L’évolution de l’homme passera t-elle par le Web ? Web 1.0 au Web 6.0
L’évolution de l’homme passera t-elle par le Web ?
Retour sur 20 ans d’évolution du Web et tendances à venir avec cet outil de communication extraordinaire mais aussi siège de nouveaux risques…
Le web est sans nul doute une technologie majeure du 21ème siècle. Et si sa nature, sa structure et son utilisation ont évolué au cours du temps, force est de constater que cette évolution a également profondément modifié nos pratiques commerciales et sociales.
Pour mieux comprendre les enjeux et les différentes phases de cette évolution, je me suis livrée pour vous à un exercice de synthèse, qui ne se veut en aucun cas exhaustif, mais qui devrait vous fournir quelques clés de compréhension.
Evolution du Web vs Evolution de l’homme ?
Retour sur 20 ans d’évolution et d’utilisation du Web, cet outil de communication extraordinaire mais aussi siège de nouveaux risques…
Au fil de mes lectures, discussions, émissions, conférences ou tables rondes, de plus en plus de personnes me parlent de web 3.0, voire même 4.0!
Et si tout le monde s’accorde à dire que les Web 3.0 et 4.0 sont les prochaines phases de l’évolution du Web que nous connaissons, les avis sont loin de converger quant à la chronologie ou aux concepts et technologies propres à chaque étape.
Mais une chose est sûre : l’accélération remarquable de cette évolution est d’autant plus vertigineuse que je constate, dans la pratique, que bien des PME peinent à intégrer la seule notion de web 2.0 !
Il m’a donc semblé utile de revenir sur l’évolution d’Internet vous aider à mieux comprendre les enjeux et l’importance de cette transformation, ainsi que son impact sur la manière de gérer préparer l’avenir.
Le Web 1.0 des années 90 (Le Web Passif ou Web traditionnel)
Souvenez-vous ! Le Web 1.0, celui des années 90, a un fonctionnement très linéaire : un contenu proposé par un producteur est affiché sur un site Internet consulté par des internautes. C’est un web statique et passif : les sites internet sont centrés sur la distribution d’information consommée passivement par l’internaute comme on peut le faire dans un bibliothèque par exemple Le Web à ce stade se caractérise par des sites orientés produits, qui sollicitent peu l’intervention des utilisateurs. Les premiers sites d’e-commerce datent de cette époque. Le coût des programmes et logiciels propriétaires est énorme et l’explosion de la bulle internet en 2000 remet en question cette approche de la toile.
Le Web 2.0 des années 2000 à 2009 (Le Web collaboratif)
Au début des années 2000 apparaît l’avènement du web 2.0. Le rêve de Tim Berners-Lee (principal inventeur du World Wide Web (WWW) au tournant des années 1990) devient réalité : les internautes ne sont plus seulement consommateurs passifs, mais contribuent activement d’une part à la création de contenus, mais aussi à la validation de leur valeur.
Les blogs apparaissent (Blogger en 1999 – racheté par Google en 2003, Skyblog en 2002), les forums se développent (phpBB, 2000), ainsi les wiki (Wikipédia, 2001), et sans oublier les réseaux sociaux (MySpace en 2003, Facebook en 2004)…
Complément :
On attribue communément à Wikipédia le statut de premier site collaboratif d’envergure, marquant la date effective de naissance du web 2.0.
Le Web 3.0 de 2010 à ? (Le Web sémantique ou « smart » Web)
La bataille est rude entre les experts pour se mettre d’accord sur ce que sera le futur du web. Ce qui est certain, c’est que ce web sera technologique : les machines et les individus sont de plus en plus connectés entre eux. Nous avons déjà les smartphones, les tablettes, et on voit arriver doucement mais sûrement la connexion à Internet de nos outils de tous les jours : les réfrigérateurs, les voitures, les chaussures aussi…
Ce futur Web vise à organiser la masse d’informations disponibles en fonction du contexte et des besoins de chaque utilisateur, en tenant compte de sa localisation, de ses préférences, etc. C’est un web qui tente de donner sens aux données. C’est aussi un web plus portable et qui fait de plus en plus le lien entre monde réel et monde virtuel. Il répond aux besoins d’utilisateurs mobiles, toujours connectés à travers une multitude de supports et d’applications malines ou ludiques, l’ensemble créant et échangeant automatiquement des données (géolocalisation, goût, reconnaissance faciale…).
Les sites Internet deviennent des applications en ligne qui savent analyser automatiquement les contenus écrits et picturaux, qui savent les interpréter, les comprendre, les classer et les rediffuser vers un nouveau public internaute. L’ensemble des données devenant par le fait des outils, on parle donc de web sémantique.
Le Web 4.0 ou HyperWeb ? de 2020 ? à ?
Le web 4.0, évoqué par certains comme le web intelligent, effraie autant qu’il fascine, puisqu’il vise à immerger l’individu dans un environnement (web) de plus en plus prégnant. Il pousse à son paroxisme la voie de la personnalisation ouverte par le web 3.0 mais il pose par la même occasion de nombreuses questions quant à la protection de la vie privée, au contrôle des données, etc. C’est un terrain d’expérimentation où tous ne sont pas (encore) prêts à s’aventurer!
Et l’évolution de l’homme dans tout ça me direz-vous ?
Piratage informatique d’une banque : 500 000 euros dérobés aux clients d’une banque européenne
Piratage informatique d’une banque : 500 000 euros dérobés aux clients d’une banque européenne
Une banque européenne s’est fait dérober 500 000 euros en l’espace d’une semaine suite à une fraude réalisée à l’aide d’un cheval de Troie.
Piratage informatique d’une banque : 500 000 euros dérobés aux clients d’une banque européenne
Une banque européenne s’est fait dérober 500 000 euros en l’espace d’une semaine suite à une fraude réalisée à l’aide d’un cheval de Troie.
500 000 euros en 7 jours, tel est le butin que des cybercriminels ont réussi à subtiliser à une grande banque européenne dont l’identité n’est pas connue. C’est l’éditeur Kaspersky qui a découvert la fraude qui aurait eu cours entre le 13 et le 20 janvier.
Un cheval de Troie, surnommé Luuuk, a servi à collecter les données bancaires de quelque 190 clients basés en Italie et en Turquie. Le trojan a semble-t-il été injecté via une attaque de type « man-in-the-browser » afin de pouvoir déclencher des transactions en arrière-plan à l’insu des victimes. Les sommes étaient envoyées sur des comptes fictifs créés à cet effet puis l’argent était ensuite retiré en espèces à des distributeurs.
Deux jours après avoir découvert un serveur de commande et de contrôle, Kaspersky a averti la banque concernée. Mais les cybercriminels avaient eu le temps d’effacer toute trace pouvant permettre de remonter jusqu’à eux, ce qui laisse penser que cette fraude est peut-être toujours en cours. (Eureka Presse)
Émission d’une série sur le Numérique, présentée par Paula SAUDEZ et co-animée avec Maître ABENSOUR, avocat au bareau d’Avignon.
Le sujet du jour : Les Factures électroniques et leur valeur juridique avec la signature électronique
Les Factures électroniques et leur valeur juridique avec la signature électronique
1 Introduction de l’émission par Paula SAUDEZ
Accueil des auditeurs, accueil de Maître Abensour, avocat au barreau d’Avignon et accueil de l’invité Denis JACOPINI qui se présente.
2. Présentation de Denis JACOPINI
Je suis expert judiciaire en Informatique, Membre de la Compagnie nationale des experts de justice en informatique et techniques associées,
Et Membre de l’Association Française des Correspondants à la protection des Données à caractère Personnel.
Outre ma fonction d’expert informatique pour la justice dans le cadre d’affaires pénales ou de contentieux, pour lesquelles il m’est très souvent demandé des avis techniques ou des recherches de preuves, je suis aussi consultant en entreprise.
Parmi les missions qu’on peut me confier, j’aide les entreprises à se faire connaître en utilisant les technologies du numérique et de l’Internet en les conseillant et les accompagnant.
Le Dossier du mois de juin 2014 – L’utilisation juridique des documents numériques à l’ère de la dématérialisation à outrance
LE DOSSIER DU MOIS DE JUIN 2014
L’utilisation juridique des documents numériques à l’ère de la dématérialisation à outrance
1. Introduction
Dans le doute, après avoir numérisé un document officiel, vous avez probablement préféré conserver l’original dans son format matériel (bien souvent papier).
A l’heure de la dématérialisation à outrance (remplacement dans une entreprise ou une organisation de ses supports d’informations matériels, souvent en papier, par des fichiers informatiques et des ordinateurs, jusqu’à la création de « bureau sans papier » ou « zéro papier » quand la substitution est complète), il est temps de se poser des questions sur la valeur juridique des documents informatiques en cas de contestation ou de litige.
Le traitement de documents dématérialisés présente un certain nombre d’avantages significatifs :
Transparence
La dématérialisation garantit une plus grande transparence des procédures et une efficacité économique accrue.
Traçabilité
La dématérialisation permet de conserver un historique de la réception des plis et de l’ensemble des échanges lors de la procédure. Cet historique, généré automatiquement par la plateforme de dématérialisation, a valeur de force probante.
Economie de temps
Les formulaires électroniques sont téléchargés sur Internet, ils sont pré-remplis et réutilisables. Les temps d’envoi des plis de réponse sont raccourcis, plus besoin de passer par un coursier ou de supporter les délais postaux, notamment les délais de retour des accusés de réception.
Economie d’argent
Les frais d’impression des dossiers de réponse représentent des coûts non négligeables, d’autant plus qu’il s’agit généralement de plis volumineux. Les frais d’envois par courrier recommandé ou par coursier sont particulièrement lourds, un recommandé électronique possède la même valeur légale qu’un recommandé papier.
Economie d’espace
L’archivage des pièces électroniques est plus simple et surtout moins consommateur d’espace.
2. La preuve électronique
Pour qu’un document électronique puisse être juridiquement utilisé et puisse constituer une preuve, on doit pouvoir au moins :
– identifier l’auteur du document (ou de la signature)
– pouvoir affirmer qu’il est bien conforme à l’original (intégrité conservée)
Pour atteindre ces objectifs, un système existe. Il s’appuie sur la notion de signature électronique.
3. Qu’appelle-t-on une signature électronique et quelle est sa valeur juridique ?
La signature électronique consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache.
La loi n° 2000-230 du 13 mars 2000 et son décret d’application du 30 mars 2001, portant adaptation du droit de la preuve aux technologies de l’information et relative à la signature électronique, a reconnu l’existence de la signature électronique sécurisée selon des critères stricts. Elle précise que toutes les signatures électroniques sont recevables en justice dès lors qu’elles assurent, à l’aide d’un procédé fiable, l’identification du signataire et l’intégrité de l’acte.
L’article 1316-4 du Code Civil précise :
La signature nécessaire à la perfection d’un acte juridique identifie celui qui l’appose. Elle manifeste le consentement des parties aux obligations qui découlent de cet acte. Quand elle est apposée par un officier public, elle confère l’authenticité à l’acte.
Lorsqu’elle est électronique, elle consiste en l’usage d’un procédé fiable d’identification garantissant son lien avec l’acte auquel elle s’attache. La fiabilité de ce procédé est présumée, jusqu’à preuve contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées par décret en Conseil d’Etat.
Il existe 2 types de signatures électroniques :
La signature électronique “simple” qui doit permettre d’apporter :
– l’identification du terminal à l’origine de la requête,
– l’authentification de l’auteur de l’acte,
– l’intégrité du message,
– la non répudiation de l’acte,
– la confidentialité du message (facultatif).
Cette signature ne pourra pas être refusée au titre de preuve en justice mais ne pourra prétendre à un niveau de reconnaissance équivalent à celui de la signature manuscrite.
Ce procédé permet d’identifier le signataire et de garantir le lien avec l’acte signé. En cas de contestation, il est nécessaire de prouver la fiabilité du procédé de signature électronique utilisé.
La signature électronique “sécurisée/qualifiée présumée fiable”. qui en plus :
– est liée uniquement au signataire, permettre d’identifier le signataire,
– est créée par des moyens que le signataire peut garder sous son contrôle exclusif,
– est liée aux données auxquelles elle se rapporte de telle sorte que toute modification ultérieure des données soit détectable.
Seule la signature électronique sécurisée/qualifiée bénéficie de la présomption de fiabilité (article 2 du décret 2001-272).
La fiabilité d’un procédé de signature électronique est présumée jusqu’à preuve contraire lorsque ce procédé met en oeuvre une signature électronique sécurisée, établie grâce à un dispositif sécurisé de création de signature électronique et que la vérification de cette signature repose sur l’utilisation d’un certificat électronique qualifié.
L’article 4 de la loi 2000-230 du 13 mars 2000 précise que la charge de la preuve peut être inversée, en cas de contestation, sous certaines conditions définies par décret : « la fiabilité de ce procédé est présumée, jusqu’à preuve du contraire, lorsque la signature électronique est créée, l’identité du signataire assurée et l’intégrité de l’acte garantie, dans des conditions fixées en Conseil d’État. »
La signature électronique est aujourd’hui le seul procédé informatique permettant de donner la même valeur juridique à un écrit électronique qu’à un écrit traditionnellement papier.
4. Qu’est ce qu’une document signé électronique ?
Concrètement, pour qu’un document soit signé électroniquement (un courrier, une facture, un e-mail, une photo, une numérisation) et considéré conforme à l’original avec un auteur identifié il faut :
1°) Un certificat (c’est un fichier informatique attestant du lien entre les données de vérification de signature électronique et un signataire) ;
Le certificat, qui représente votre identité numérique, est un fichier informatique qui associe vos données d’identification physiques à un résultat mathématique infalsifiable.
Selon les niveaux de sécurité choisis, ce fichier, votre signature électronique, sera soit sauvegardé dans l’ordinateur, soit mis sur une clé USB protégée ou bien mis sur une carte à puce et sera ensuite apposé sur les documents à signer.
Il existe quatre classes de certificat électronique :
1. Classe I (équivalent au RGS zéro étoile)
Ne garantit pas l’identité du titulaire du certificat mais seulement l’existence de son adresse e-mail.
2. Classe II (équivalent au RGS *)
Garantit les informations du titulaire et de son entreprise (contrôlées par l’autorité de certification sur pièces justificatives transmises par voie postale).
3. Classe III (équivalent au RGS **)
Idem à la Classe II, assure un contrôle supplémentaire de l’identité du titulaire.
4. Classe IIIPlus (équivalent au RGS ***)
Le RGS *** impose que le certificat soit remis en face à face sur un matériel certifié conforme au décret 2001-272.
Remarque :
La notion d’étoiles (*, **, ***) provient du décret « Référentiel Général de Sécurité », qui, même s’il ne s’applique strictement qu’aux échanges entre les autorités administratives et leurs destinataires, constitue une échelle de « valeur » pour le marché français.
2°) Un dispositif de création de document électronique sécurisé (ce dispositif va avoir pour rôle d’intégrer le certificat qui contient votre signature, dans le document original et d’en sortir un nouveau document dont l’auteur a été identifié, le contenu fixé ne pouvant plus être modifié sans s’en apercevoir et pouvant facultativement être rendu confidentiel et rendu lisible qu’à un seul destinataire).
Si ce dispositif est sécurisé et donc conforme au Décret n° 2002-535 du 18 avril 2002 relatif à l’évaluation et à la certification de la sécurité offerte par les produits et les systèmes des technologies de l’information, il sera considéré conforme aux exigences d’une signature « présumée fiable ».
Remarque :
Les certificats doivent être délivrés par des prestataires de services de certification électronique (PSCE) qualifiés.
En France, c’est le COFRAC (Comité français d’accréditation) qui est chargé d’accréditer les organismes qui procéderons à l’évaluation des prestataires de services de certification en vue de reconnaître leur qualification.
(plus d’informations sur http://circulaire.legifrance.gouv.fr/pdf/2009/04/cir_1279.pdf)
Les entreprises souhaitant dématérialiser leurs factures, en format PDF, conformément à l’article 289-V du Code Général des Impôts, sont dans l’obligation de signer leur facture de façon électronique. En pratique, la signature est réalisée sur un serveur, sur lequel est installé le certificat électronique émis au nom de l’entreprise signataire.
Remarque :
Il est à noter que l’exigence du CGI relative à la signature électronique de factures, par une personne morale, est incohérente avec la notion de signature électronique, telle que définie dans le code civil, et visant généralement des personnes physiques. Cette disposition créé néanmoins un précédent intéressant sur lequel de nombreux usages, de signature de bulletins de paye, de contrats, s’appuient aujourd’hui.
6. La dématérialisation pour les échanges avec le Service Public
Depuis le 1er janvier 2005, les personnes publiques ne peuvent plus refuser la transmission des candidatures et des offres par voie électronique ;
Depuis le 1er janvier 2010, le pouvoir adjudicateur peut imposer la transmission électronique des documents et la transmission par voie électronique obligatoire pour les achats de fournitures de matériels informatiques et de services informatiques d’un montant supérieur à 90 000 € HT ;
Depuis le 1er janvier 2012 : le pouvoir adjudicateur ne peut plus refuser la transmission des documents par voie électronique pour les achats de fournitures, de services ou de travaux d’un montant supérieur à 90 000 € HT.
Et enfin, depuis le 1er janvier 2014, L’UGAP (La centrale d’achat public), dans sa volonté d’accompagner cette évolution, signe de modernisation de l’achat public, a décidé d’imposer progressivement la réponse dématérialisée, à partir de mi-2012 en vue d’une généralisation de cette obligation à l’ensemble de ces secteurs.
L’idée de cette obligation était d’encourager les entreprises à franchir le pas de la dématérialisation. Force est de constater qu’aujourd’hui, les sociétés et les collectivités ont encore des difficultés à appréhender les bénéfices qu’offre cette dématérialisation.
Cependant, au 1er Janvier 2015, toutes les structures devront dématérialiser leur comptabilité.
En 2010, l »Anssi (l’Agence nationale de sécurité des systèmes d’information) a dévoilé un des moyens par lequel les services administratifs peuvent désormais sécuriser leurs procédures informatiques. Afin d’exposer le moins possible les autorités aux risques de pertes de données, l’Anssi a souhaitée mettre en place rapidement ce référentiel général de sécurité (RGS) http://references.modernisation.gouv.fr/sites/default/files/DGME_Fiche_RGS_BAT.pdf
Les produits de sécurité qualifiée (protection en termes de confidentialité, intégrité, disponibilité, traçabilité ou authentification et en terme de sécurité : signature électronique, authentification, chiffrement, horodatage) doivent répondre aux exigences suivantes :
– répond à un besoin de l’administration
– les fonctions de sécurité qu’il propose sont conformes aux exigences du RGS de l’ANSSI (notamment en matière de cryptographie)
– a fait l’objet d’une évaluation par un laboratoire spécialisé CESTI (Centres d’Évaluation de la Sécurité des Technologies de l’Information).
Remarque :
Le recours à des produits qualifiés est la règle générale pour les administrations, les exceptions doivent être justifiées
Plusieurs niveaux de Qualification (certification + besoin de l’administration) :
– Qualification élémentaire : correspond à la CSPN (Certification de Sécurité de Premier Niveau)
– Qualification standard : analyse de la vulnérabilité du produit en fonction d’un potentiel d’attaque moyen. Correspond au niveau EAL 3+ (EAL = Evaluation Assurance Level voir tableau ci-dessous) selon les CC. (certification Critères Communs)
– Qualification renforcée : analyse de la vulnérabilité du produit en fonction d’un potentiel d’attaque élevé. Correspond au niveau EAL 4+ selon les CC.
7. La dématérialisation pour les professons réglementées
En plus d’utiliser des systèmes de certificat et de signatures électroniques, les ordres des différentes professions réglementées ont tous organisés l’échange numérisé de leurs membres à travers des réseaux sécurisés, souvent en mettant en place un VPN (abréviation : Virtual Private Network ou Réseau privé virtuel), ou en utilisant les standards de l’EDI (abréviation : Echanges de Données Electroniques).
Il s’agit du RVPA pour les avocats, de télé@ctes pour les notaires, de InterAct par les huissiers de justice ou de RPVJ pour les juridictions civiles et pénales françaises depuis 2007 pour permettre la dématérialisation des procédures.
8. La dématérialisation et la justice
L’arrêté du 16 mai 2014 fixe la liste des cours d’appel participant à l’expérimentation prévue par le décret relatif aux frais et à l’expérimentation de la dématérialisation des mémoires de frais.
Il s’agit des cours d’appel de Colmar, Metz et Rennes.
9. Homologation des systèmes informatiques
Lié à l’utilisation juridique des documents informatiques et dématérialisés, obligatoire pour les administrations et les services de l’État, l’homologation de son système d’information est une démarche aussi recommandée par l’ANSSI aux entreprises. (ANSSI : Agence nationale de la sécurité des systèmes d’information).
Que ça soit pour garantir la protection des informations conformément à la réglementation, que ça soit pour être en mesure d’apporter la preuve que l’on a respecté la loi pour la protection des informations nominatives, classifiées de défense ou sensibles, que ça soit pour attester de son niveau de sécurité vis-à-vis de ses partenaires (Organismes tiers, usagers, etc.) ou bien que ça soit pour mettre en place un SMSI (Système de Management de la Sécurité de l’Information) afin d’obtenir une vision cohérente en termes de place de la SSI dans le système d’information, de coûts, de priorités ou de responsabilités, tout système d’information des administrations et des services de l’État doivent faire l’objet d’une homologation de sécurité par une autorité d’homologation désignée par l’autorité administrative (RGS).
Les grands étapes d’une homologation d’un système informatique sont les suivantes :
– Identifier l’autorité d’homologation ;
– Obtenir une validation opérationnelle ;
– L’autorité d’homologation prononce une décision d’homologation
– Monter une commission d’homologation ;
– Bâtir le référentiel d’homologation et le valider en commission ;
– Auditer le système en fonction du référentiel ;
– Définir et mettre en avant les risques résiduels ;
– Homologuer le système au regard des risques résiduels.
Les principaux acteurs intervenants dans la démarche d’homologation :
– l’Autorité administrative ou l’Autorité Qualifiée responsable du système d’information et des informations qui y transitent ;
– l’Autorité d’homologation ou la personne désignée au sein de l’autorité administrative pour prononcer la décision d’homologation de sécurité du système d’information ;
– Le RSSI (Responsable de Sécurité des Systèmes d’Information) qui réalise l’analyse de risque et écrit les principaux livrables associés FEROS (Fiche d’expression rationnelle des objectifs de sécurité) ou PSSI (politique de sécurité des systèmes d’information) ;
– L’auditeur qui réalise l’audit de sécurité, pivot de l’homologation ;
– La Direction d’exploitation responsable de l’exploitation du système ;
– Le Maître d’oeuvre et maître d’ouvrage qui définissent et conçoivent le système.
– L’autorité administrative désigne une autorité d’homologation
Au terme de la procédure d’homologation
Selon les résultats de l’analyse effectuée lors de la démarche d’homologation, l’autorité d’homologation pourra prononcer :
– une homologation provisoire, assortie de réserves et d’un délai de mise en conformité des défauts de sécurité rencontrés ;
– une homologation, assortie le cas échéant de conditions, pour une durée déterminée (recommandée entre 3 et 5 ans) ;
– un refus d’homologation, si les résultats de l’audit font apparaître des risques résiduels jugés inacceptables
Alerte vigilance Simplocker – L’ère des malwares 2.0 sur les mobiles a sonné : Simplocker un cryptolocker sur Android
Alerte vigilance Simplocker – L’ère des malwares 2.0 sur les mobiles a sonné : Simplocker un cryptolocker sur Android
Découverte intéressante d’un cheval de Troie sur mobile – Les ingénieurs de détection ESET ont repéré le week-end dernier un rançonlogiciel capable de chiffrer les fichiers sur Androïd.
Alerte vigilance Simplocker – L’ère des malwares 2.0 sur les mobiles a sonné : Simplocker un cryptolocker sur Android
Les experts savaient depuis un moment que les cybercriminels tenteraient de s’attaquer à la flotte mobile, une cible très en vogue dans un monde où le nombre d’utilisateurs frôle les 7 milliards en 2014 (Source : Union internationale des télécommunications). Tout le monde ou presque est donc susceptible d’être victime des attaques cybercriminelles en ce sens.
Découverte intéressante d’un cheval de Troie sur mobile – Les ingénieurs de détection ESET ont repéré le week-end dernier un rançonlogiciel capable de chiffrer les fichiers sur Androïd.
Par le passé, d’autres types de malwares avaient été détectés – Un hybride comprenant les caractéristiques d’un faux antivirus (Rogue/FakeAV), combinées aux traits typiques d’un ransomware Lockscreen (sans chiffrement de fichiers) a été découvert il y a presqu’un an : ESET le nomme : Android/ FakeAV. Le mois dernier une polémique sur un ransomware de type « police/ gendarmerie » appelé Android/ Koler, n’était finalement pas « Cryptolocker » et ne chiffrait pas non plus les fichiers sur l’appareil infecté.
La situation a toutefois changé, avec cette récente découverte la semaine dernière, d’un cheval de Troie Android, détecté par ESET comme Android / Simplocker. Le malware scanne la carte SD du terminal mobile à la recherche de certains types de fichiers tels que les images, les documents, les vidéos sous les formats suivants : jpeg, png, bmp, jpg, gif, doc, docx, pdf, txt, avi, mkv, 3gp et mp4. Il les chiffre ensuite en utilisant l’algorithme AES-256 et exige une rançon afin de déchiffrer les fichiers.
Cette nouvelle menace a actuellement été repérée en Russie, un pays proche de la France, pouvant se propager à une vitesse ahurissante. Le message de la rançon est écrit en russe et le paiement exigé en hryvnias ukrainiens (monnaie Ukrainienne). Il est juste de supposer que la menace est dirigée contre cette région. Cela n’est pas surprenant, les premiers chevaux de Troie SMS pour Android (y compris Android / Fakeplayer) de 2010 provenaient également de la Russie et de l’Ukraine.
Le message du pirate :
AVERTISSEMENT votre téléphone est verrouillé!
L’appareil est verrouillé suite à la visualisation et la distribution de pornographie juvénile, zoophilie et autres perversions.
Pour le déverrouiller, vous devez payer 260 UAH (équivalent à 16€).
1. Localisez la borne de paiement la plus proche.
2. Sélectionnez MoneXy
3. Entrez {instructions supprimées}.
4. Faites un dépôt de 260 hryvnia, puis validez.
N’oubliez pas de prendre vôtre reçu!
Après paiement, votre appareil sera débloqué dans les 24 heures.
En cas de non-paiement, vous perdrez toutes les données présentes sur votre appareil! »
Il impose à la victime de payer via le service MoneXy qui n’est pas aussi facilement traçable que l’utilisation d’une carte de crédit ordinaire.
Le cybercriminel héberge le C&C (Centre de commandes et de contrôles) du malware Android/ Simplocker sur un domaine du réseau TOR dit « oignon »,lui permettant de rester anonyme pour commander son malware à distance en toute tranquillité.
Tout comme Cryptolocker 2.0 sous le nom de Win32/Filecoder.BQ, le malware Android Simplocker livre la clé servant à décrypter les fichiers uniquement si la victime paye les 16€ qui lui sont demandés.
Important- Les recommandations d’ESET pour s’en prémunir :
Il est fortement conseillé de ne pas payer le cybercriminel. D’une part, cela encouragerait d’autres pirates du web à créer de nouvelles menaces. Et d’autre part, rien ne garantit que l’escroc remplisse sa part du marché une fois les 16€ encaissés. Il se peut en effet que l’accord ne soit pas respecté et qu’il ne déchiffre pas les fichiers.
Il est important de protéger son téléphone mobile afin de lutter contre les menaces et utiliser des mesures de prévention et de défense. Par exemple une application de sécurité pour mobile telle qu’ESET Mobile Security pour Android permet de garder les logiciels malveillants hors de portée de votre téléphone.
Adhérer aux meilleures pratiques de sécurité, comme éviter de télécharger des applications non fiables en vérifiant les sources avant de cliquer sur des liens suspects comme par exemple : « Perdez 15 kg en 2 heures, en savoir plus. »
Sauvegarder ses fichiers, images, vidéos de tous ses appareils, que ce soit sur Android, Windows, ou tout autre système d’exploitation et le ransomware ne sera rien de plus qu’une nuisance.
Suppression de données sur Google, découvrez la procédure à suivre…
Suppression de données sur Google, découvrez la procédure à suivre…
Rappelez-vous le mois dernier, la Cour de Justice de l’Union Européenne avait tranché sur le fait que Google devait désormais désindexer des contenus.
La procédure peut enfin démarrer. Découvrez la procédure à suivre :
Suppression de données sur Google, découvrez la procédure à suivre…
Le mois dernier, je vous informais au travers de cet article : « Supprimer ses données sur Google ? Le droit à l’oubli a de la mémoire » que la Cour de Justice de l’Union Européenne avait tranché sur le fait que Google devait désormais désindexer des contenus à la demande d’individus concernés.
Un nombre incalculable de résultats de recherche apparaissent dans le célèbre moteur de recherche Google, mais il n’était malheureusement pas possible de demander la suppression de certains résultats jusqu’alors.
Suite à une décision de la Cour de Justice de l’Union Européenne en faveur du droit à l’oubli, vous aurez désormais la possibilité de demander la suppression de certains résultats sous condition.
Pour mettre en oeuvre le dispositif, Google propose un formulaire en ligne à destination des Européens, permettant d’indiquer les liens jugés obsolètes, hors de propos ou inappropriés. Une décision importante qui lève de nombreuses questions : quels seront les critères utilisés pour savoir si le lien sera effectivement supprimé ou non ? Sous combien de temps le lien sera-t-il supprimé ? Bien que cette décision soit en faveur des internautes, elle donne également un grand pouvoir de décision au géant de Mountain View.
Attention, 24h après la mise en route de ce service, plus de 12 000 formulaires ont été complétés et envoyé à Google. « Nous évaluerons chaque demande individuelle et tenterons de trouver un juste équilibre entre la protection de la vie privée des individus et le droit du public à accéder à ces informations et à les diffuser. » Explique Google
– le Nom complet associé aux résultats de recherche à supprimer,
– votre relation avec la personne que vous représentez, si ce n’est vous-même,
– votre adresse e-mail de contact,
– les liens associés à votre nom et que vous souhaitez voir supprimés
Vous aurez besoin d’une copie d’une pièce d’identité avec photo en cours de validité pour remplir ce formulaire.
Pendant que des millions de sociétés se cassent la tête à apparaître le mieux possible dans les résultats de recherches sur Google, d’autres se battent pour y disparaître…
A mon avis, il devrait y avoir rapidement plusieurs millions de demandes d’effacement de données dans les index de Google. Le géant du Net va t-il embaucher ? quel profil va se charger de traiter ces demandes ? En combien de temps ces demandes seront traitées ? Et enfin, peut-on laisser Google décider du sort de nos données et être seul à juger de la pertinence de nos demandes ?
De nombreuses questions vont rester longtemps en suspens…
Émission d’une série sur le Numérique, présentée par Paula SAUDEZ et co-animée avec Maître ABENSOUR, avocat au bareau d’Avignon.Le sujet du jour : Être vu sur Internet #2
Être vu sur Internet #2
Le 13/05/2014, lors d’une précédente émission, nous présentions les techniques pour être vu sur Internet et plus particulièrement le sujet du référencement naturel.
Ce mois ci, nous allons découvrir un autre moyen d’être vu sur Internet : Les liens sponsorisés.
1 Introduction de l’émission par Paula SAUDEZ
Accueil des auditeurs, accueil de Maître Abensour, avocat au barreau d’Avignon et accueil de l’invité Denis JACOPINI qui se présente.
2. Présentation de Denis JACOPINI
Je suis expert judiciaire en Informatique,
Membre de la Compagnie nationale des experts de justice en informatique et techniques associées,
Et Membre de l’Association Française des Correspondants à la protection des Données à caractère Personnel.
Outre ma fonction d’expert informatique pour la justice dans le cadre d’affaires pénales ou de contentieux, pour lesquelles il m’est très souvent demandé des avis techniques ou des recherches de preuves, je suis aussi consultant en entreprise.
Parmi les missions qu’on peut me confier, j’aide les entreprises à se faire connaître en utilisant les technologies du numérique et de l’Internet en les conseillant et les accompagnant.
3. Pause musicale
4. Les 5 minutes d’actu du Net Expert
08/04/2014 : Kaspersky a mis en ligne en Avril une carte pour visualiser en temps réèl les menaces informatiques. C’est très bien fait, intéractif et animé. mais on ne peut pas zoomer sur votre région, votre ville ni même votre ordinateur. Cependant, on peut notamment y voir le classement de la France par rapport aux autres pays du monde en matière d’attaques informatiques. On y voit notamment que la France est le 6ème pays le plus attaqué dans le monde Le principe est très simple : Chaque fois qu’un outils de protection détecte une menace, il met à jour une base de donnée principale (pour info ça fait partie des méthodes utilisées afin notamment d’informer les antivirus de nouvelles attaques, sites internet à proscrire ou nouveaux programmes malveillants). L’outil se sert de ces informations, les quantifie et les positionne géographiquement sur une un globe terreste qu’on peut piloter à la souris. Peuvent ainsi être individuellement affichée les infections depuis un système de sauvegarde externe (disque dur, clé USB, CD, etc), les téléchargements de fichiers depuis Internet, les intrusions via les réseaux, les ouvertures de fichiers vérolés, les vulnérabilités de systèmes et les emails corrompus. L’adresse de la cyberplanète intéractive http://cybermap.kaspersky.com Bon voyage Source : http://www.zdnet.fr/actualites/kaspersky-publie-une-carte-pour-visualiser-les-menaces-informatiques-39799633.htm
11/04/2014 : Je ne sais pas si vous connaissez le site Internet Wat.tv ? Il héberge les vidéos des replays de tf1. Le 11 Avril le nom de domaine arrivait à expiration et TF1 a oublié de le renouveler. TF1 ne s’en est pas rendu compte immédiatement et le temps de réagir ce n’est que le lendemain, que le département juridique de TF1 l’a renouvelé. Heureusement qu’il travaillait un samedi !!! Les vidéos impactées sont les vidéos des internautes, des internautes et celles des émissions de TF1, Eurosport, LCI et autres chaînes du groupe qui sont devenues inaccessibles. Selon Médiamétrie, en février Wat.tv était le troisième site de vidéo le plus regardé en France, derrière YouTube et Dailymotion, avec 9,4 millions de visiteurs uniques et presque 53 millions de vidéos vues par mois. Ce n’est pas la premiuère fois qu’un tel oubli se produit chez les médias, car en janvier 2012, le journal 20 Minutes avait fait la même erreur.. http://www.zdnet.fr/actualites/renouvellement-de-domaine-oublie-tf1-egare-wattv-et-plante-ses-videos-39799905.htm
16/04/2014 : Suite à la faille de sécurité Heartbleed mondialement dévoilée début Avril 2014, la chaîne de magasins Target s’est faite dérober en décembre les informations bancaires de 40 millions de clients et réévalué à 110 millions si on inclue les coordonnées personnelles (adresses, mails, téléphone…). http://www.zdnet.fr/actualites/hausse-des-vols-de-donnees-personnelles-aux-tats-unis-39800037.htm
22/04/2014 : Le site Confortvisuel.com attaque Google en justice Le site de vente en ligne de lunettes a saisi l’Autorité de la concurrence pour le « déréférencement abusif » dont il fait l’objet de la part du géant américain. Créé en 2005, le site Confortvisuel, dont le modèle économique est exclusivement basé sur son site e-commerce, apparaît rapidement dans les premiers référencements sur des mots clés ciblés. Yves Jacquot, le fondateur du site, n’a d’ailleurs pas hésité a dépensé près de 370 000 euros depuis 2010, pour accroitre son référencement payant dans les résultats du célèbre moteur de recherche, grâce au service Google Adwords. Début 2012, Yves Jacquot décide d’arrêter l’achat de mots clés pour se concentrer sur le référencement naturel du site. (Google précisant qu’il n’y a de corrélation entre les deux systèmes.) Quelques semaines plus tard, le site est pénalisé par le moteur de recherche, qui donne comme raisons le « non-respect des règles fixées » et la présence de liens entrants « non naturels », et se voit progressivement relégué dans les profondeurs des résultats, engendrant une baisse estimée des ventes de 40% de l’opticien en ligne. http://opticien-presse.fr/2014052203le-site-confortvisuel-com-attaque-google-en-justice
06/05/2014 : Le 18 avril, Orange s’est encore fait pirater une base de données.Cette fois, c’est une plateforme technique d’envoi de courriers électroniques et de SMS qu’elle utilise pour ses campagnes commerciales qui a été la cible des pirates.Cette fois ce n’est pas seulement les données de ses clients qui ont été dérobées, mais également de ses prospects. Du coup, même si vous n’êtes pas ou plus client Orange, et si vous recevez tout à coup encore plus de spam que d’habitude, c’est probablement que vos coordonnées faisaient partie de cette liste ou pas !!!http://www.zdnet.fr/actualites/nouveau-vol-de-donnees-personnelles-pour-les-clients-orange-39800783.htm
16/05/2014 : La Cour de Justice de l’Union Européenne a tranché. Google doit désindexer des contenus à la demande d’individus concernés. Un particulier espagnol, nommé Mario Costeja González, avait saisi la CJUE (Cour de Justice de l’Union Européenne) en 2009 afin d’exiger de Google désindexe de son moteur des contenus le concernant. Il s’agissait d’informations publiées par un quotidien concernant une saisie immobilière l’ayant frappé pour recouvrement de dette. Après avoir réglé sa dette, l’homme considérait alors que cette mention devait disparaître des arcanes du Web. Il saisi alors la CNIL espagnole afin que ces contenus soient effacés des archives du journal mais aussi de Google. Ce qu’on appelle le droit à l’oubli. L’Agence Espagnole de Protection des Données (AEPD), l’équivalent de notre CNIL mais en Espagne, ordonne alors de Google d’exécuter ces demandes. Mais le moteur refuse et entame une procédure devant la justice espagnole qui elle même se retourne vers la CJUE pour trancher. Et l’avis de la CJUE est sans appel et risque de bouleverser les indexations d’informations concernant les individus : Google doit proposer aux internautes la possibilité de désindexer des résultats de recherche les concernant. Source : http://www.lenetexpert.fr/supprimer-ses-donnees-google-droit-loubli-memoire
02/06/2014 : Le 16/05/2014, la Cour de Justice de l’Union Européenne avait tranché sur le fait que Google devait désormais désindexer des contenus à la demande d’individus concernés. 15 jours plus tard, Google met à la disposition un formulaire en ligne à destination des Européens, permettant d’indiquer les liens jugés obsolètes, hors de propos ou inappropriés. Une décision importante qui lève de nombreuses questions : quels seront les critères utilisés pour savoir si le lien sera effectivement supprimé ou non ? Sous combien de temps le lien sera-t-il supprimé ? Bien que cette décision soit en faveur des internautes, elle donne également un grand pouvoir de décision au géant de Mountain View. Pendant que des millions de sociétés se cassent la tête à apparaître le mieux possible dans les résultats de recherches sur Google, d’autres se battent pour y disparaître…
5. Le sujet de l’émission : Être vu sur Internet #2
Cupid, nouvel exploit qui utilise la Heartbleed, ébranle les connexions Wi-Fi.
Pour l’instant, à l’état de preuve de concept, cette faille n’est sans doute que le premier écho du coup de tonnerre qui a fait trembler le Net en avril dernier.
Alerte HeartBleed Acte II – Nom de code Cupid
Heartbleed, la faille qui a ébranlé le Net, frappe des routeurs Wi-Fi et Android. Cupid, c’est le nouvel exploit qui utilise Heartbleed et ébranle les connexions Wi-Fi. Pour l’instant, à l’état de preuve de concept, cette faille n’est sans doute que le premier écho du coup de tonnerre qui a fait trembler le Net en avril dernier.
Heartbleed, la faille OpenSSL qui a mis à mal la sécurité du Net au début du mois d’avril dernier, frappe à nouveau.
Cette fois, Luis Gengeia, chercheur en sécurité portugais de la société SysValue, a trouvé une application, plus restreinte de cet exploit, qui s’en prend à certains routeurs Wi-Fi. Baptisée Cupid, cette variante touche les réseaux sans fil qui utilise les méthodes d’authentification EAP reposant sur OpenSSL (EAP-TLS).
Cette faille permet de récupérer des données provenant des routeurs et même d’utiliser un routeur infecté pour soutirer des données à un appareil Android (sous Jelly Bean 4.1.1), qui s’y connecterait. Les smartphones sous cette version de l’OS de Google sont particulièrement sensibles à la faille Heartbleed, des mises à jour sont à appliquer d’urgence si disponibles.
Grâce à cette nouvelle faille, l’attaquant peut utiliser Heartbleed pour obtenir une clé privée auprès du routeur ou du serveur d’authentification, dans le cas d’une entreprise, en faisant fi des mesures de sécurité habituelles. Il accède ensuite au réseau en toute tranquillité.
L’expert en sécurité, qui estime que sa découverte n’est pour l’instant qu’au stade de preuve de concept explique ne pas avoir réalisé assez de tests pour savoir combien de routeurs pourraient être concernés. Par ailleurs, il précise que seuls les périphériques qui sont à portée d’un routeur corrompu sont des cibles potentielles.
L’arrivée de Cupid, alors que le Net n’est pas encore remis de la première vague Heartbleed montre que la route est encore longue et que de nombreuses failles et attaques, tirant parti de cet exploit, pourraient être dévoilées dans les mois et années à venir.
La France nome un chef de la protection des données personnelles pour les administrations – CDO Chief Data Officer
La France nome un chef de la protection des données personnelles pour les administrations
La ministre de la fonction publique – de la décentralisation et de la réforme de l’Etat –, Marylise Lebranchu, a annoncé la création en France du poste d’administrateur général des données, également baptisé CDO ou « chief data officer » par les anglophones.
La France nome un chef de la protection des données personnelles pour les administrations
La ministre de la fonction publique – de la décentralisation et de la réforme de l’Etat –, Marylise Lebranchu, a annoncé la création en France du poste d’administrateur général des données, également baptisé CDO ou « chief data officer » par les anglophones.
Encore peu nombreux dans le monde à occuper cette fonction en entreprise, ce CDO a pour mission de coordonner l’utilisation des données, dans un contexte de transformation numérique où de plus en plus de données sont générées – mais souvent trop rarement exploitées.
La France est le premier pays européen à créer la fonction d’administrateur des données ou CDO. Ce poste est confié à Henri Verdier, patron d’Etalab. Il aura pour mission de développer la culture de la donnée dans les administrations et de favoriser la circulation des données.
L’administration française disposera donc de ce profil. Et cette fonction s’inscrit dans le cadre de la politique du gouvernement en faveur de l’open data ou partage de données publiques. Un domaine dans lequel la France se veut une référence en Europe.
Marylise Lebranchu compte sur ce « chief data officer » pour accélérer l’ouverture des données et contribuer « à élaborer une pratique interministérielle d’utilisation des données ». Ce poste a été confié au patron d’Etalab, Henri Verdier, qui coordonne la stratégie open data en France.
Mais pour agir réellement sur la culture des administrations française, cet administrateur devra être doté de pouvoirs. A ce titre, la ministre de la fonction publique précise ainsi qu’Henri Verdier sera « autorisé à connaître les données détenues par l’administration de l’État et ses opérateurs ».
Plus largement, le premier CDO français aura pour mission d’organiser, en respectant la vie privée, « une meilleure circulation des données dans l’économie comme au sein de l’administration », de « veiller à la production ou à l’acquisition de données essentielles », de lancer des expérimentations et de développer une culture (ainsi que des outils et méthodes) de la donnée au sein des administrations.
Les Conseils du Net Expert – Bien choisir ses mots de passe pour protéger ses données sur Internet
Les Conseils du Net Expert
Bien choisir ses mots de passe pour protéger ses données sur Internet
Bien choisir ses mots de passe pour protéger ses données sur Internet
Entre les affaires de piratage de données personnelles de serveurs informatiques et les attaques dévoilant au grand jour les mots de passe les plus utilisés (c.f. liste des mots de passe récupérée lors du piratage de certains serveurs de la multinationale Adobe en Octobre 2013), il devient urgent de reconsidérer la manière dont nous choisissons nos mots de passe.
La liste des mots de passe les plus utilisés sur Internet
Octobre 2013, Adobe confirmait avoir subi une cyberattaque d’envergure, ayant entrainé le vol du code source de ses applications Photoshop, Adobe Acrobat, ColdFusion, et la compromission de 38 millions de comptes utilisateurs.
Jeremi Gosney, un chercheur en sécurité, a réussi à casser les mots de passe des comptes utilisateurs volés à d’Adobe. IL révèle une liste aberrante des 100 mots de passe les plus utilisés.
Selon la liste, près de 1,9 million de comptes ont utilisé « 123456 » comme mots de passe, plus de 440 000 ont opté pour « 123456789 ». Le top 5 est complété par les mots de passe « password », « adobe123 » et « 12345678 ».
Il devient donc urgent que les utilisateurs, responsable de leur mot de passe, modifient leur manière de le choisir.
Cinq paramètres pour bien choisir ses mots de passe
Vous pouvez remarquer dans le tableau ci-dessus la manière la plus répandue de choisir un mot de passe. Il devient à mon avis urgent d’abandonner cette habitude d’utiliser une succession de chiffres ou de lettres ou bien un prénom, une date de naissance ou un mot connu le tout le plus facile à retenir). Il est de toute évidence primordial que les mots de passe doivent aujourd’hui non seulement être :
– faciles à retenir
– le plus long possible
– le plus complexe possible
– changé souvent
– différent pour chaque service
Ceci dit, si vous avez aussi la main sur le système chargé de gérer les accès, je recommande non seulement une action de blocage temporaire ou permanent d’un compte lorsqu’un nombre de tentatives maximum (généralement 10) est dépassé, ou bien bloquer les tentatives pendant un certain nombre de minutes au delà d’un certain nombre d’échecs successifs.
Pour ceux qui le désirent, je peux soit sous forme d’audit, sois sous forme de formation vous apprendre les bases des usages recommandés de l’informatique comprenant tout un chapitre sur les choix des mots de passe.
Vous trouverez ci-dessous, des informations essentielles pour comprendre et revoir votre politique de choix des mots de passe car il faut bien retenir quelque chose :
Au plus le mot de passe sera long (nombre de symboles) et complexe (mixité des types de symboles), au plus il sera difficile et long pour le retrouver !
Le tableau ci-dessous donne le nombre maximum d’essais nécessaires pour trouver des mots de passe de longueurs variables.
Ci-dessous, une estimation de temps pour retrouver votre mot de passe avec de puissants ordinateurs :
123456 (le plus utilisé dans le monde) : instantané
654321 : instantané
toto : instantané
toto84 : 0.544195584 seconds
toto84# : 3 minutes
toto84#26 :6 jours
toto84#26% : 344 jours
toto84#26% : 344 jours
totototo84#26% : 6 millions d’années
Des outils pour nous aider
Que ça soit des outils de génération automatique de mots de passe (qui pourra être considéré comme quasi-incassable mais sera impossible à retenir et donc obligatoire à stocker quelque part pour être capable de le retrouver) ou des coffre fort à mots de passe, certains éditeurs mettent en oeuvre leur imagination débordante pour nous aider à résoudre ce casse tête des très nombreux mots de passe que nous devons retenir pour chacun des sites internet sur lesquels nous disposons d’un compte personnel.
Il ne faut pas l’oublier, disposer d’un seul mot de passe pour plusieurs sites Internet peut vite devenir dangereux. En effet, si un système informatique (orange, sfr, ebay, sony…) se fait pirater, il est fort probable que si vous aviez un compte sur ce site Internet, votre mot de passe soit volé. Une fois volé et décodé, votre mot de passe rentre dans la longue liste des mots de passe connus et automatiquement tentés par les robots des pirates sur d’autres sites Internet. Si votre mot de passe est utilisé sur d’autres sites Internet dont ceux qui se feront pirater, les malfrats auront donc plus facilement accès à votre compte.
Enfin, il ne faut pas trop aller vers l’opposé (ne plus aller sur Internet, ou fuir la technologie). Utiliser des mots de passe trop compliqués peuvent vite vous rendre la vie bien compliquée. Si vous finissez pas les oublier ou par les noter sur un post-it sur votre écran ne répondra peut-être pas aux besoins d’utilisation que nous oblige de vivre l’ère numérique que nous traversons.
Outils à ne pas manquer :
Dashlane : Gestionnaire de mots de passe et portefeuille numérique pour ordinateur et smartphone mis au point par une jeune entreprise française, qui a pour but de simplifier la manière dont nous jonglons avec nos nombreux éléments d’identité numérique. Au lieu d’avoir à taper à chaque fois nos noms-prénoms-adresses ou lorsque l’on fait un achat sur Internet ou que l’on s’inscrit à un service, il suffit de renseigner une seule fois au départ le logiciel et ensuite à chaque fois qu’on en a besoin Dashlane remplit automatiquement les champs demandés. Il peut également stocker vos numéros de cartes bancaires toujours pour éviter d’avoir à les taper à chaque fois si vous êtes un cyberacheteur compulsif. Il garde un historique des achats que vous effectuez en ligne. Le système conserve en mémoire tous les mots de passe ce qui permet de se connecter plus vite à ses services habituels.
https://www.dashlane.com/fr
http://www.franceinfo.fr/emission/Unknown%20token%20emisaison-type-url/noeud-diffusion-temporaire-pour-le-nid-source-721447-05-05-2014-11-47
KeePass : Ce logiciel facilite la gestion des mots de passes en les enregistrant dans une base de données.
http://keepass.info
Password Keeper : Le logiciel Password Keeper Expert est à la fois une base de stockage et un puissant gestionnaire de mots de passe.
http://www.password-keeper.net
1Password : Gestionnaire de mot de passe qui vous offre un moyen simple et facile de gérer votre mot de passe.
https://agilebits.com/
Du coté des développeurs
Les administrateurs de sites Internet, de serveurs Web ou de serveurs informatiques en tout genre doivent aussi être sensibilisés et à mon avis responsabilisés par les conséquences que peuvent engendrer l’utilisation de systèmes de sécurité. La future mise en place d’un CDO (Chief DataOfficer), prévue par la commission européenne chargée de faire respecter en Europe les règles fondamentales de protection des données personnelles, a pour but, au sein d’une structure qui collectera des données personnelles, de rendre responsable jusqu’au niveau pénal, une personne chargée de veiller que cette protection respecte toute une série de paramètres, dont tout un volet consacré à la sécurité d’accès aux données.
Ainsi, les développeur en interne, les administrateurs des systèmes informatiques et les éditeurs de logiciels devront renforcer leurs méthodes de contrôle d’accès jusqu’à, sans aller jusqu’à imposer les mots de passe aux utilisateurs, les obliger tout au moins d’utiliser des mots de passe plus difficiles à retrouver par la simple utilisation de dictionnaires ou par tables de hashages.
Sans revenir sur l’utilisation indispensable aujourd’hui du hashage des mots de passe au moins en sha256, (sha1 et MD5 étant à ce jour facilement cassable), une des méthodes qui à mon sens peut rendre encore plus difficile la tache de conversion vers des tables de hashage est l’utilisation de grains de sel. Il s’agit d’un mot, qui de manière transparente pour l’utilisateur, sera systématiquement ajouté au mot de passe initial, avant hashage.
Le résultat sera que dans les bases de données, un mot de passe de taille déraisonnable sera stocké, et probablement impossible à retrouver par les technologies de dizaines de prochaines années (hashage en sha256 d’un mot de passe par exemple de 500 caractères si le grain de sel fait par exemple 490 caractères et le mot de passe 10 caractères minimum.
