L’Internet des objets augmente la surface des attaques des entreprises

L’Internet des objets (IoT) constitue-t-il une menace supplémentaire pour la sécurité des entreprises ? « Oui, répond sans hésiter Alain Merle (4e sur la photo en partant de la gauche), responsable des programmes sécurité au CEA-Leti. Les dizaines de milliards d’objets qui seront connectés en 2020 vont augmenter les surfaces d’attaques. » « Le phénomène est très inquiétant avec l’IoT, renchérit Bernard Barbier (1er sur la photo), aujourd’hui RSSI de Capgemini et ancien directeur technique de la DGSE, car la surface d’attaque est en train de doubler ou tripler. »

Pas armé face à la déferlante de l’IoT

Les deux hommes intervenaient lors de la table ronde « Sécurité des systèmes connectés : quelles bonnes pratiques à adopter ? » organisée dans le cadre de l’édition 2015 de Cap’Tronic, le programme d’accompagnement des PME pour l’intégration des solutions électroniques et logicielles dans leurs produits, qui se déroulait ce lundi 21 septembre à la Cité Internationale Universitaire de Paris. Une menace d’autant plus inquiétante que « l’on n’est pas armé face à cette déferlante, estime Alain Merle, que ce soit technologiquement ou en termes d’usages. La cryptographie n’est pas la solution miracle, il y a des limites internes d’implémentation ajouté à un phénomène d’échelle plus complexe à gérer quand on doit faire face à des milliards d’objets au lieu de quelques dizaines de milliers. »

Au delà des normes et des contraintes, la labellisation pourrait s’inscrire comme une partie de la réponse à la problématique de la sécurité des entreprises qui seront inévitablement confrontées à l’IoT pour assurer leur développement. « On travaille beaucoup sur la certification des objets », indique Guillaume Poupard (2e sur l’image). Le directeur général de l’Anssi (Agence nationale de la sécurité des systèmes d’information) reconnaît néanmoins que le niveau de protection des objets est différent selon qu’ils concernent des systèmes stratégiques ou des usages grand public. Pour lui, « il faut positionner la sécurité en fonction de l’état de l’art ».

La sécurité dès la conception des objets

Pierre Girard (3e), expert en sécurité chez Gemalto invite de son côté les entreprises à prendre en compte la sécurité dès la conception de l’objet. « C’est plus facile à gérer dès le départ qu’en rajoutant une couche de sécurité après coup et il faut assurer cette sécurité tout au long du cycle de vie de l’objet, sur 10 ou 15 ans, à travers les mises à jour et en assurant la surveillance face à l’évolution des attaques. » Une conception initiale qui entraine un surcoût. « La sécurité a un coût mais l’absence de sécurité coûte encore plus cher », justifie l’expert. Et d’illustrer son propos en citant l’exemple de Chrysler obligé de rappeler 1 million de véhicules suite à la démonstration de piratage d’une Jeep Cherokee qui va lui coûter quelque 1,4 milliard de dollars en frais de traitement.

Un risque loin de la problématique des PME par définition de tailles plus modestes que les constructeurs automobiles ? Bien au contraire. « Les PME sont les cibles les plus touchées par les tentatives d’attaques. Il n’est pas question pour elles de devenir expertes en sécurité mais d’appliquer des règles de base, tels les mots de passe renforcés, la protection des réseaux Wifi, la séparation des usages professionnels et personnels, notamment avec les smartphones, insiste Guillaume Poupard qui en a profité pour brandir à la salle quasi comble le guide des bonnes pratiques de l’informatique édité par l’Anssi. Les chemins d’attaque passent souvent par les système personnels, que ce soit celui des employés ou des dirigeants. Le même mot de passe employé pour les usages professionnels et personnels est une réalité aujourd’hui. »

Le RSSI, un gestionnaire des risques

D’où l’importance de revoir l’approche de la sécurité par de nouvelles (bonnes) pratiques. « Avant le RSSI (responsable de la sécurité des systèmes d’information, NDLR) était un technicien. Aujourd’hui, c’est un métier de gouvernance, de dialogue et même de ressources humaines pour former les salariés », rappelle Bernard Barbier. Il est d’autant bien placé pour le savoir que le responsable a réalisé un petit test en interne en organisant une fausse campagne de phishing par e-mail invitant les collaborateurs à cliquer sur un lien potentiellement infectieux. « Je ne vous donnerai pas le chiffre mais le taux de réussite [de l’opération] était élevé. » Si même dans une SSII comme Capgemini cette technique d’attrape-nigaud fonctionne efficacement, que penser des autres secteurs ? Et d’admettre en conséquence que « on s’est trompé à vouloir mettre toute la sécurité dans la technique. La technologie c’est 60% de la solution mais il reste 40% d’humain. La sécurité est une gestion des risques ».

De son côté, Pierre Girard évoque un système de bons points attribués aux fournisseurs via un processus de labellisation et de certification pour simplifier la compréhension auprès des entreprises qui implémentent des solutions comme du grand public. Un point partagé par Alain Merle pour qui « pour implanter la sécurité correctement, il faut penser certification ». Un travail pour l’Anssi dont Guillaume Poupard annonce que des labellisations sont en cours, notamment pour les opérateurs de services Cloud d’infogérance en sécurité. Pour le directeur, « il faut permettre à la sécurité d’apporter un plus, et non pas d’être un frein, pour faire en sorte que les technologies continuent de poursuivre leur développement de manière illimitée ».

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.silicon.fr/linternet-objets-augmente-surface-dattaque-entreprises-126980.html

Par Christophe Lagane

Changements à venir pour les numéros courts et en 08

Ils ont envahi notre quotidien : les numéros de téléphone courts ou en 08 sont massivement utilisés pour accéder à des services clients, publics ou encore à « valeur ajoutée ». Pour autant, ces numéros surtaxés (dits SVA) suscitent souvent de la méfiance étant donné leurs coûts, souvent mal connus et/ou facturés au prix fort lorsqu’ils sont sont utilisés depuis un mobile.

Pour en finir avec cette méfiance, l’Arcep, le régulateur des télécoms a décidé de réformer ces numéros afin d’apporter plus de transparence et de simplicité. Elle sera appliquée à partir du 1er octobre prochain et concernera les numéros de téléphone à 10 chiffres qui commencent par 08, les numéros courts à 4 chiffres commençant par 10 ou 3 et les numéros en 118 (annuaires). La facturation sera divisée en 2 composantes : le coût de la communication et le coût du service.

Appels depuis le mobile au même prix

Concrètement, à partir de cette date, la surtaxe depuis un mobile disparaît : appeler un numéro de service à valeur ajoutée depuis un téléphone mobile coûtera la même

chose que depuis un fixe.

Dans le cas de services payants (numéros en violet), l’appelant paie à son opérateur le tarif du service auquel s’ajoute le prix d’un appel vers un fixe en France. Si l’appelant bénéficie d’un forfait illimité vers les fixes en France, il ne paiera que le tarif du service (facturé à la durée ou à l’appel).

Dans le cas de services gratuits mais où l’appel est payant (numéros en gris), l’appelant paie uniquement le prix d’un appel vers un fixe en France. Si l’appelant bénéficie d’un forfait illimité vers les fixes en France, l’appel sera entièrement gratuit.

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.zdnet.fr/actualites/importants-changements-a-venir-pour-les-numeros-courts-et-en-08-39825188.htm

Par Olivier Chicheportiche

100% des montres connectées présentent des failles de sécurité

Avec le déploiement de l’Internet des Objets, les smartwatches gagnent en popularité en raison de leur côté pratique et des nouvelles fonctionnalités qu’elles proposent. En devenant des objets usuels, ces montres vont collecter de plus en plus d’informations personnelles sensibles, comme des données de santé. La possibilité de les connecter avec des applications disponibles sur smartphone risquent prochainement de leur donner accès à encore plus d’informations, comme par exemple les codes permettant d’ouvrir votre maison ou votre véhicule.

« Les montres connectées commencent à peine à entrer dans nos vies. Elles offrent déjà de nouvelles fonctionnalités innovantes qui pourraient ouvrir la voie à de nouvelles menaces sur des informations et des activités sensibles », a déclaré Jason Schmitt, Directeur Général Fortify de l’entité HP Security. « Avec l’accélération de l’adoption des smartwatches, cette plate-forme va devenir bien plus attrayante pour tous ceux qui voudraient en faire une utilisation frauduleuse. Il devient nécessaire de prendre des précautions lors de la transmission des données personnelles ou du raccordement de ces équipements aux réseaux d’entreprise. »

L’étude HP s’interroge ainsi sur la capacité des smartwatches à stocker et à sécuriser les données sensibles pour lesquelles elles ont été conçues. HP s’est appuyé sur HP Fortify on Demand pour évaluer 10 montres connectées à des applications mobiles et un cloud Android ou iOS.

Cette étude révèle de nombreuses failles de sécurité parmi lesquelles les plus fréquentes et les plus faciles à corriger sont :

L’insuffisance des fonctions d’autorisation et d’authentification des utilisateurs :
Chaque montre connectée testée était couplée à une interface sur téléphone mobile qui ne gérait pas l’authentification à deux facteurs, et qui ne verrouillait pas les comptes après 3 ou 5 saisies de mots de passe infructueux. Trois montres sur dix, c’est à dire 30%, étaient vulnérables aux tentatives de moisson de comptes utilisateurs, ce qui veut dire qu’un pirate informatique pourrait obtenir le contrôle de la montre et de ses données en profitant d’une politique de mots de passe faible, du non blocage des comptes, ou en énumérant des listes de comptes utilisateur potentiels.

Le manque de chiffrement lors du transfert de données :
Le chiffrement lors du transport d’information est essentiel, dans la mesure où des informations personnelles sont envoyées vers de multiples destinations dans le cloud. Même si 100 pourcents des montres testées intégraient le chiffrement lors transport avec le protocole SSL/TLS, environ 40% des connexions vers le cloud restaient vulnérables à l’attaque POODLE, permettant l’utilisation d’outils de déchiffrement peu puissants, ou encore le protocole SSL v2.

Interfaces peu sécurisées :
30% des montres testées utilisaient des interfaces web accessibles en mode cloud, et toutes présentaient des risques d’énumération de comptes utilisateur. Dans un test spécifique, 30% ont également révélé des risques d’énumération de comptes utilisateur depuis leurs applications sur mobile. Cette défaillance permet aux hackers d’identifier des comptes utilisateurs valides en s’appuyant sur les informations reçues via les mécanismes de réinitialisation de mots de passe.

Logiciels et microcode peu sécurisés :
70% des montres ont révélé des failles dans la protection des mises à jour de microcode, comme par exemple la transmission en clair des mises à jour, sans chiffrer les fichiers. Cependant, plusieurs mises à jour étaient protégées par une signature, évitant ainsi l’installation d’un microcode contaminé. Même si des updates malicieuses ne peuvent être installées, le manque de chiffrement permet aux fichiers d’être téléchargés puis analysés.

Soucis sur la protection des données personnelles :
Toutes les montres collectent des données personnelles – comme le nom, l’adresse, la date de naissance, le poids, le sexe, la fréquence cardiaque, et bien d’autres informations relatives à la santé de l’utilisateur. Si l’on rapproche ceci des problèmes relevés sur l’énumération des comptes utilisateur ou l’utilisation de mots de passe faiblement sécurisés sur certaines montres, le risque de diffusion des données personnelles depuis une montre connectée devient un problème réel.

En attendant que les fabricants incorporent les dispositifs nécessaires permettant de mieux sécuriser leurs smartwatches, les utilisateurs sont priés d’examiner scrupuleusement les fonctions de sécurisation existantes avant de choisir un modèle de montre connectée. HP recommande aux utilisateurs de ne pas activer les fonctions de contrôle des accès sensibles, comme par exemple l’accès à leur domicile ou leur véhicule, sauf si un mécanisme d’autorisation performant est proposé par la montre. De plus, en activant la fonctionnalité passcode, en imposant des mots de passe sophistiqués et en introduisant une authentification à deux facteurs, il est possible d’éviter des accès frauduleux aux données. Au delà de la protection des données personnelles, ces mesures sont essentielles dès lors que la smartwatch va être utilisée dans un environnement de travail et connectée au réseau de l’entreprise.

Méthodologie

Réalisée par HP Fortify, l’étude HP Smartwatch Security Study a utilisé la méthodologie HP Fortify on Demand IoT testing methodology, combinée avec des tests manuels et d’autres outils de test automatisés. Les équipements et les composants testés ont été évalués sur la base de l’outil OWASP Internet of Things Top 10 et des vulnérabilités spécifiques associées à chacune des 10 premières catégories.

Toutes les données et les tous les pourcentages inclus dans l’étude ont été extraits des tests menés sur les 10 montres évaluées. Malgré l’existence d’un nombre croissant de fabricants et de modèles de smartwatches, HP pense que les résultats obtenus sur cet échantillon de 10 modèles donne un bon indicateur du niveau de sécurité des smartwatches actuelles du marché.

Des conseils complémentaires sur la sécurisation des smartwatches sont disponibles dans le rapport complet (http://go.saas.hp.com/fod/internet-of-things)

Pour toute information complémentaire, il est possible de consulter le premier rapport de la série sur l’Internet des Objets, 2014 HP Internet of Things Research Study, qui passe en revue le niveau de sécurité des 10 objets connectés les plus courants du marché. De plus, l’étude 2015 HP Home Security Systems Report (http://h20195.www2.hp.com/V2/GetDocument.aspx?docname=4AA5-7342ENW&cc=us&lc=en) examine les 10 systèmes les plus répandus en matière de protection connectée du domicile.

(1) “HP Internet of Things Security Report: Smartwatches,” HP, Juillet 2015.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.itrnews.com/articles/157450/100-montres-connectees-presentent-failles-securite.html et ITRmobiles.com

Une imprimante 3D qui imprime jusqu’à 10 matériaux simultanément

L’une des limitations de l’impression 3D est que, dans la majorité des cas, seul un matériau peut être imprimé à la fois. Certaines imprimantes sont capables de gérer jusqu’à trois matériaux, mais leur coût est de l’ordre de 250 000 dollars.

Le laboratoire CSAIL (Computer Science and Artificial Intelligence Lab) du MIT a développé MultiFab, une imprimante 3D qui peut imprimer jusqu’à 10 matériaux en même temps grâce à des techniques de vision par ordinateur. Et le tout pour seulement 7000 dollars.

UNE PRÉCISION DE 40 MICRONS

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.usine-digitale.fr/editorial/video-l-imprimante-3d-du-mit-imprime-10-materiaux-simultanement.N345988

Par Julien Bergounhoux

Le certificat électronique est une arme efficace contre la Cybercriminalité

L’usage du certificat électronique ID (pour personne physique) est la piste à privilégier. Il est d’ailleurs largement plébiscité par l’Etat et les collectivités avec la norme RGS. Véritable rempart contre l’usurpation d’identité, il permet au destinataire d’un mail d’en vérifier l’émetteur, il permet également de garantir la confidentialité des données échangées. L’autre avantage tient à sa simplicité d’utilisation sur les mobiles et tablettes. Avec un certificat, les envois de mails à partir d’un smartphone ne représentent plus une faille de sécurité mais sont protégés efficacement.

Au regard de ces éléments, institutions et entreprises doivent accélérer le déploiement de certificats pour sécuriser leurs échanges de données. Une prise de conscience dans ce domaine permet de colmater des brèches importantes et complète des dispositifs traditionnels de type Firewall qui jouent pour leur part un rôle de filtrage pour les données entrantes.  Avec les certificats électroniques, les flux sortants sont parfaitement sécurisés, leur apport dans la lutte contre la cybercriminalité est donc stratégique, d’autant que leur coût d’acquisition n’est pas onéreux.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.edubourse.com/finance/actualites.php?actu=89518

Quand le frigo vole vos données personnelles

Désormais, les lave-linge commandent leur stock de lessive en ligne, les voitures tweetent à leur garagiste et toutes sortes de gadgets communicants nous aident à mieux contrôler notre environnement. L’internet des objets n’en fini plus de nous étonner en permettant d’associer des puces électroniques aux choses qui nous entourent. D’ici à 2020, quelque 200 milliards d’objets reliés à un réseau seront utilisés par les internautes sans intervention spécifique de leur part. Un nouvel eldorado économique pour les industriels de la high tech, mais aussi le paradis des pirates qui s’empresseront de piller cette nouvelle informatique qui ne possède pas un véritable système de sécurité.

Les experts tirent la sonnette d’alarme depuis des années, dénonçant le manque de protection des objets reliés en permanence à la Toile. Récemment, des hackers ont réalisé un coup d’éclat en prenant le contrôle de plus de 100 000 gadgets électroniques en les détournant de leur fonction première comme des téléviseurs, des consoles de jeux, des box internet et même un réfrigérateur connecté. Jusqu’à présent, il était inutile de s’inquiéter de ces attaques spectaculaires sur nos grille-pain, lave-linge ou autres joujoux électroniques en ligne, les cybercriminels se contentaient seulement de les dérégler.

Le problème prend aujourd’hui, une toute autre dimension, une équipe de chercheurs vient d’identifier une faille de sécurité plus inquiétante. Elle offre la possibilité à des pirates de s’introduire sur les comptes de la messagerie de Google Gmail, en passant par les cuisines de particuliers où trône le dernier modèle des réfrigérateurs intelligents de la marque Samsung. L’appareil qui gère la fraicheur de nos denrées alimentaires a été conçu pour télécharger l’agenda de notre boite électronique et de l’afficher automatiquement sur son écran intégré.

Une porte d’entrée idéale, estiment les chercheurs, qui permet aux pirates d’accéder facilement à nos courriels et à nos données confidentielles. Qu’on se rassure, jusqu’à présent, aucune intrusion de ce type n’est à déplorer, s’empressent-ils d’ajouter. La firme Samsung promet de corriger cette anomalie, mais le développement exponentiel de l’internet des objets, sans un système de sécurité pensé à l’avance, a de quoi inquiéter et risque de se métamorphoser bien vite en cyber cauchemar pour consommateurs techno-branchés.

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.rfi.fr/emission/20150906-quand-le-frigo-vole-vos-donnees-objets-connectes-internet-cyber-attaque-securite

Par Dominique Desaunay

Votre frappe au clavier vous identifie tout aussi efficacement qu’une écriture à la main

Webcam débranchée, pare-feu, IP masquée, VPN… Les internautes aguerris et concernés par leur anonymat sur internet connaissent le minimum requis pour se fondre dans les méandres du web. Qu’ils soient honnêtes ou malhonnêtes, ils pourront bientôt être identifiés et cela n’a plus rien à avoir avec un quelconque logiciel de pistage. Ce qui va trahir les internautes, ce sont leurs doigts. Ou plutôt la façon dont ils vont les utiliser sur leur clavier. Des chercheurs français du Groupe de recherche en informatique image automatique et instrumentation de Caen (Greyc) ont ainsi développé un petit logiciel pilote qui permet de différencier avec une grande précision les différents internautes qui tapent sur leur clavier.

Pour cela, le programme repère la pression exercée sur les touches, le temps d’appui et surtout les délais, très courts, entre chaque touche. Telle une graphologie moderne, tous ces critères s’avèrent très différents en fonction des personnes et permet de donner un profil précis.

« Ce n’est pas nouveau » remarque Jean-Paul Pinte, docteur en information scientifique et technique et maître de conférences à l’Université Catholique de Lille. « Avant l’arrivée des claviers, pendant la Seconde Guerre Mondiale, les opérateurs de renseignement britanniques écoutaient les opérateurs de code morse allemands. La vitesse de code, les erreurs de frappe permettait de différencier les opérateurs. »

Au cours des années 2000, avec l’avènement d’internet, la « frappologie » a été de plus en plus étudiée, dans le même esprit que la graphologie, censée apporter des informations sur la personnalité d’une personne. « C’est surtout dans l’espionnage que cette biométrie dite douce a pris racine mais elle est de plus en plus pratiquée dans le monde du recrutement » souligne Jean-Paul Pinte. Sauf que les techniques se sont largement améliorées et les recherches du Greyc et d’autres chercheurs dépassent le cadre du simple profiling de personnes.

Le but est avant tout de toujours mieux crypter les données. Ainsi, même en connaissant le mot de passe de sa victime, un usurpateur ne passerait pas entre les mailles du filet sécuritaire puisque sa façon de taper le mot magique serait forcément différente de celle du véritable utilisateur.

Mais ce système offre aussi des perspectives plus sombres car il permet d’identifier une personne à coup sûr, malgré tous ses efforts pour rester anonymes.

Il suffit que plusieurs gros sites s’y mettent et les voilà en possession de toutes les pages visitées par une même personne, identifiée par son clavier. Dans ce cas, l’adresse IP n’aurait plus vraiment d’enjeu. Et ce ne sont pas les réseaux masqués, comme le célèbre TOR qui empêcheront cela. Runa Sandvik, un chercheur indépendant interrogé par le site Arstechnica, a tenté l’expérience et s’est rendu compte que le système chargé normalement de le maintenir anonyme, n’a pas pu lutter. « Aujourd’hui, tout est possible même avec TOR » souligne Jean-Paul Pinte. « La recherche évolue dans le domaine car il faut savoir que l’anonymat n’existe pas vraiment sur la toile. »

L’entreprise suédoise BehavioSec met d’ailleurs à disposition un site d’essai pour évaluer l’efficacité du système pour un site de vente en ligne. Au bout de 3 formulaires (similaires) remplis, le programme était capable de retrouver l’utilisateur dans 75% des cas ultérieurs… Cela concerne les internautes attachés à leur anonymat mais aussi les dissidents politiques de certains pays qui surveillent la toile.

Mais d’ores et déjà, la riposte s’organise. Les chercheurs Per Thorsheim et Paul Moore ont développé un petit plugin pour le navigateur de Google Chrome qui permet de crypter les informations liées au clavier. Si le programme est encore en phase de test, il pourrait être une nouvelle protection à  ajouter pour qu’internet reste un espace de liberté.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.atlantico.fr/decryptage/comment-maniere-dont-tapez-votre-clavier-identifie-tout-aussi-efficacement-qu-ecriture-main-2268834.html

Illustration : On peut désormais vous identifier à la manière dont vous tapez sur le clavier de votre ordinateur.  Crédit Reuters

Une plaque d’immatriculation LED pour identifier les drones

Ils sont un facteur de stress pour les ours sauvages. Ils empêchent les pompiers, les forces de polices d’intervenir correctement pour circonscrire un feu ou rechercher un suspect par hélicoptère. Et ne parlons pas des avions de ligne…

Ils? Ce sont ces drones dont l’activité est, en raison d’un manque de régulation, de plus en plus perçue comme une nuisance, tant par le grand public que par les autorités. Et l’on pourrait mentionner, pour ajouter au chaos qui vient, les projets de livraison par drones sur lesquels planchent aujourd’hui des entreprises comme Google ou Amazon.

Bref, s’ils veulent continuer à faire partie de notre quotidien, l’activité des drones devra à terme faire l’objet de contrôles renforcés. Aux Etats-Unis, certains fabricants de ces objets, de plus en plus accessibles car de moins en moins cher, ont déjà mis en place des “no fly” zones, où les drones ont par exemple interdiction de voler au-dessus de… la Maison Blanche ou du Congrès à Washington.

Identifiable à l’oeil nu

D’autres acteurs du marché verraient bien des drones contrôlés via des balises beacon. Mais la solution la plus innovante et la plus porteuse nous vient de l’université de Berkeley (Californie) où des chercheurs ont développé ce qui s’apparente à une plaque d’immatriculation.

Lightcense (en référence aux “license plates”, les plaques d’immatriculation aux Etats-Unis) est une plaque d’immatriculation qui fonctionne par LED. Des LED dont la vitesse de clignotement permettrait d’identifier l’appareil concerné. Une identification à l’oeil nu dans un rayon de 100 mètres le jour, ou bien via une application de smartphone.

Nous organisons régulièrement des actions de sensibilisation ou de formation au risque informatique, à l’hygiène informatique, à la cybercriminalité et à la mise en conformité auprès de la CNIL. Nos actions peuvent aussi être personnalisées et organisées dans votre établissement.
Besoin d’informations complémentaires ?

Contactez-nous

Denis JACOPINI
Tel : 06 19 71 79 12
formateur n°93 84 03041 84

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.newzilla.net/2015/08/19/une-plaque-dimmatriculation-led-pour-identifier-les-drones/

La propriété intellectuelle à l’épreuve de l’impression 3D

L’impression 3D est donc en passe de devenir personnelle : il est aujourd’hui possible d’imaginer, dessiner, modéliser puis fabriquer un objet quelconque. De manière plus troublante, il sera bientôt concevable de scanner n’importe quel objet acheté dans le commerce, pour le reproduire à l’infini. Par exemple, la copie d’un fauteuil dessiné par Philippe Starck est aujourd’hui techniquement possible. Sans aller jusqu’à parler d’une « quatrième révolution industrielle », il est certain qu’un changement de paradigme s’opère peu à peu, ce qui soulève des enjeux évidents en matière de propriété intellectuelle.

Car même si beaucoup d’acteurs de ce nouveau marché se positionnent en faveur d’une libre diffusion des contenus imprimables, en open source ou via les licences Creative Commons, le développement de l’impression 3D provoque déjà de nombreuses atteintes aux droits de propriété intellectuelle des artistes, inventeurs et de tous les auteurs d’oeuvres de l’esprit.

L’ensemble des composants de la propriété intellectuelle sont concernés par l’impression en trois dimensions

Le bouleversement lié à l’apparition du MP3 sur le marché de la musique ne touchait que le droit d’auteur, tandis que le l’impression 3D nécessite d’envisager l’ensemble de la propriété littéraire et artistique, ainsi que la propriété industrielle. L’enjeu réside autour de la contrefaçon des biens protégés : celle-ci sera caractérisée en fonction de l’usage affecté à l’objet imprimé.

De manière générale, l’usage collectif, public, ou même commercial d’un tel objet permettra de qualifier un acte de contrefaçon. Tout individu imprimant un objet portant atteinte au droit d’auteur, aux dessins et modèles ou même à un brevet sera qualifié de contrefacteur. Concernant l’utilisation illicite d’une marque déposée, la jurisprudence impose un usage dans la vie des affaires pour reconnaître une contrefaçon.

Dans le cas contraire, un usage strictement privé de l’objet imprimé permettra d’échapper aux sanctions rattachées à la contrefaçon. Plus spécifiquement, concernant le droit d’auteur, les objets imprimés en 3D bénéficient de l’exception de copie privée. Ce régime spécifique autorise « les copies ou reproductions strictement réservées à l’usage privé du copiste et non destinées à une utilisation collective ». Actuellement, la copie privée s’applique majoritairement aux contenus audiovisuels et musicaux, ce qui pose la question de la congruence d’un tel régime avec l’impression 3D.

L’exception de copie privée applicable en l’état ?

Le Code de la propriété intellectuelle dispose en effet que les exceptions de copie privée « ne peuvent porter atteinte à l’exploitation normale de l’oeuvre ni causer un préjudice injustifié aux intérêts légitimes de l’auteur. » C’est sur ce fondement qu’un individu a été débouté par le juge de sa demande de faire lever les mesures techniques de protection (MTP) d’un DVD car il souhaitait en offrir une copie à ses parents. Il est dès lors possible de penser que les MTP, qui empêchent efficacement l’atteinte aux droits de propriété intellectuelle rattachés à un film DVD, pourraient s’appliquer de manière analogue aux fichiers 3D en limitant le nombre d’impressions. Cette protection semble d’autant plus souhaitable que l’impression 3D décuple les potentiels préjudices des titulaires de droits d’auteur. Le scan et l’impression 3D d’une douzaine de chaises design à partir d’une permettront une économie substantielle pour le copiste, et par conséquent un manque à gagner démultiplié pour le propriétaire des droits sur le design industriel du meuble reproduit. L’exception de copie privée appliquée à l’impression 3D voit dès lors son efficacité limitée par la possible multitude des copies. Bien sûr, il est possible de copier un album de musique à l’infini, mais il ne viendrait probablement pas à l’esprit du consommateur d’en acheter plusieurs pour en avoir un dans sa voiture, un chez lui et un au bureau. Le manque à gagner est réel pour les propriétaires des droits de l’album, mais moindre que pour un bien mobilier.

De surcroît, le Sénat a ce mois-ci rejeté l’idée d’une redevance copie privée pour les imprimantes 3D, telle qu’elle existe déjà pour les supports de stockage (CD vierges, clés USB…) pour compenser le préjudice des artistes. L’argument principal des parlementaires a été d’affirmer que la copie 3D est une contrefaçon, donc illicite, et qu’une redevance ne peut s’appliquer à une activité illégale. Le Ministre de l’économie a ajouté qu’il n’était pas souhaitable de freiner le développement des acteurs français du domaine de l’impression tridimensionnelle.

En revanche, lorsqu’un objet sera imprimé après avoir été dessiné par le consommateur lui-même, ou téléchargé en open source, il ne sera pas possible de caractériser un acte de contrefaçon. Une telle utilisation de l’imprimante 3D ne sera qu’une extension du « do it yourself » (DIY) qui est de plus en plus en vogue. Certains professionnels l’ont compris, à l’image de l’enseigne Castorama qui a pour projet de créer une plateforme en ligne dédiée aux fichiers 3D permettant l’impression de pièces détaché d’électroménager ou de bricolage directement chez soi. Ce nouveau service créera une concurrence sévère vis-à-vis des artisans et revendeurs de produits électroménagers.

De nécessaires solutions pour protéger les titulaires de droits de propriété intellectuelle sans entraver l’avancement technologique

Les auteurs ont déjà la possibilité de procéder à un dépôt en ligne de leurs fichiers 3D auprès d’une société de gestion de droit, ou directement chez un notaire ou un huissier qui rédigera un procès verbal qui justifiera de la date de création de l’oeuvre. Cette démarche a pour utilité de prouver l’antériorité de la création, mais ne prémunit pas l’auteur contre les risques de contrefaçon. À cette fin, il pourrait être efficace de développer des services de « streaming 3D », ne permettant l’impression d’un fichier qu’une seule fois, grâce à des mesures techniques de protection. Une telle restriction pourrait par ailleurs s’accompagner de l’impossibilité de modifier l’oeuvre imprimée, faisant ainsi respecter son intégrité.

Une autre option consisterait à implanter dans toutes les imprimantes 3D un système de vérification de la licéité de l’impression. Connectée à internet, l’imprimante pourrait rechercher l’existence de droits de propriété intellectuelle sur l’objet, ainsi que l’absence de caractère dangereux. En effet, les pièces détachées d’armes à feu sont facilement reproductibles, ce qui a pour principale conséquence l’absence de numéro de série et donc l’impossibilité de toute traçabilité. Il est cependant nécessaire de noter qu’une telle surveillance constituerait une immixtion manifeste dans la vie privée des utilisateurs, ajoutant une nouvelle dimension au problème de l’exploitation des données personnelles.

Aujourd’hui, la distance entre l’objet original et la copie imprimée en 3D demeure importante, de telle sorte que la confusion n’est pas possible. Il est concevable de reproduire une forme, mais pas encore les mécanismes intérieurs, qui relèvent pour certain de la « 4D ». De nombreuses contraintes techniques demeurent mais la rapidité des progrès accomplis permet d’entrevoir l’étendue des enjeux juridiques de demain, et il ne fait aucun doute que ce sujet, qui alimente beaucoup de fantasmes, sera l’objet de débats passionnés.

Denis JACOPINI est Expert Judiciaire en Informatique, consultant, formateur et chargé de cours.
Nos domaines de compétence :

• Expertises et avis techniques en concurrence déloyale, litige commercial, piratages, arnaques Internet… ;
• Consultant en sécurité informatique, cybercriminalité et mises en conformité et déclarations à la CNIL ;
• Formateur et chargé de cours en sécurité informatique, cybercriminalité et déclarations à la CNIL.

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.village-justice.com/articles/propriete-intellectuelle-epreuve,20280.html

Par Augustin Deschamps juriste chez LegaLife

Être immédiatement informé lorsqu’on s’est fait voler ses données, c’est maintenant possible

Cela paraît tellement évident que l’on se demande pourquoi personne n’y avait pensé avant. En effet, lorsqu’un vol de données se produit dans une entreprise, il se passe parfois des semaines voire des mois avant que le vol ne soit découvert. Et le plus fréquemment, c’est lorsque les données sont mises en vente sur les réseaux de l’Internet Underground, accessibles via des plates-formes comme Tor, que le cyber cambriolage est découvert.

Identifier en quelques secondes

Une start-up baptisée Terbium Labs vient de dévoiler un produit baptisé MatchLight avec lequel elle prétend être capable de tracer les données en quelques secondes, y compris sur ces réseaux underground accessibles via Tor.

Danny Rogers et Michael Moore, les deux fondateurs, affirment qu’ils auraient pu découvrir la faille sur les services du Trésor américain que nous avons relaté voici quelques jours.

Le constat des deux fondateurs est que la défense parfaite n’existe pas et qu’il existera toujours des trous. « Si vous ne pouvez pas tout stopper, que pouvez-vous faire d’autre ? c’est comme cela que nous nous sommes concentrés sur la détection immédiate des menaces », affirmait Danny Rogers à nos confrères de ZDNET.

Les empreintes Matchlight stockées dans le cloud

Le principe de fonctionnement de la solution MatchLight est le suivant. Lorsqu’un client héberge une base de données sensibles comme des numéros de cartes de crédit ou des mots de passe, l’appliance MatchLight génère des empreintes digitales pour ces données. Ces empreintes digitales sont envoyées vers le cloud MatchLight sans que les données sensibles auxquelles elles sont attachées y aillent. En combinaison avec un crawler web capable d’indexer également les sites de l’underground, l’entreprise peut être immédiatement informée lorsque l’une de ces empreintes digitales est trouvée dans la nature. Et ceci se produit de manière presque instantanée, indépendamment du type d’attaque qui a conduit au vol des données.

Terbium Labs a démarré en 2013 et a rapidement obtenu le soutien de grandes entreprises dont évidemment elle ne donne pas les noms, dans un programme bêta au long cours. Durant les tests de cette phase bêta, les deux fondateurs ont indiqué avoir identifié plus de 30000 cartes de crédit à vendre et 6000 adresses email en une seule journée, preuve selon eux, de l’efficacité de leur solution.

Expert Informatique assermenté et formateur spécialisé en sécurité Informatique, en cybercriminalité et en déclarations à la CNIL, Denis JACOPINI et Le Net Expert sont en mesure de prendre en charge, en tant qu’intervenant de confiance, la sensibilisation ou la formation de vos salariés afin de leur enseigner les bonnes pratiques pour assurer une meilleure sécurité des systèmes informatiques et améliorer la protection juridique du chef d’entreprise.

Contactez-nous

Cet article vous plait ? Partagez !
Un avis ? Laissez-nous un commentaire !

Source : http://www.mag-securs.com

/news/articletype/

articleview/articleid/34630/categoryid/58/

marquer-les-donnees-pour-constater-immediatement-les-vols.aspx