront toujours êtres détournée. 

C'est pas bien grave ... si un elle ne sont pas exploitable ... deux elle ne sont pas reinjectable sans etre detectée.

[collectionneur]

Inauguration, aux États-Unis, du premier centre unifié de cyber sécurité par la sécurité intérieure :

http://www.lemonde.fr/technologies/article/2009/11/02/inauguration-aux-etats-unis-du-premier-centre-unifie-de-cyber-securite_1261535_651865.html


Dépenses de cybersécurité prévu par l'administration US :

2009 - $7.9 billion
2010 - $8.3 billion
2011 - $9 billion
2012 - $9.8 billion
2013 - $10.7 billion
2014 - $11.7 billion  

Article d'origine : http://fcw.com/articles/2009/11/02/week-cybersecurity-infographic.aspx?sc_lang=en

N'est ce pas un excessif en terme de budget, il ne s'agit ici que d'ordinateurs et de programmes, non de porte avions nucléaires

[g4lly]

http://www.france24.com/fr/20091128-phone-mobile-teint-peut-trahir-secrets-dune-r-union-mais-il-y-a-une-parade

Un téléphone mobile éteint peut trahir les secrets d'une réunion, mais il y a une parade..

AFP - Un téléphone mobile éteint, posé sur la table d'une réunion, peut être actionné à distance pour écouter ce qui se dit. Pour rendre "sourds" ces appareils communicants, une parade a été trouvée, selon Alain Hurst, de la Direction des applications militaires du CEA.

"Les téléphones portables actuels disposent quasiment tous d'un mode d'écoute discrète activable par un code informatique que les opérateurs de téléphonie peuvent envoyer sans que le possesseur du portable s'en rende compte", explique à l'AFP ce responsable de la sécurité informatique pour le pôle Défense du CEA.

La plupart des téléphones modernes "sont activables à distance", notamment "pour qu'on puisse mettre les portables sur écoute" sur demande d'un juge, une fonctionnalité qui peut aussi servir à des "utilisateurs malveillants", ajoute-t-il.

Donc, "il y a un risque qu'un téléphone portable soit utilisé comme micro-espion, un peu n'importe où", précise cet expert.

Même éteint, un téléphone mobile "continue à être actif", la connexion n'est pas interrompue. Pour l'éteindre vraiment, il faut enlever la batterie, lors des "réunions sensibles", dit-il.

Pour protéger la confidentialité de réunions, dans le domaine militaire, mais aussi des secrets industriels, il est actuellement recommandé d'enlever les batteries ou de laisser le téléphone à l'extérieur de la salles. Des petits coffres pour ranger les mobiles sont mis à la disposition des participants.

Mais ces mesures de sécurité posent un problème, car un responsable en réunion peut avoir besoin d'être joignable. De plus, enlever sa batterie oblige à refaire ensuite des réglages d'horloge et autres paramètres.

D'où la nécessité de trouver une autre parade au risque d'écoutes. L'objectif est, selon M. Hurst, de faire "quelque chose de facilement utilisable pour que les gens acceptent mieux une contrainte de sécurité".

"Comme on ne peut pas couper le micro et couper l'alimentation d'un téléphone portable facilement, l'idée c'est d'empêcher les ondes sonores d'arriver au micro, en l'enfermant dans une boîte atténuant le son", poursuit-il.

On peut aussi brouiller le son ou le remplacer par autre chose, une musique par exemple, ajoute-t-il, précisant que le CEA a déjà déposé un brevet protégeant son concept qui s'inspire des casques anti-bruits.

Des contacts ont été pris avec un industriel pour développer un prototype.

L'idée est d'associer mousse ou autre matériau d'isolation acoustique, en enfermant le téléphone dans une "pochette pratique", un étui compact muni d'une lampe qui pourrait s'allumer pour signer l'arrivée d'un appel.

Le propriétaire du mobile pourrait alors sortir de la salle de réunions pour prendre son appel.

"Au début on avait imaginé de faire des pochettes empêchant les ondes électromagnétique de passer, donc le téléphone portable d'émettre", mais certains mobiles seraient capables d'enregistrer le message et le réemettre plus tard. "Donc, il vaut mieux couper le son que couper la communication", résume M. Hurst.

Le prix du boîtier assourdissant "ne devrait pas être trop onéreux", proche de celui des "petits coffres" actuels, soit autour de cent euros, selon M. Hurst qui espère que le projet aboutira "le plus rapidement possible".

[g4lly]

http://www.ttu.fr/francais/Articles/Industrie%20%26%20materiels/index.html

Depuis quelques jours, le logiciel d’investigation de systèmes informatiques COFEE, développé par Microsoft, est apparu sur différents réseaux Internet d’échanges de fichiers. COFEE (Computer Online Forensic Evidence Extractor) permet aux forces de police ainsi qu’aux services de renseignement d’extraire rapidement les données inscrites, voire celles effacées sur les disques durs des ordinateurs sous Windows.

Déjà utilisé par une vingtaine de pays, l’outil était, jusqu’à présent, livré gratuitement aux forces de sécurité par Microsoft. En avril 2009, Microsoft et Interpol ont signé un accord de coopération permettant à cette dernière de servir de principal distributeur auprès de ses Etats membres. Le Center for Cyber Crime Investigations de l’University College de Dublin assure la formation au programme en collaboration avec Interpol. Aux Etats-Unis, le logiciel était fourni aux forces de police via le National White Collar Crime Center, structure fédérale en charge du soutien en matière d’enquête sur les crimes et les délits informatiques et économiques.

Présenté sous la forme d’un fichier auto-exécutable sur une clé USB, COFEE permet de disposer de quelque 150 commandes pour récupérer des données, attaquer le décryptage des mots de passe et explorer les données éventuellement effacées sur une machine. Selon Microsoft, le système permet de réduire le délai de collecte de données sur un ordinateur de quatre heures à moins de vingt minutes. COFEE a été mis au point par Anthony Fung, un ex-policier de Hongkong désormais employé par la Microsoft Internet Safety Enforcement Team.

L’outil est disséqué sur plusieurs forums informatiques, où s’échangent des évaluations du logiciel et des mesures de protection permettant de réduire la vulnérabilité des machines, en s’appuyant sur des outils de cryptographie et de partition des disques durs. Certains “clans” de hackers préconisent, pour les plus prudents, la mise en place d'un dispositif de “machines IED”, qui, en cas d’arrêt brutal, redémarre sur une partition piégée, ou l’usage d'un système hardware permettant un déclenchement d’urgence et silencieux de l’effacement du disque dur. Plusieurs spécialistes informatiques, plus critiques, soulignent que des fonctions similaires à COFEE étaient déjà réalisables par le biais de solutions Linux, qui permettent, en outre, de récupérer des données dans des environnements systèmes non-Windows

[collectionneur]

Pour le téléphone, le mettre sous un cloche à fromage, cela ne suffit pas 

[TELCO]

" Chercheur à l'université de Virginie aux Etats-Unis, Karsten Nohl prend la relève d'un projet lancé il y a quelques années : créer une table arc-en-ciel (1) permettant d'accélérer le déchiffrement d'une conversation téléphonique cryptée avec l'algorithme A5/1 : autrement dit, rendre beaucoup plus aisée l'écoute des communications classiques affrétées via les téléphones mobiles de deuxième génération, que nous utilisons tous les jours. "

J'ai lu l'article, mais même s'ils arrivent à casser le l'algo. ils ont besoin d'accèder en temps réèl à l'interface air au même moment que l'utilisateur ?

 

[TELCO]

@g4lly au sujet de l'article sur les portables qui peuvent servir de micro espion.

Là j'ai du mal...à partir du moment où le GSM n'est plus raccordé au réseau, il n'est pas à ma connaissance possible de le piloter à distance ( il faudra m'expliquer par quel canal - flux ).
Seule possibilité, réussir à introduire un script malveillant en amont et lui faire executer des manips à l'insu de son propriétaire ( accès réseau / transmission de données / SMS spamming...).
A part cela, l'article relève de la Si Fi ( pour le moment...).
@+

[g4lly]

@g4lly au sujet de l'article sur les portables qui peuvent servir de micro espion.

Là j'ai du mal...à partir du moment où le GSM n'est plus raccordé au réseau, il n'est pas à ma connaissance possible de le piloter à distance ( il faudra m'expliquer par quel canal - flux ).
Seule possibilité, réussir à introduire un script malveillant en amont et lui faire executer des manips à l'insu de son propriétaire ( accès réseau / transmission de données / SMS spamming...).
A part cela, l'article relève de la Si Fi ( pour le moment...).
@+

Ton GSM s'inscrit sur le réseau a chaque fois que tu passe pas loin d'un relai, c'est ce qui te permet de recevoir un appel. De la l'opérateur sait sur quel relai tu captes. A ce moment il peut envoyer un message a ton portable via les code sim qui vont bien pour y télécharger des mise a jour par exemple. Mise a jour des numéro de service mise a jour des acces 3G et plein d'autre truc. En gros l'opérateur peu prendre la main sur ton téléphone a distance. Partant de là il peu aussi probablement si y a une backdoor dans le firmware mettre le téléphone en mode "babyphone" ...

Le probleme c'est le firmware du téléphone et la complicité de l'opérateur. Si tu reflash ton téléphone avec un firmware "safe" et que tu le fais pas hacké ... normalement on ne doit pas pouvoir t'écouter en dehors de tes appels. Par contre la localisation ca c'est tout le temps... sauf quand bébé a plus assez de jus pour émettre le signal de roaming.

[TELCO]

Ok pour ton explication,  cependant l'article explique qu'au départ le mobile est éteint ( hors tension ). C'est là que leur explication ne tiens plus la route , à part si le mobile a été vérolé par un script qui va rallumer le device à l'insu ( de son plein gré ) du propriétaire...
De plus la mise à jour de loc elle, ne se fait pas au passage de relais, mais quand tu bascules d'un switch à un autre ( entre autre ).
A fortiori, mobile éteint, tout le monde est aveugle y compris l'opérateur.