Cybersecurity Trends 0/2016 FR

Page 1

Cybersecurity Numéro spécial / Numero speciale

Trends

CE VOLUME VOUS EST OFFERT PAR : QUESTO VOLUME VI È OFFERTO DA :


Découvrez les publications de l'UIT en ligne sur : http://www.itu.int/fr/publications


Cybersecurity Trends

3

Mot de bienvenue Par la présidence du Clusis.

4

En guise d’avant-propos Par Laurent Chrzanovski et Romulus Maier, rédacteurs en chef de la revue.

5

Message de bienvenue de l’Union Internationale des Télécommunications Par Marco Obiso, Coordinateur pour la Cyber-Sécurité.

6

Confidentialité de la vie privée: état actuel, aspects et recommandations Par Natalia Spinu, Directrice du Cyber Security Center de la République de Moldavie.

8

La pornographie infantile à travers les services informatiques Par Virgil Spiridon, Adjoint à l’Inspecteur Général de la Police Nationale Roumaine.

12

Droits de l’enfant et internet Interview VIP avec Carla Licciardello, Child Online Protection Focal Point, UIT.

14

Zone privée: le principe de séparation entre les zones de communications dans le but de garantir la sécurité des informations Par Ștefan Hărșan Fárr, expert, fondateur de Earless.

19

„Application Whitelistening”, la plus efficace des stratégies anti-malware Par Cătălin Pătrașcu, Chef du Service sécurité informatique et surveillance, CERT-RO

20

Confidentialité: „privacy by design” et „privacy by default” Interview VIP avec Jean Christophe Schwaab, Conseiller national

22

Comment se protéger dans le monde digital? Par Eduard Bisceanu, Service de Renseignement Intérieur de Roumanie (SRI)

26

Menaces de type ransomware Par Aurelian Mircea Grigore et Toma Cîmpeanu, ANSSI

30

Come concepire un dialogo efficace e permanente, pubblico-privato e multi-stakeholder, per un „cyber-mondo” più sicuro? Di Battista Cagnoni, Esperto, Fireeye.

32

L’OMC et le monde digital Interview VIP avec avec l’Ambassadeur ém. Pierre-Louis Girard

34

Sanita’e sicurezza delle informazioni: dai pace-makers alle ASL „bucate” Di Raoul Chiesa, Esperto, Security Brokers International

38

Sicurezza aziendale e ICT: storie di divergenze, convergenze e integrazioni Di Luca Tenzi, Vice-Presidente CLUSIS

40

IoT (Internet of Things): qui contrôle quoi? Par Mika Lauhde, Expert, SSH Communications Security

42

Asymétries, divergences et comportements en manque de repères dans le monde de l’IT Par Laurent Chrzanovski, Membre du Groupe d’Experts de l’UIT

48

Vous utilisez Tinder? A quel point cette app est-elle vraiment sûre et anonyme? Par Vassilios Manoussos, expert, Strathclyde Forensics.

52

Comment hacker les comptes de ses amis et de sa famille? Lacunes de l’ingéniérie sociale. Par Vassilios Manoussos, expert, Strathclyde Forensics.

1


- Cybersecurity Trends

Le CLUSIS, l’association suisse dédiée à la sécurité de l’information. Le Clusis, Association suisse de la sécurité de l’information, est dédié à tous les aspects de la cybersécurité. Association sans but lucratif elle a été fondée en 1989 et compte aujourd’hui plus de 300 membres. A l’origine, les fondateurs du Clusis sont conscients que les entreprises doivent être sensibilisées aux risques auxquels elles sont désormais exposées. Les technologies de traitement de l’information connaissent un essor prodigieux et les entreprises ont pu se développer grâce à elles, sans être toujours en mesure de protéger leurs affaires et données sensibles. Les acteurs de l’économie, les PME par exemple, ont par ailleurs besoin d’un interlocuteur compétent pour répondre à leurs questions. Le Clusis est né. Les risques et menaces ont évolué depuis la création de l’association et les métiers autour de la sécurité des systèmes d’information se sont complexifiés. Le Clusis aujourd’hui est une véritable plateforme d’échanges entre plus de 400 experts : professeurs chevronnés du monde académique, professionnels compétents de la sécurité ou des PME impliquées dans ces problématiques. Grâce à un événement annuel phare, la Journée Stratégique, des conférences ciblées et pointues, le Clusis partage son savoir actualisé avec les entreprises et experts intéressés. Le succès de ces échanges témoigne de la qualité des intervenants et de leurs apports mutuels. Les journalistes soucieux d’informer leur public sur l’actualité en matière de sécurité de l’information ont enfin recours au Clusis qui leur fournit volontiers la matière et les référents utiles à leur rédaction.

Le Clusis entretient des liens étroits avec ses pairs situés au Tessin et en Suisse allemande. Le Clusis procède enfin à des échanges avec des associations sœurs situées en France, en Italie, au Luxembourg, en Belgique, en Côte d’Ivoire, au Burkina-Faso, en Tunisie, au Québec et au Togo.

http://www.clusis.ch/

2


Mot de bienvenue Par la présidence du Clusis Face aux risques, aux menaces, aux dangers qui guettent à chaque instant nos informations et nos données personnelles dans le monde digital, il n’existe aucune panacée. Cependant, il est possible de parvenir à des solutions efficaces, parfois très simples, pour permettre à notre « alter-ego » virtuel d’évoluer dans un minimum de sécurité. Dans un monde en perpétuelle mutation, avec des technologies qui se succèdent à un rythme effréné, la meilleure des démarches possibles est le dialogue et la culture. Le CLUSIS a été fondé dans ce but, assurant un dialogue utile et productif non seulement entre ses propres membres, mais aussi entre ceuxci et la société au sens large. Membre d’un réseau d’associations de sécurité de l’information, les CLUSI (Clubs de la Sécurité de l’Information), notre association entretient des liens privilégiés avec ses pairs, en Suisse comme à l’étranger. Mais nous désirons aller plus loin, assumer pleinement le rôle de leader dans la communauté suisse de l’Information. Cela ne peut se faire qu’en continuant à fédérer le plus grand nombre possible d’experts, d’entreprises, d’institutions et de centres de recherches sur le territoire national et au-delà. Comme nous l’avons démontré lors de la Journée Stratégique qui a eu lieu à Neuchâtel, en janvier 2016, l’évolution constante des dangers nous demande d’aller au-delà de la simple discussion technologique. Le CLUSIS est là pour relever le défi. Un autre pas concret dans ce sens est certainement le colloque transdisciplinaire sur la manipulation de l’image qui aura lieu le 3 juin à Genève, où le CLUSIS figure parmi les organisateurs, aux côtés de l’Union Internationale des Télécommunications (UIT), du Département de l’économie et de la sécurité du Canton de Genève et de l’Université de Genève. Dans ce même esprit, par le présent volume bilingue de la revue « Cybersecurity trends » que notre mot de bienvenue vient inaugurer, avec des articles en français et en italien, montre le souci du CLUSIS de partager avec le plus grand nombre possible de citoyennes et citoyens des recherches et des conseils élaborés par des spécialistes d’horizons géographiques et professionnels très divers. Reconnue comme exemple de bonnes pratiques par l’UIT, qui y contribue régulièrement, cette revue a fait ses preuves, à quelque mille cinq cents kilomètres de la Suisse. Le CLUSIS a ainsi décidé de relever le défi d’offrir au public, tous les trois mois, ce journal instructif et utile, en l’adaptant bien évidemment aux préoccupations des Suissesses et des Suisses et en collaboration avec les autorités compétentes. Pour l’instant, les « morceaux choisis » de l’édition originale, spécialement traduits pour l’occasion, vous permettront de lire les articles de personnalités parmi les plus reconnues dans notre milieu, qu’elles travaillent au sein d’Institutions publiques ou d’entreprises spécialisées, toutes font preuve d’engagement jour après jour dans ce domaine. Votre sécurité, celle de vos informations, est notre priorité, et proposer à chacun les moyens de comprendre les enjeux de la vie digitale pour mieux y faire face est notre mission.

3


ds Editorial - Cybersecurity Tren

En guise d’avant-propos Par: Laurent Chrzanovski et Romulus Maier,

éditeurs et rédacteurs en chef

Laurent Chrzanovski

Romulus Maier

4

Grâce aux efforts du CLUSIS, vous avez devant vous une sélection de seize articles, spécialement traduits pour l’occasion, tirés des quelque soixante publiés à ce jour dans la revue trimestrielle Cybersecurity Trends. Cette publication, née en mars 2015, est le seul média gratuit de l’Europe non anglophone rédigé dans la langue de ses lecteurs (en l’occurrence roumanophones); basé sur un partenariat public-privé, il propose un contenu rédigé de façon à être aussi attractif qu’instructif pour le public. La revue n’a aucun but lucratif, conformément aux accords passés avec les institutions qui nous font l’honneur de nous soutenir. Elle existe aussi bien en version „traditionnelle” publiée sur papier – pour être distribuée par les institutions participantes et les entreprises qui soutiennent la version imprimée –, qu’en version digitale intégrale, accessible à tous, sur son site propre: https://cybersecuritytrends.ro. L’enjeu est de porter à l’attention du plus grand nombre de personnes, qu’il s’agisse d’entrepreneurs ou de simples citoyens, non seulement les dangers du monde virtuel, mais surtout les solutions pour les prévenir et les combattre. Aussi, l’association de rubriques permanentes de l’UIT, des plus hautes autorités des deux Etats concernés par sa variante native – la Roumanie et la République de Moldavie – avec des articles de spécialistes de tous pays et horizons permet-elle d’offrir des points de vue complémentaires, de susciter le dialogue et surtout d’expliquer au mieux un certain nombre de phénomènes virtuels. Dans sa version classique, après les sections rédigées par les institutions internationales et nationales, la revue comporte un interview d’une personnalité reconnue, un dossier central thématique constitué d’articles inédits d’analystes de prestige, des „alarmes” ponctuelles sur un sujet de niche proposé par chaque spécialiste et, enfin, une vaste bibliographie commentée – munie des liens vers tous les sites et volumes disponibles en ligne – pour tous ceux et celles qui désirent se documenter, approfondir leurs connaissances sur des sujets d’actualité ou sur le thème central du numéro publié. Dans le défi que nous nous étions lancé en nous engageant dans ce qui ressemblait à une „gageure”, nous ne pouvons cacher une réelle émotion, puisque nous avons survécu à la période cruciale de la „naissance” d’un nouveau média et que nous comptons un public en ligne de plus en plus vaste. L’opportunité de collaboration qui nous est offerte par le CLUSIS, visant à publier une version calibrée et adaptée aux attentes du public suisse, est pour nous un honneur et implique des attentes que nous espérons ne pas décevoir. Entre-temps, nous espérons non seulement que les pages qui suivent vous soient utiles, mais aussi et surtout que vous aurez du plaisir à les parcourir.


ends Autorités - Cybersecurity Tr

Message de bienvenue de l’Union Internationale des Télécommunications

Marco Obiso, Coordinateur pour la Cyber-sécurité au sein de l’Union Internationale des Télécommunications

La cyber-sécurité est sans aucun doute le défi principal du 21e siècle, puisqu’il concerne tout le monde, des plus grandes institutions d’Etat aux entreprises, quelle que soit leur taille, aux particuliers. Jamais, les menaces et les dangers n’ont été si nombreux, divers et globalisés, visant potentiellement presque tout un chacun, où qu’il soit. En tant que Coordinateur pour la Cyber-sécurité au sein de l’Union Internationale des Télécommunications, j’ai participé en septembre 2013 à la naissance de la plate-forme de dialogue publique-privée très spéciale „Cybersecurity in Romania”, organisée à Sibiu (Roumanie) par la Swiss Webacademy, en partenariat avec le groupe de presse Agora. L’intérêt général qu’a suscité cette initiative, jetant les bases d’un véritable dialogue public-privé à l’échelle macro-régionale, a motivé l’UIT de soutenir le projet en allouant une assistance technique et logistique, permettant à des experts de renommée internationale de venir partager leurs connaissances à Sibiu. Le succès grandissant, les principaux partenaires institutionnels et privés du congrès se sont demandés s’il n’y aurait pas un moyen de pérenniser ces discussions et les rendre accessibles au plus grand nombre. C’est ainsi que les organisateurs eux-mêmes sont venus avec l’idée d’un journal trimestriel, qui porterait la même vision et la même mission que le congrès. C’est ainsi qu’est née, début 2015, la revue Cybersecurity Trends, portant régulièrement à l’attention du public roumanophone les points de vue des autorités roumaines et moldaves, mais aussi de spécialistes internationaux parmi les plus éminents, réunis autour d’un thème central, différent à chaque édition. La version imprimée de Cybersecurity Trends, mais aussi sa version en ligne gratuite, se sont avérés être un excellent moyen pour augmenter la prise de conscience, si importante, du grand public, et l’amener à se protéger contre les menaces qui font partie du monde numérique dans lequel nous vivons. De plus, les nouvelles lectures proposées ont considérablement aidé à accroître la visibilité et la dissémination des matériels en ligne gratuits élaborés par les institutions publiques et les ONG, qu’elles soient nationales ou internationales. Nous avons toujours considéré cette revue comme un exemple de bonne pratique, et avions appelé de nos vœux sa reprise et son adaptation dans d’autres pays ou communautés linguistiques. Grâce au CLUSIS (Association suisse de la sécurité de l’information), vous tenez entre vos mains ce volume, un „best of”, traduit en français et en italien, des meilleurs textes publiés dans les cinq numéros que compte le journal à ce jour. Nos vœux s’y voient accomplis, puisque le CLUSIS désire désormais s’engager dans la publication d’une variante suisse de Cybersecurity Trends, qui ne fera qu’ajouter au dynamisme et à la valeur des échanges d’idées de spécialistes d’horizons de plus en plus différents. En ce sens, l’UIT ne peut que souhaiter longue vie à cette initiative et, surtout, beaucoup de plaisir aux lecteurs de cet ouvrage. Marco Obiso

5


ds Autorités - Cybersecurity Tren

Confidentialité de la vie privée: situation actuelle, enjeux et recommandations auteur: Natalia Spinu

La confidentialité. Qu’est-ce que c’est? Pourquoi est-elle devenue l’une des problématiques les plus aiguës de la modernité? Comment la protéger? Il y a beaucoup de questions qui se posent et de discussions à porter. Natalia Spinu, Directrice du Cyber Security Center (CERT-GOV-MD)

De nouvelles corporations et de nouvelles technologies ont radicalement changé et augmenté nos libertés, mais elles permettent aussi porter des atteintes inégalées à nos vies privées. Votre téléphone portable vous aide à rester en contact avec vos amis et votre famille, mais il rend aussi plus facile, pour des agences de sécurité, de connaître votre emplacement et de vous suivre à la trace. Vos recherches Internet, si elles concernent des informations médicales sensibles, peuvent sembler être un secret entre vous et votre moteur de recherche, mais des entreprises comme

Natalia Spinu Natalia Spinu est directrice du Cyber Security Center (CERT-GOV-MD), dans le cadre du Service des Communications Spéciales de la Chancellerie d’Etat de la République de Moldavie. Elle a été, auparavant, cheffe du Centre de Télécommunications Spéciales de Moldavie, et coordinatrice de projet au Centre d’Information et de Documentation de l’OTAN. Elle est diplômée en Advanced Security Studies (Marshall Center), de l’European Training Course in Security Policy (Geneva Centre for Security Policy) et détient un master de l’Institut Européen de l’Université de Genève.

6

Yahoo, What’Up, Facebook et Google constituent un véritable trésor avec données des informations personnelles que vous leur offrez, en suivant à la trace vos activités en ligne et les enregistrant. Vos informations personnelles sont potentiellement disponibles pour n’importe quel partie offrant assez d’argent ou pouvant obtenir une citation à comparaître de la part d’un enquêteur de police ou d’un juge. Les droit international et les corpus juridiques nationaux ont beaucoup de retard pour rattraper le besoin croissant de protéger la vie privée dans le cadre des nouvelles technologies. Plusieurs gouvernements nationaux ont ainsi choisi d’utiliser des logiciels malveillants pour s’engager dans des activités d’espionnage extralégales ou de sabotage de réseaux informatiques concernant des dissidents ou des personnes qui ne détiennent pas la citoyenneté du pays en question, le tout au nom de la „sécurité d’Etat”. Le respect de la vie privée des individus, leur autonomie, le droit à un discours anonyme et le droit à la libre association doivent être pris en compte lors des décisions liées aux préoccupations légitimes comme l’application de la loi. Les gouvernements nationaux doivent développer et mettre en place des contrôles légaux pour empêcher l’abus de pouvoir de la part de l’Etat, tandis que les organismes internationaux doivent prendre en compte comment un environnement technologique évolutif est en train de changer les meilleures pratiques des agences de sécurité. La „vie privée” est en fait un ensemble de nombreux concepts. Ce qui présupposerait une absence de surveillance des communications, le droit à la confidentialité de l’information, des données personnelles et l’interdiction de remettre de telles données à des tiers. Mais au vu de l’espace disponible, nous nous proposons de centrer cet article sur la confidentialité de la vie privée des personnes. La vie privée personnelle est le droit fondamental de n’importe quel citoyen de contrôler ses propres informations personnelles et de décider ce qu’il veut en faire – i.e. de divulguer certaines informations ou non. Les dossiers médicaux, les données


biométriques, les relations personnelles et la situation financière sont des exemples d’informations qui peuvent être utilisées dans des buts malveillants et qui devraient être soumis à une protection renforcée. La confidentialité de la vie privée fait face à de nombreux enjeux reconnus à l’échelle globale. Certains des défis concernant la confidentialité de la vie privée incluent aussi bien les systèmes informatiques des entités gouvernementales et des compagnies privées. Les gouvernements collectent des quantités impressionnantes d’informations privées personnelles. Il est impossible d’en échapper même si une personne se déplace dans des pays différents – puisque l’autre pays va à son tour commencer à rassembler des informations sur la personne concernée. Des corporations et des compagnies privées, comme les entreprises de télécommunications et les réseaux sociaux, suivent à la trace et rassemblent systématiquement d’énormes quantités de données. Les gouvernements sont devenus de plus en plus numérisés, et la plupart de données personnelles sont, de nos jours, rassemblées et stockées dans des systèmes d’information gouvernementaux. Cette combinaison d’informations personnelles et privées possédées collectivement par des organisations externes crée des risques significatifs pour la vie privée de citoyens. Les compagnies privées rassemblent des données personnelles pratiquement partout dans l’espace virtuel. Que vous utilisiez Facebook, que vous fassiez des achats en ligne ou même, plus simplement, que vous surfiez sur Internet, votre utilisation de la toile fournit d’énormes informations sur vous-même, votre environnement et vos comportements personnels. Les informations personnelles sont désormais la plus grande valeur ajoutée de toutes les organisations externes. Elles collectent vos données puis les revendent à d’autres. C’est ainsi que bien des compagnies privées gagnent des fortunes, en monétisant vos informations privées. C’est le prix, méconnu des populations, à payer pour utiliser leurs „services gratuits”. Plus les utilisateurs révèlent des informations sur eux-mêmes, plus on constate de violations de la vie privée. Finalement, certains individus, moyennant les fonds nécessaires, peuvent obtenir leurs propres outils de surveillance, de plus en plus puissants, pour mener à bien des différents types de fraudes, d’espionnage économique ou d’autres activités illégales à l’encontre de la vie privée des citoyens et de tierces parties. Le problème principal est que les législations actuelles ont tendance à se préoccuper des risques de confidentialité visant les données des Etats et des milieux économique, mais pas des individus. Les récentes fuites massives de données personnelles ont montré à quel point le simple citoyen est aussi vulnérable qu’impuissant, indifféremment des mesures légales, politiques ou techniques mises en oeuvre pour sa protection. Pire, la protection de la confidentialité privée devient de plus en plus complexe, comme on le voit suite aux difficultés rencontrées dans la mise en œuvre du „droit à l’oubli”, dans le cadre des accords passés avec l’industrie privée, mais aussi des accords légaux comme celui entre l’UE et les USA, concernant la protection de données et connu sous le nom de „Umbrella agreement”, permettant d’obtenir de la part d’Etats étrangers des informations personnelles sensibles sur n’importe quel citoyen ou non-citoyen d’un autre Etat, sur la simple base d’une demande judiciaire. Bien qu’il n’y ait plus aucun choix pour échapper au„Big Brother”, plusieurs actions simples peuvent être entreprises par chaque individu pour se protéger. Nous proposons ici quelques mesures à prendre en considération. Contrôlez quelles informations personnelles vous rendez disponibles pour une lecture et une utilisation publique illimitée. Posez-vous la question: „si je divulgue cette information, pourrait-elle à l’avenir me nuire, nuire à mes amis, à mon université ou à mon entreprise?”. Rappelez-vous qu’une fois qu’une information est sortie, divul-

guée ou postée sur Internet, vous ne pouvez plus la „reprendre”. Elle est postée pour toujours ! Gardez à l’esprit que toute activité que vous faites, particulièrement sur Internet, sera suivie à la trace. Pour toujours ! Protéger vos informations personnelles peut sembler être une tâche difficile, mais il y a des mesures simples que tous les internautes peuvent prendre pour protéger leur vie privée en ligne. Secure votre devices. Utilisez le verrouillage d’écran, la double authentification, mais aussi des mots de passe et des possibilités de reconnaissance d’empreintes digitales afin de sécuriser vos smartphones, vos tablettes et vos ordinateurs. Set strong passwords. Faites des mots de passe complexes, en utilisant de façon combinée majuscules, numéros, caractères spéciaux, et changez-les régulièrement. Own your digital life. Réfléchissez soigneusement à ce que vous postez sur internet. Tout ce que vous mettez sur la toile - courriels, photos, tweets, blogs... - va y rester, et sera visible pour toujours. Reprenez la propriété de votre vie numérique en affichant seulement ce que vous voulez être vu. Fermez définitivement les comptes en ligne que vous n’utilisez pas! Customize the settings on your accounts and apps. Beaucoup de comptes et d’apps proposent des réglages par défaut, ce qui encourage les utilisateurs à partager plus de types d’informations. Vérifiez vos paramètres de compte pour assurer que vos informations soient visibles seulement pour les personnes que vous autorisez. Moins vous partagez d’informations personnelles en ligne, mieux c’est. Think before you app. Avant de télécharger une application mobile, comprenez à quelles informations (comme votre emplacement, l’accès aux réseaux sociaux, etc.) l’app aura accès et ajustez vos paramètres de confidentialité en conséquence. Think before you act. Méfiez-vous des communications qui, souvent, offrent quelque chose qui semble trop beau pour être vrai, demandent des informations personnelles, ou vous suggèrent de cliquer sur des liens ou ouvrir des attachements. De telles communications peuvent contenir des logiciels malveillants ou vous rediriger vers des sites Web potentiellement malveillants. La confidentialité de la vie privée personnelle restera toujours une question ouverte. Bien de choses sont faites pour la protéger, mais il reste encore beaucoup plus à faire aussi bien sur le plan national qu’international pour atteindre un niveau de sécurité acceptable pour tout le monde en ce qui concerne les informations personnelles. Aujourd’hui, la vigilance personnelle, la prise de conscience et, ce qui est le plus important, le désir de protéger sa propre vie privée sont devenus l’une des pierres angulaires dans l’assurance d’une protection de la confidentialité, non seulement pour nous en Moldavie, mais partout à travers le monde dans le domaine digital.

1 2 3 4 5 6

Ndr: dans ce texte, nous avons choisi de traduire „privacy” par confidentialité.

7


ds Autorités - Cybersecurity Tren

La pornographie infantile à travers les réseaux informatiques auteur: Virgil Spiridon

Considérations générales Dès son apparition, Internet est devenu une véritable „boîte de Pandore” pour la société, offrant, à côté d’innombrables avantages, une multitude d’occasions d’infraction des règles établies. La pornographie infantile représente un domaine qui a „explosé „grâce à la mondialisation de l’utilisation d’Internet. L’un des défis les plus importants dans le cas de pornographie infantile sur Internet est représenté par le facteur de l’anonymat. Ceux qui commettent des abus ont l’avantage, aussi longtemps qu’ils le souhaitent, de bénéficier du caractère anonyme de leur approche. Cet aspect lui offre la confiance nécessaire, si l’on tient compte que le risque d’être identifié, dès le début, comme abuseur potentiel, est mineur. En même temps, ce facteur a contribué à l’augmentation du nombre de plus en plus élevé des consommateurs de pornographie infantile, qui, dans les conditions existantes avant l’apparition de la toile, n’auraient pas recherché de tels types de matériaux.

Virgil Spiridon Adjoint à l’Inspecteur Général de la Police Nationale roumaine. Directeur de la Direction de Lutte contre la Criminaté Organisée (DCCO) de la Police Nationale. Coordonateur du projet européen EMPACT/ EUROPOL, pour le secteur de la criminalité informatique (Fraudes avec cartes de credit) http://www.politiaromana.ro; www.efrauda.ro

8

Dans ce même contexte, l’action initiale d’induire en erreur, en ce qui concerne le sexe et l’âge de l’abuseur, est un élément important de l’approche sur Internet. La multitude de réseaux sociaux, doublée par les possibilités presque illimitées d’y créer des identités virtuelles fausses, associées à l’utilisation de photographies qui n’ont rien à voir avec la réalité, voilà autant de facteurs qui permettent d’aborder facilement les victimes potentielles. La capacité des sites de socialisation à produire des corrélations automatiques offre aux pédophiles de nombreuses informations initiales et, grâce à celles-ci, autant d’occasions leur permettant d’augmenter le taux de succès dans leurs démarches de racolage de mineurs. Un autre facteur important est la croissance progressive de l’utilisation d’Internet par les enfants, associée à l’âge, de plus en plus jeune, à partir duquel ils sont présents sur la toile. En plus de ces facteurs apparus avec Internet, il faut souligner ceux qu’offrent les caractéristiques des victimes, certaines existant depuis bien longtemps - une connaissance réduite ou même absente en ce qui concerne l’utilisation sûre des moyens électroniques, une courte expérience de vie, une certaine naïveté, l’innocence, la faible capacité de différencier ce qui est bon de ce qui ne l’est pas, etc.

Les modalités d’aborder les enfants Dans les témoignages réunis par la police nationale roumaine dans le domaine de la pornographie infantile en ligne, on observe deux façons générales concernant l’approche des victimes par les criminels: L’approche directe - dans la plupart des cas, les auteurs ont suivi leurs victimes et les ont abordées dans la rue, sous des prétextes divers, des promesses de différentes catégories d’avantages leur donnant envie (sommes d’argent, marchandises, services), afin d’induire en erreur leurs victimes et de les convaincre de les accompagner dans des endroits spécialement aménagés. C’est alors que, soit pour obtenir les promesses mentionnées, soit sous le coup de menaces, les victimes deviennent le sujet de photographies/fils, dans des positions sexuelles, imitant ou pire réalisant différentes catégories d’actes sexuels ou, ce qui est encore plus grave, étant abusés sexuellement par le criminel. La Caractéristique de cette approche est le fait que les victimes proviennent des couches sociales les moins favorisées – comme les enfants des orphelinats, ceux qui sont issus de familles difficiles, ou encore des zones les plus pauvres (d’habitude les zones rurales). L’approche sur Internet - dans ces cas, utilisant d’habitude des fausses identités sur les réseaux sociaux, les sites de jeux, etc., les criminels s’approchent des victimes et,


profitant de leur naïveté et la facilité avec laquelle les victimes transmettent des informations personnelles à des personnes inconnues, gagnent leur confiance. Par la suite, pour réduire l’inhibition des mineurs, ils leur transmettent des images avec d’autres enfants dans des hypostases semblables, les présentant comme des formes inédites d’amusement, les incitant ainsi à se laisser photographier ou filmer dans des positions semblables avec leur téléphone ou leur ordinateur portable. En dernier ressort, les criminels ont recours au chantage des mineurs et, sous la menace de la distribution de ces mêmes photos/vidéos dans l’espace public, les déterminent à accepter une rencontre, continuant et accentuant même les formes de l’abus.

La prevention et la prise de conscience Comme on l’a vu, la pornographie infantile par le biais des systèmes informatiques représente un défi particulier, non seulement pour les représentants des autorités qui combattent ce phénomène, mais pour la société toute entière. Pour apporter une contribution efficace à la réduction de cette forme de criminalité, les représentants des forces de l’ordre doivent coopérer avec tous les acteurs de la société, aussi bien pour pouvoir identifier et porter les auteurs de ces méfaits devant les organes de justice, mais aussi pour commencer à constituer des activités d’information et de prise de conscience des citoyens en ce qui concerne les risques et les mesures efficaces de prévention. Pour maximiser l’effet des activités impliquant la prévention, les policiers doivent: - Détenir et améliorer constamment leurs connaissances techniques et pratiques sur la pornographie infantile sur le net. - Coopérer avec toutes les autorités et organisations qui portent de l’intérêt à ce domaine. - Concentrer efficacement leurs efforts dans le cadre de leurs activités, en diffusant efficacement les informations auprès du public cible.

Dans la réalisation du processus informatif préventif contre la victimisation, les policiers doivent viser particulièrement deux catégories-cible: les enfants et les parents. RECOMMANDATIONS POUR LES PARENTS ET LES PERSONNES QUI S’OCCUPENT DE L’EDUCATION DES MINEURS (Les professeurs d’écoles, tuteurs, personnel des institutions pour la santé des mineurs – responsables des centres de placement) Les recommandations que nous leur adressons doivent viser: Eléments de base et généralités sur le phénomène: Prendre conscience de l’existence du risque. Ne pas poster sur le net des photos avec leurs propres enfants, à caractère de nudité/semi-nudité. Communiquer ouvertement avec les enfants sur le thème de l’Internet, des avantages et des dangers existant dans le monde virtuel. L’enfant doit savoir qu’ils peuvent discuter avec ses parents de n’importe quel aspect rencontré dans le monde virtuel. Etablir, de concert avec les enfants, des règles d’utilisation de l’Internet et contrôler qu’ils s’y conforment. Ne pas limiter l’accès à l’Internet de façon excessive et injustifiée. Présenter aux enfants les risques auxquels ils peuvent être exposés dans l’environnement en ligne. S’assurer de connaître les mots de passe des enfants à leur courrier électronique, à leurs comptes sur les réseaux sociaux, etc. et être attentif „aux amitiés en ligne” qu’ils entretiennent. Solutions techniques de contrôle parental des possibilités qu’a l’enfant de surfer sur Internet: Utiliser des programmes de filtrage qui peuvent automatiquement interdire l’accès à certaines catégories de sites. Utiliser les moteurs de recherche pour enfants (par exemple Google Search Engine for Kids) - qui filtrent automatiquement les résultats de recherche sur Internet, en excluant les pages inadéquates pour les mineurs. Signes de reconnaissance d’une possible exposition de l’enfant aux risques de l’environnement en ligne de - ce sujet est fortement sensible, car beaucoup de parents ont tendance „à défendre” leurs enfants, refusant de façon injustifiée (par ignorance de phénomène, par pudeur excessive, etc.) toute discussion ou acceptation de l’existence de certains de ces signes: L’enfant passe des périodes substantielles de temps tout seul sur Internet, particulièrement la nuit. Les parents découvrent du matériel pornographique dans le laptop / la tablette / le smartphone de l’enfant. L’enfant reçoit des appels téléphoniques de personnes inconnues ou appelle de telles personnes et se cache de ses parents lorsqu’il parle avec elles. L’enfant présente des signes d’isolement par rapport à sa famille et ses amis; Possibilité de signaler les abus possibles Saisir directement les autorités de police compétentes. Demander de l’aide aux ONGs qui gèrent des sites Web dans le domaine

9


ds Autorités - Cybersecurity Tren RECOMMANDATIONS POUR LES ENFANTS L’un des problèmes principaux pour aborder avec les enfants les sujets qui concernent le phénomène de la pornographie infantile est constitué par leur manque d’expérience, doublé du degré de prise de conscience, généralement très bas, des dangers qui peuvent les menacer dans l’environnement en ligne. L’expression „cela ne vas pas m’arriver” est très présente dans leur façon de penser et d’agir. Parmi les recommandations qui peuvent être adressées aux enfants sur ce sujet, nous pouvons mentionner: N’offrez jamais aux personnes que vous avez connu via internet des informations personnelles sur vous ou votre famille comme: votre nom, votre âge, votre numéro de téléphone, vos photos personnelles, votre adresse, l’école que vous fréquentez ; si certaines personnes insistent pour savoir ces détails, vous devez immédiatement informer vos parents, parce qu’il est très probable qu’elles aient de mauvaises intentions. Ne jamais donner le mot de passe de votre courrier électronique à d’autres personnes que vos parents; si vous communiquez ce mot de passe à vos amis ou à d’autres personnes, ils peuvent envoyer des messages offensants en votre nom ou peuvent entrer sur des sites interdits. N’acceptez jamais de rencontrer dans le monde réel une personne que vous avez connue sur Internet ; les hommes peuvent être très différents de ce qu’ils prétendre être sur Internet et vous pouvez devenir une victime des réseaux de traite des personnes ou d’autres accidents tragiques. N’utilisez pas votre téléphone personnel si vous appelez quelqu’un rencontré sur Internet. Évitez de publier sur Internet des photos de vous ou de votre famille ; ce sont vos propriétés personnelles et ne doivent pas venir à la connaissance de quelqu’un qui surfe sur le net; elles peuvent être utilisées pour vous faire du mal, à vous-même ou à vos proches. Si vous recevez par Internet un film ou des photographies comprenant des relations sexuelles avec un mineur, même ils vous sont envoyés par une personne que vous connaissez, ne les envoyez jamais à d’autres personnes! Vous pourriez devenir complice de ce crime, conformément aux lois sur la prévention et la lutte contre la pornographie infantile. N’oubliez pas que tout ce que vous lisez ou que vous voyez sur Internet n’est pas toujours vrai! Les informations contenues sur une page Web peuvent être postées par quelqu’un, adulte ou enfant, de façon non vérifiée ou pour induire en erreur; de même, les photos ou les vidéos peuvent avoir été modifiées par ordinateur et peuvent dépeindre des situations qui n’ont jamais existé. Si quelqu’un vous fait sentir inconfortable sur Internet, vous pouvez en tout temps décider de ne plus communiquer avec cette personne. Vous n’êtes pas obligés de rester sur Inter-

10

net plus que vous ne le pouvez et vous ne devez pas vous sentir forcés de supporter ce que vous n’aimez pas ou qui vous fait peur. Vous pouvez toujours, quand vous voulez, exclure de vos contacts des personnes avec lesquelles vous ne voulez plus communiquer! Si une personne avec qui vous communiquez sur Internet vous insulte, vous menace, vous envoie des messages à caractère sexuel, vous demande de lui envoyer des photos de vous, nu ou à caractère pornographique, vous recommande de consommer de l’alcool ou des drogues, avertissez immédiatement vos parents et contactez les sites des agences spécialisées. Demandez toujours de l’aide, dans n’importe quelle situation, aux personnes en qui vous faites confiance, vos parents, vos professeurs ou vos meilleurs amis. Un problème en soi dans les enquêtes sur la pornographie infantile en ligne est ce que l’on nomme „l’auto-production”, ce qui implique la production de matériel pornographique par les mêmes mineurs qui apparaissent dans ces matériels, ainsi que le stockage/transmission de ce matériel. Ces faits sont d’habitude commis par des enfants âgés de plus de 13 ans. Les mineurs en question prennent des photos ou des vidéos dans lesquelles ils apparaissent seuls, dans des hypostases pornographiques, ou entretenant des rapports sexuels avec une autre personne. Ensuite, ils enregistrent ces fichiers sur leur ordinateur et, dans dans quelques cas, transmettent ces données sur Internet à des personnes de leur entourage. Ces situations sont, la plupart des temps, liées au contexte spécifique de l’adolescence (bravades, phénomène de „l’enfant terrible”, etc.), et viennent s’ajouter au manque de conscience de l’impact et des conséquences que de tels actes peuvent avoir sur le développement psycho-social du mineur. Dans de tels cas, il faut donner une priorité absolue à l’octroi d’une assistance spécialisée aux leurs mineurs concernés, en s’adressant aux institutions autorisées par à la loi à cet égard, afin d’empêcher la répétition d’actes semblables.


11


Trends VIP Interview - Cybersecurity

Les droits des enfants et l’Internet Interview avec Carla Licciardello, Child Online Protection Focal Point, UIT

Carla Licciardello, ITU Child Online Protection Focal Point

L’UIT est une agence des Nations Unies spécialisée dans la technologie de l’information et des communications (TIC). C’est elle qui fixe le spectre radio globa, les orbites des satellites, ou encore développe les standards techniques qui permettent d’assurer l’interconnexion des réseaux et des technologies. Elle lutte également pour améliorer l’accès aux TIC dans les communautés les plus défavorisées de la planète. L’UIT est engagée à connecter tous les humains, où qu’ils se trouvent et quelles que soient leurs possibilités financières. Par notre travail, nous protégeons et nous encourageons le droit fondamental de tous à communiquer.

Réd: Décrivez votre domaine principal d’activités ainsi que votre plus grand projet lié à l’utilisation des technologies Internet par les enfants - ce qui vous rend heureuse, fâchée et à quoi le succès ressemble-t-il dans votre travail? Carla Licciardello: Le pouvoir de libérer tout le potentiel des technologies de l’information et des communications (TIC) se trouve dans les mains des enfants et des jeunes. Les TICs sont un outil excellent pour le développement des enfants, leur fournissant l’occasion d’apprendre, de créer et de s’engager

Bio Carla Licciardello est „Child Online Protection Focal Point” à l’Union Internationale des Télécommunications, à Genève. Sa responsabilité principale est de coordonner les activités de l’UIT dans le cadre du programme Child Online Protection, y inclus de développer des projets avec les Etats membres et d’autres Organisations Internationales. Elle travaille également dans le domaine de la Cybersécurité et offre son assistance dans les relations entre les agences concernées. Avant de rejoindre l’UIT, Carla Licciardello a travaillé à la Mission d’Italie près les Nations Unies à Genève. A l’ONU, Carla Licciardello a travaillé principalement au Disaster Risk Reduction. Carla Licciardello a oeuvré également dans l’assistance et l’aide humanitaire par le biais de politiques pour les Etats Membres victimes de désastres naturels.

12

d’une manière novatrice dans la résolution de problèmes - et la ‘démocratisation’ des TICs signifie que le phénomène va prendre de plus en plus d’ampleur. Malgré les avantages profonds que les TICs peuvent offrir, les enfants et les jeunes font face à des risques aussi nouveaux que significatifs. Les enfants peuvent être exposés à des contenus ou à des contacts inopportuns, comme par exemple à des prédateurs sexuels potentiels. Ils peuvent subir des dommages de réputation par le biais de la publication d’informations personnelles sensibles, en ligne ou par des phénomènes comme le ‹sexting’, car ils peinent à saisir les implications à long terme de leurs „empreintes” numériques. Les enfants peuvent s’engager dans des comportements risqués ou inopportun, qui peuvent créer des répercussions négatives aussi bien pour eux que pour d’autres. C’est la raison pour laquelle l’UIT a fait de cette question une priorité et a pris l’initiative de lancer le programme COP (Child Online Protection) en 2008. L’initiative du COP implique des partenaires de tous les secteurs de la communauté globale dans un dialogue international pour aborder la question de la sécurité de l’enfant en ligne, dans le but de créer une expérience permettant à tous les enfants du globe de bénéficier d’une expérience enrichissante lorsqu’ils sont en ligne. Le COP rassemble des partenaires de tous les groupes d’acteurs soutenant un effort global pour protéger les enfants en ligne, par des forums comme le Groupe de travail sur la Protection de l’Enfant en ligne, tout en bénéficiant aussi de la portée mondiale que nous avons en tant qu’agence de Nations unies. Ensemble, nous sommes venus de loin: la sécurité en ligne de l’enfant est main-tenant une priorité à l’ordre du jour des politiques dans beaucoup de pays et elle est devenue une priorité absolue pour une large variété d’acteurs, y compris des entreprises et des institutions financières. Notre but global commun, d’assurer la confiance envers l’espace virtuel, ne peut pas être réalisé par des pays et des tierces parties agissant isolément: tout le monde doit travailler ensemble si nous voulons réussir à combler les lacunes existantes.


Dans un monde de plus en plus connecté, qui ne connaît aucune frontière, il est extrêmement important que tous ces efforts divers soient alignés vers l’enjeu mondial commun de bâtir un espace virtuel sûr et digne de confiance. Réd: Imaginez que vous serez, dans cette même profession, dans 10 ans, quelles différences imaginez-vous? Carla Licciardello: Dans dix ans, je crois que l’Internet - qui en est toujours à ses débuts - ira encore bien plus loin. Les tendances de l’environnement numérique indiquent qu’aujourd’hui nous assistons à de plus de connectivité sans fil, à des vitesses exponentiellement plus rapides, ainsi que le transfert des quantités de plus en plus énormes de données. Ceci implique que nos accomplissements d’aujourd’hui pourront être repris pour assurer que nos réseaux soient à l’épreuve de l’échec et que les générations futures d’utilisateurs pourront surfer dans l’espace virtuel dans un environnement plus sécurisé. Comme nous continuons à travailler pour permettre l’utilisation des TICs aussi bien dans les pays en voie de développement que dans les pays les moins développés – d’où proviendra le dernier milliard des futurs utilisateurs d’Internet – nous devons réduire les différences dans l’accès et la diffusion des TICs pour permettre le développement social, la protection de l’environnement, produire de la richesse, livrer des services médicaux et un enseignement de qualité aux enfants du monde entier. Nous devons aussi reconnaître que nous ne pourrons jamais réaliser pleinement le potentiel plein offert par les TICs, si les enfants, partout où ils vivent, n’ont pas confiance en leur utilisation. Nous ne pouvons assurer cette confiance qu’en travaillant ensemble avec toutes les parties prenantes de toutes les nations, surtout si l’on tient compte que de nouveaux défis vont surgir, c’est à dire que de nouveaux outils et mécanismes de coordination devront être développés et partagés. Réd: Comment les entreprises et les autres acteurs devraient-ils travailler ensemble pour relever les différents défis et opportunités concernant les enfants et le monde numérique? Carla Licciardello: Pour réduire les risques de la révolution numérique tout en permettant à plus d’enfants et de jeunes d’en récolter les avantages, les gouvernements, la société civile, les communautés locales, les organisations internationales et le secteur privé doivent travailler la main dans la main avec un but commun. L’industrie technologique a un rôle vital à jouer dans l’établissement des fondations pour une utilisation plus sûre et plus sécurisée de services qui ont pour base l’Internet et les autres technologies. Par exemple, les partenariats publics et privés sont autant de clés pour élaborer une réponse nationale, régionale et internationale coordonnée au problème des abus sexuels en ligne sur les mineurs et pour assurer le partage des informations parmi les différentes parties prenantes. L’industrie, les départements d’application de la loi, les gouvernements et la société civile doivent travailler en étroite collaboration les uns avec les autres pour assurer la mise en œuvre de cadres légaux adéquats, en conformité avec les normes internationales en vigueur. De tels cadres de travail devraient criminaliser toutes les formes d’abus sexuels sur mineurs et d’exploitation de mineurs, mais aussi protéger les enfants qui sont les victimes de tels abus ou d’exploitations et d’assurer que les processus de rapport, d’investigation et d’effacement du contenu soient traités aussi efficacement que possible. Réd: Qui ou quelle organisation considérez-vous comme le „leader” pour provoquer le changement et l’avancée des droits de l’enfant dans le monde numérique et pourquoi? Carla Licciardello: Les Nations unies jouent un rôle important dans le monde numérique comme un fédérateur mondial et un facilitateur pour les différentes

parties prenantes, les invitant à venir discuter ensemble, identifier puis mettre en œuvre des solutions permettant la construction d’un Internet universellement disponible, ouvert, sécurisé et digne de confiance. Réd: Quelles applications ou programmes créatifs et novateurs développeriez-vous pour les enfants et les parents en ce qui concerne la participation civique et / ou la citoyenneté numérique? Carla Licciardello: Je crois que nous devons stimuler la production de contenu en ligne créatif et éducatif pour les enfants aussi bien que la promotion d’expériences en ligne positives pour les plus jeunes. Des mesures techniques peuvent constituer une partie importante pour s’assurer que les enfants sont protégés des risques potentiels auxquels ils font face en ligne, mais ceux-ci sont seulement un élément de l’équation. Des outils de contrôle parentaux, la prise de conscience et l’éducation sont les composantes-clé qui aideront à former et à informer les enfants des différentes tranches d’âge, aussi bien que leurs parents, le personnel soignant et les éducateurs. Les parties prenantes peuvent soutenir de façon proactive les droits de l’enfant en travaillant à refermer le fossé numérique. La participation des enfants exige une alphabétisation numérique – à savoir la capacité de comprendre et de participer au monde numérique. Sans cette capacité, les citoyens ne pourront pas participer à de nombreuses fonctions sociales qui sont devenues „numérisées”, comme, parmi d’autres, les déclarations d’impôts, le soutien de candidats politiques, les signatures de pétitions en ligne, l’enregistrement d’une naissance, ou simplement l’accès à au commerce, à la santé, aux informations éducatives ou culturelles. Donc, il est crucial de développer des programmes qui soutiennent des initiatives multimédia pour fournir aux enfants - particulièrement à ceux dans des zones rurales et mal desservies - les compétences numériques afin qu’ils deviennent des citoyens confiants, connectés et activement engagés, leur permettant de participer à part entière et sans risque au monde numérique. Nous devons aussi développer des plates-formes en ligne qui promeuvent le droit des enfants à s’exprimer. Il faut faciliter la participation dans la vie publique, encourager la collaboration, la participation entrepreneuriale et civique. Finalement, il est important de concevoir des programmes pour collaborer avec les sociétés civiles locale et les gouvernements sur des priorités nationales ou locales pour étendre l’accès universel et équitable à l’information et aux technologies de communication, aux plates-formes et aux dispositifs - et bien entendu à toute l’infrastructure sous-jacente qui en est à la base.

* ce matériel nous a été gracieusement mis à disposition par l’Unicef

13


Trends - Cybersecurity Trends

Zone Privée. Le principe de séparation des zones de communication pour assurer la sécurité des informations auteur: Ștefan Hărșan Fárr

Ștefan Hărșan Fárr Fondateur, architecte et développeur de „Earless” (www.earless.net)

{tefan H`r[an Fárr Ștefan Hărșan Fárr est un professionnel du software et entrepreneur, avec plus de 18 ans d’expérience dans l’ingénierie software, le design et l’analyse. Il a une vase expérience dans le développement d’applications, leur design, la sécurité, les communications, l’art analytique et a exercé son expertise dans des projets pour des clients importants d’horizons différents (bancaire, pharmaceutique, touristique, etc.). Ses plus grandes passions sont l’Intelligence Artificielle, la communication entre ordinateurs, l’interaction entre l’homme et l’ordinateur, les langues naturelles, la projection de langues et de sémantique informatiques, autant de domaines sur lesquels il a mené de nombreuses recherches au fil des années. Il est passionné de physique, de la théorie des systèmes, des sciences sociales et de l’évolution. email: stefan@earless.net

14

Dans notre monde de plus en plus connecté, l’information a une très grande valeur, mais le secret de l’information est un sujet qui est souvent négligé ou même écarté parce que les acteurs-clé dans le domaine de la communication électronique ont un intérêt direct à obtenir l’accès à autant d’informations que possible. Ce phénomène crée un mélange très dangereux, dans lequel la technologie, l’économie, la politique, le droit et, last but not least, le facteur humain, interagissent de telle façon qu’il est de plus en plus difficile de garder secrètes nos informations personnelles ou celles de l’entreprise où nous travaillons. Les Etats désirent tout savoir de nous, en affirmant que leur but est notre protection tandis qu’en réalité, il est question d’influence et de contrôle; les fournisseurs de services nous disent qu’ils veulent mieux nous connaître pour améliorer la qualité de leurs services, mais en fait ils veulent générer des méthodes plus efficaces pour placer leurs produits. Nous n’avons pas attendu longtemps pour assister à l’entrée en jeu des criminels, dont le but est pour le moins ambitieux: voler des informations et les revendre au plus offrant. Enfin, au milieu de cette frénésie, il y a nous tous, et nos informations. Tant bien que mal, les gens comprennent la valeur de l’information, comprennent le bénéfice de posséder plus d’informations que la concurrence, comprennent l’importance de garder secret cet avantage tout en ayant des informations en commun avec d’autres, autant d’informations qui doivent être protégées pour le bien du groupe, ou encore le besoin de protéger les informations confiées par des tiers. Le problème est que tout ce paysage informationnel est si complexe, tortueux, plein d’intérêts différents, de mensonges et de malentendus que nombreux sont ceux qui vont échouer en tentant de mettre en œuvre ce qui précède, sans s’en rendre compte. Cette question est des plus graves, parce que toutes ces informations sont connectées, et qu’un intrus va pouvoir les extraire petit à petit, jusqu’à ce qu’il atteigne enfin ce qui a de la valeur. Et, le plus souvent, ce qui a de la valeur pour un intrus est désastreux pour la victime. Le maillon faible dans cette chaîne informationnelle est le processus de communication, mais comprendre pourquoi, il faut en établir le contexte de base. Quand les principes des réseaux ont été élaborés, au début, personne n’a pensé que ceux-ci gagneraient une telle ampleur. Le réseau a été conçu sur la base de lignes privées, à l’écart des malfaiteurs. Même quand le réseau a pris de l’ampleur, avec la naissance de l’Internet, ses créateurs n’ont pas placé la sécu-


rité en premier plan, puisque le principe de l’Internet était de nous unir, pas de nous séparer. C’est ainsi qu’il n’existe aucun protocole de base pour assurer la sécurité de l’information pendant la communication. Il faut imaginer Internet comme une gigantesque masse d’individus, au sein de laquelle lorsque quelqu’un veut envoyer un message à quelqu’un d’autre, il va mettre ce message dans une enveloppe non scellée qui va se promener d’une main à l’autre jusqu’à sa destination. Il est évident que, dans ce schéma, il n’y a aucune certitude ni en ce qui concerne l’origine du message, ni si celui-ci a en réalité atteint sa destination, ni si quelque chose y a été ajouté ou supprimé durant son transit, ni combien de personnes, en sus du destinataire, ont pu lire le message. Le courrier électronique simple a été construit directement sur ces protocoles, sans un seul ajout de sécurité ; il subit par conséquent tous les défauts énumérés: son auteur peut être falsifié, sa livraison détournée, son contenu intercepté et / ou changé lors du transit. Et puisque les hommes, souvent, ne sont pas conscients de cette fragilité, ou qu’ils choisissent de l’ignorer „seulement pour cette fois”, le courrier électronique devient un instrument redoutable dans la main d’un criminel informatique. Le facteur humain joue ici un rôle important: notre structure sociale est construite sur la confiance, et c’est ainsi que la confiance est de facto un état de tout individu, et nous considérons toujours l’état opposé, celui de la méfiance native, comme un état anormal, presque comme une maladie mentale. Mais si nous prenons en compte le fait qu’entre 70 % et 90 % (selon les mois) de la totalité des courriers électroniques circulant sur le net est en fait constituée de messages non sollicités ou malveillants, la „paranoïa” devrait en fait être notre état d’esprit. Imaginons métaphoriquement le groupe mentionné cidessus comme une foule dystopique au sein de laquelle nous savons que sept in-dividus sur dix sont là parce qu’ils veulent quelque chose des autres: certains vendent des parfums contrefaits, d’autres une paire de bottes volée de l’usine, d’autres sont des voleurs à la tire, etc. Le problème est que, peu importe à quel point il semble logique que nous nous protégions, aucun homme normal ne peut vivre dans un tel état de crainte permanente. Aussi, volens nolens, nous baissons la garde et l’inévitable arrive: nous devenons victimes d’une attaque par le courrier électronique: cheval de Troie, extraction d’informations par phishing, etc. Le problème avec les services de communication asynchrones ne finit pas ici. La plupart d’entre nous utilisons des courriers électroniques publics, ou d’autres services de communication comme les réseaux sociaux et ainsi de suite. La connexion entre le navigateur et le serveur passe d’habitude par un canal sécurisé ; on observe https:// dans la barre d’adresse du site, à savoir un protocole du chiffrage construit sur les protocoles de la base et destiné à sécuriser la communication. Bien que cela signifie que le transfert d’informations entre le client et le serveur est sûr, le serveur aussi bien que le service restent autant de points de vulnérabilité. La plupart des services de communication de de ce genre (chat, courrier électronique, réseaux sociaux) ont, parmi leurs activités, l’extraction modèle d’informations issues des communications des personnes. Et quand bien même ils ne s’en cachent pas, il y a un silence généralisé en relation avec ce sujet. Alors que c’est justement la porte qu’ils introduisent au milieu du transfert d’informations qui peut devenir un vecteur important dans la perte d’informations. Nous devons comprendre qu’à chaque fois que nous communiquons par de tels moyens, nous gardons nos informations dans un point de transit qui

se trouve 24/7 ouvert aux l’attaque: tout ce qui en éloigne les malfaiteurs est un simple mot de passe. La gravité du problème est exacerbée par fait que le facteur humain, une fois de plus, y joue un rôle important. Bien que nous ayons l’impression que nos informations sont hors de danger, dans des systèmes gérés par des professionnels du domaine, ces spécialistes sont eux aussi, malheureusement, susceptibles d’être victimes de la même ingénierie sociale que tous les autres, mais lorsque ce sont eux qui perdent des informations, ils perdent aussi les informations de tous les clients, qui sont stockées dans leurs bases de données. En 2011, c’est l’équipe interne de RSA, l’entreprise qui a inventé le mécanisme de chiffrage Ansicron, qui porte le même nom et qui est, encore aujourd’hui, le plus puissant sur le marché, qui a été manipulée par des méthodes d’ingénierie sociale”. Par la suite, les intrus ont mis la main sur les clés „maîtresses” du produit principal de RSA, le SecureID (les tokens du hardware de sécurité). Ensuite, les intrus sont entrés dans les serveurs du plus grand fournisseur de services de défense des États-Unis, L ockheed. Il est très intéressant de voir comment les choses se connectent. Le casse de Lockheed n’a été causé ni par une faille de la structure de sécurité de Lockheed, ni par le personnel de Lockheed, ni par la sécurité de ses dispositifs et encore moins par ses propres systèmes. Il a été causé par la négligence du personnel qui est tombé dans le piège d’une campagne de phishing. Ceci n’est pas le seul exemple de cette sorte. Il y a beaucoup de situations dans lesquelles des entreprises ont perdu des données importantes et ont subi des pertes énormes par ce même phénomène de phishing: en 2013, des criminels chinois ont eu accès aux serveurs de plus de cent sociétés américaines et ils ont volé tout que qui était à leur portée: les droits de propriété intellectuelle, les archives des communications de ces entreprises avec leurs clientèles. T oujours en 2013, une grande entreprise américaine, Target, a été attaquée par cette méthode et les intrus ont volé les données personnelles de 110 millions personnes, y compris les informations complètes sur leurs cartes de crédit. En 2014, ce sera au tour de HomeDepot, toujours aux U.S.A., de se faire dérober 100 millions d’enregistrements contenant des données personnelles. En 2015, le Pentagone a subi des attaques réussies, tandis que la compagnie britannique de communications TalkTalk a subi une perte de 35 millions de Pounds suite à un vol de données. Tous ces exemples ont en commun deux éléments: le facteur humain et la communication médiatique asyn-chrone: les courriers électroniques, les réseaux sociaux, les chats, les SMS, etc. Les exemples ci-dessus ont été choisis dans des secteurs dont la sécurité est ultra-avancée, avec un personnel

15


Trends - Cybersecurity Trends formé pour ne pas devenir la proie de l’ingénierie sociale, et pourtant c’est bien ce qui est arrivé. Cela a pu se passer parce que personne ne peut être tout le temps vigilant. La „paranoïa” n’est pas un état normal. Ceci ne signifie pas que nous devons être faibles et résignés à subir, mais il faut que nous commencions à admettre les faiblesses avec lesquelles nous avons été „dotés” et trouver de nouvelles solutions pour les réduire. Il est d’une importance cruciale important que nous comprenions que le manque de secret de l’information pendant la communication peut avoir des effets désastreux non seulement sur notre personne, mais aussi pour l’entreprise dans laquelle nous travaillons ainsi que pour les autres personnes dont nous détenons des données. Le plus grave n’est pas seulement par la perte directe d’informations au moment de la communication, mais surtout les effets secondaires pernicieux liés à ces pertes, parce qu’un intrus va aller de plus en plus loin dans les données personnelles le plus insignifiant, jusqu’à ce qu’il atteigne celles qui lui permettront de démolir tout le système de sécurité. Pour éviter d’être victimes de l’ingénierie sociale, il est important de comprendre que nous ne dépendons pas seulement des erreurs auxquelles nous sommes prédisposés, mais aussi de celles des fournisseurs des services que nous utilisons. Un aspect très important qui doit être observé dans toutes ces attaques est qu’elles sont savamment mélangées avec notre communication quotidienne, ce qui nous fait baisser la garde plus qu’il ne faudrait et peut nous conduire, aujourd’hui ou demain, à donner le click fatal. Mais si nous ne pouvons pas nous-mêmes filtrer la communication qui nous parvient, tous azimuts, par un seul chemin, aussi bien celle désiré que celle indésirable même, nous pourrions séparer ces deux types de communication. Nous pouvons créer un moyen de communication sécurisé, interne et pour un cercle restreint de personnes dans lesquelles nous avons confiance et où nous pouvons baisser la garde en bas parce que nous avons une certitude raisonnable que nous ne serons pas manipulés. Tout le reste de la communication, qui transite par des canaux ouverts, peu sûrs, nous pouvons l’observer comme un espace implicitement compromis et nous pouvons y concentrer notre vigilance constante. C’est un procédé très simple, mais qui peut être particulièrement efficace dans la prévention des types d’attaques liés à l’abondance de communication. En ayant deux espaces: le premier „coffre-fort” et le second „incertain”, nous ne serons plus pressés tout le temps par le sentiment d’insécurité, mais seulement quand nous serons dans l’espace „incertain”. Pour revenir à la métaphore de la foule, par la séparation de ces deux environnements, nous avons transformé cette foule dystopique en ayant isolé notre environnement de travail permanent de celui des „passants”. Nous pouvons

16

alors observer comment un état de vigilance transitoire devient absolument normal dans ce cas, car non seulement la plus grande partie des communications que vous transmettrez aura lieu dans l’environnement sûr, dans lequel vous ne serez pas attaqué, mais parce vous aurez la force de porter une vigilance accrue durant la courte période de temps comme vous passerez dans l’espace „incertain”, vous rendant ainsi bien moins prédisposé à devenir une victime. Maintenant que nous avons décidé de séparer la communication en deux environnements (sûr et vulnérable) et décidé que le standard, celui que nous utilisons pour la grande majorité des contacts sera celui vulnérable, nous devons comprendre ce que veut dire un „coffre-fort de communication”. Le principe est extrêmement simple, puisque la communication sûre est celle qui ne connaît pas les vulnérabilités que nous avons énuméré ci-dessus, c’est-à-dire: Elle garantit l’auteur du message. Elle assure que le message peut être lu seulement par le destinataire, même si le message devait être intercepté. Elle assure que le message ne peut pas être modifié durant son transit. La technologie qui nous fournit ces aspects durant la communication existe: le chiffrage, et peut s’appliquer et s’adapter à d’innombrables plates-formes. Mais il est très important de ne pas tomber dans le piège du marketing et d’être conscient lors du choix du chiffrage utilisé, savoir les étapes du transfert qu’il garantit, quand et comment nous l’utiliserons. Par exemple, nous avons déjà énuméré, parmi les faiblesses des réseaux publics, le fait que le message est vulnérable pendant son transit, bien que le transfert d’informations soit tout le temps crypté en utilisant SSL ou TLS, selon le client. C’est un cas classique de malentendu sur le système de chiffrage, utilisé dans le marketing pour confondre le consommateur. En utilisant par exemple un courrier électronique public, nous nous connectons à notre compte en utilisant un HTTPS, ce qui fait que notre communication avec le serveur est assurée selon toutes les étapes décrites ci-dessus. Le destinataire connecte lui aussi à la ligne ou par le canal sécurisé, et par conséquent sa communication avec le serveur bénéficie des mêmes garanties. Mais bien que ces deux étapes de la communication soient sûres, le message en transit est non-sécurisé, vulnérable, et accessible à tout le monde sur ces points intermédiaires. Aussi bien le fournisseur de service, qu’un intrus qui s’est aménagé un accès aux serveurs de l’un des prestataires de services par lesquels la communication est transmise, peuvent voir le contenu du message, ou le détériorer sans que le destinataire ou l’auteur en soit informé. Donc, malgré le fait que le processus de communication comporte des étapes sécurisées, en fin de compte l’ensemble est en réalité tout sauf sûr. Quand nous parlons de chiffrage des communications, nous devons nous assurer que celui-ci est complet: de l’auteur au destinataire, de bout en bout, en anglais end-to-end. Il n’existe aucune étape durant laquelle le message est décrypté et cela ne peut être garanti que dans le cas où la clé de déchiffrage n’est connue que par l’auteur et le destinataire, ce qui signifie que même le prestataire de services n’a pas d’accès à cette clé. Il faut faire attention car peu de services fournissent un vrai chiffrage de bout en bout, certains parce que la législation dans ce domaine est encore peu claire (dans le cas d’un vrai cryptage, même les services secrets n’ont pas accès aux données de la correspondance), d’autre part parce que certains modèles de business sont hostiles aux chiffrage, ou encore parce le mécanisme de chiffrage est faible ou défectueux. Avant de mettre en œuvre ou d’utiliser n’importe quelle solution ou groupe de solutions (il y a bien des


chances qu’une solution seule ne permette pas de respecter tous les besoins), il faut faire une analyse complète des besoins, des solutions, et enfin des vulnérabilités cachées de ces solutions. Par exemple, des solutions comme SnapChat ou WhatsApp, bien qu’elles prétendent être des canaux de communication sécurisées, se sont révélées peu sûres à plusieurs reprises et leur utilisation devrait donc être évitée en tant que méthodes sécurisées. De même, les réseaux sociaux de n’importe quelle sorte doivent être implicitement considérés comme peu sûrs. Les services de courrier électronique publics sont tous entièrement incertains, de même que ceux privés si vous n’utilisez pas de chiffrage (comme nous le verrons par la suite). Les services de SMS et les services de transfert de fichiers sont eux aussi incertains. Tout ceci ne signifie pas que nous devons renoncer à les utiliser, mais que nous devons les utiliser en connaissance de cause. Nous savons qu’ils sont à risque et qu’il ne faut pas transférer des docu-ments sensibles par ces canaux: données à caractère personnel, mots de passe de serveurs, autres informations qui peuvent permettre l’accès de nos serveurs à un criminel, documents secrets concernant l’entreprise ou ses clients, particulièrement dans le cas des docteurs et des avocats, ou tout autre secret qui peut directement ou indirectement mettre en danger la sécurité de notre personne, de l’entreprise ou de l’institution dans laquelle nous travaillons ou encore de tierces personnes. Autrement dit ne transférez sur des canaux incertains que des informations que vous considérez comme étant d’intérêt public. Abordons maintenant quelques solutions de transfert d’informations qui assurent un haut niveau de sécurité et sous quelles conditions nous pouvons les utiliser:

Les solutions VPN Les solutions de Virtual Private Network (en abrégé VPN) sont une méthode sûre pour la création de canaux de communication cryptés pour des applications de n’importe quelle sorte. Elles fonctionnent comme un réseau interne normal, seulement qu’elles peuvent transférer des paquets sur réseau public, en sécurité, utilisant le chiffrage. Ces réseaux peuvent être utilisés dans tous les cas où l’on a accès à un réseau interne: on peut installer des solutions d’accès aux applications locales (celles qui ne sont pas accessibles depuis le réseau public), effectuer des échanges de fichiers, avoir accès aux serveurs, etc. Il en existe plusieurs types: hardwares, logiciels ou „as a service” et il y a de nombreux fournisseurs pour chaque catégorie. En général, les systèmes hardware sont les plus sûrs, mais aussi les moins flexibles (besoin d’un dispositif, la plupart du temps non portable, à chaque bout du réseau et au point de transit du réseau privé au réseau public). Ils sont une excellente solution pour l’échange d’informations privées, sont très polyvalents et en ce sens ils peuvent convertir un système incertain en un système sûr, tant que la communication n’excède pas les limites du réseau VPN. Cependant, le grand défaut de ces réseaux est son manque de flexibilité. Rien de ce qui est exécuté sur ce réseau ne peut quitter le réseau en sécurité et quiconque a accès au réseau a accès à l’ensemble du réseau. Cela rend difficile d’insérer des tierces personnes dans le réseau parce que leur éventuelle exclusion prend beaucoup de temps. De plus, une telle

communication avec des clients ou d’autres personnes à l’extérieur du réseau est pratiquement impossible.

Les solutions de transfert de fichiers En général, il vaut mieux considérer les solutions du transfert de fichiers comme peu sûres, indifféremment du fait qu’elles transitent par SSL, pour les raisons mentionnées ci-dessus. Ceci ne signifie pas qu’elles ne peuvent pas être utilisées. Avec un complément de sécurité par des méthodes de chiffrage hors connexion, on peut réaliser un transfert de fichiers remarquablement sûr. 7 - Zip, (http: // www.7-zip.org/) est une solution de compression qui offre la fonction de mot de passe. Bien que ce soit une méthode faible de chiffrage, elle dissuade les attaques aveugles (les attaques qui ne visent pas spécifiquement les informations de ce transfert). Dans le cas d’informations avec un haut degré de confidentialité, on recommandera cependant un chiffrage plus avancé. GnuPG (https: // www.gnupg.org/), VeraCrypt (https: // veracrypt.codeplex.com/) ne sont que deux exemples de la multitude des solutions libres et gratuites, qui permettent entre autres, un haut degré de chiffrage pour des fichiers individuels. Ces solutions fonctionnent sur de multiples systèmes d’exploitation et leur méthode est relativement simple. Elles produit une clé de cryptage avec laquelle le fichier devient chiffré avant sa transmission. Après la transmission du fichier crypté sur n’importe quel canal „incertain”, le mot de passe, respectivement la clé de cryptage, sera transmise dans un environnement sûr et donc seul le destinataire pourra ouvrir le fichier, la confidentialité de telles informations étant garanties. Cette méthode fonctionne avec n’importe quel moyen de transfert, courrier électronique, chat, services de transfert de fichiers volumineux. L’inconvénient majeur réside dans les nombreuses étapes à parcourir, ce qui rend le procédé coûteux en termes de temps.

Solutions de Chat Il y a peu de solutions vraiment sûr pour „chatter”, mais elles existent et peuvent être utilisées avec confiance lors du transfert de mots de passe ou des messages courts que vous voulez garder confidentiels. Whispernet (https: // whispersystems.org/), Wickr (https: // www.wickr.com/) et Telegram (https: // telegram.org/) sont trois applications, à l’heure actuelle, que nous pouvons recommander pour des messages courts de type chat. Telegram est un service qui a une plus grande polyvalence, mais seule la section de Secure Chat est sécurisée de bout en bout, tandis que les autres services qui permettent le transfert de fichiers etc. ne sont cryptés que dans le sens clientserveur.

17


Trends - Cybersecurity Trends L’avantage de ces solutions est qu’elles foctionnent sur des plates-formes multiples, y.c. mobiles, des éléments, mais leur grand inconvénient est que le transfert d’informations est limité.

Solutions de courriel crypté Le courrier électronique est un cas particulier, puisqu’il constitue à la fois la façon la plus populaire de communiquer, mais aussi la plus vulnérable. Avec le complément du chiffrage, nous pouvons transformer le courrier électronique en un environnement sûr, avec la recommandation supplémentaire de n’utiliser que des applications client et d’utiliser des comptes de courrier électronique différent („sûr” et „incertain”), l’une des meilleures solutions possibles. EnigMail (https: // www.enigmail.net/home/index. php) est un plug-in de chiffrage gratuit qui utilise la technique de cryptage PGP. Il peut aussi être utilisé pour le transfert d’informations complètement cryptées via le courrier électronique, de même que les pièces jointes. Il y a de très nombreuses solutions dans ce domaine, pour toutes les applications client des courriels, mais la plupart sont payantes. On recommandera d’utiliser seulement des solutions qui sont adaptées aux clients du courrier électronique livrées sous la forme d’applications, en évitant celles qui fonctionnent dans les navigateurs. Ces dernières peuvent être fiable, mais elles pâtissent des nombreuses vulnérabilités des navigateurs (les plus dangereuses et les plus nombreuses parmi toutes les vulnérabilités ciblant des applications). L’avantage de ces solutions consiste dans leur f onctionnement qui vient s’ajouter à un système déjà connu, que nous savions donc déjà utiliser avant d’apprendre à le sécuriser. Leur inconvénient est que leur mise en œuvre est difficile, et que leur synchronisation avec tous les systèmes, ou encore avec les transferts de fichiers est limitée à la taille permise par le fournisseur de courrier électronique. Le temps d’attente, lui aussi, est généralement long, comme celui du courrier électronique classique, donc s’il l’on désire quelque chose de plus dynamique, de type chat ou réseau social, cette solution n’est pas la plus adéquate.

Solutions à large spectre Les solutions du type „Social Network Behind Firewall” (Réseaux sociaux privés) sont des réseaux sociaux mis en œuvre spécifiquement pour le milieu des affaires. Ils sont généralement limités à ce cercle d’activité, ce qui est en même temps leur principal point faible. Du point de vue de la dynamique, ils agissent de la même façon qu’un réseau social, ont des

18

fonctions de co-working, de coopération, d’échange de fichiers, de chat, de contenu, de discussions, et certains ont même le partage de bureau. Du point de vue de la sécurité, ils se comportent comme toute application „as a service”. Sur l’Internet public, ils sont susceptibles d’être victimes de phishing et, une fois compromises, toutes les données stockées dans leur base de données seront perdues. Utilisées exclusivement avec un VPN, elles peuvent être un outil excellent dans la séparation de la communication „sûre” de celle „incertain”, mais elles héritent alors des défauts du VPN: elles seront limitées aux personnes de l’entreprise. Il y a beaucoup de solutions de cette sorte, le plus souvent payantes, mais aussi gratuites. Parmi celles gratuites, la plus remarquable est Diaspora (https: // joindiaspora.com/). Une solution intéressante digne d’être mentionnée ici est le réseau le réseau Earless (https: // www.earless.net). C’est une solution hybride de collaboration de type asynchrone. Elle est parmi les rares solutions qui fournissent un chiffrage total continu garanti par la technologie utilisée et par le mécanisme d’échange de clés. Comme avantage, elle est facile à utiliser et fonctionne avec une dynamique identique à celle des réseaux sociaux, mais avec un complément consistent de contrôle et de visibilité concernant l’accès aux informations, et avec tous les avantages issus du chiffrage de bout en bout: elle garantit l’authenticité de l’auteur, la sécurité des informations en transit et opère en milieu hostile, ce qui signifie que les utilisateurs ne sont pas limités aux membres de l’organisation. Son point faible est que cette application, encore jeune, permet seulement le transfert de documents de taille inférieure à 32Mo et n’a encore de version pour smartphone.

Conclusions Il est clair que le secret de l’information n’est pas une chose facile à obtenir de nos jours. Malheureusement, la demande du marché et l’avidité des „revendeurs” ont poussé les choses de telle façon que la sécurité des informations est devenue un aspect auxiliaire. Comme cela arrive dans de telles situations, les criminels ont immédiatement profité de ces faiblesses et nous sommes parvenus à la situation si paradoxale d’avoir des centaines ou des milliers de solutions de communication sur le marché, sans qu’aucune ne se porte garante de nos informations. Il y d’innombrables solutions de type „cloud” qui, bien qu’elles soient bonnes du point de vue de la dynamique, échouent lors des tests de sécurité car le „cloud” lui-même n’est pas encore prêt pour cela d’un point de vue technologique. Ceci peut sembler choquant, mais comme l’avons vu dans les exemples présentés, qui ne sont qu’une toute petite partie des cas dont l’Internet regorge, de solutions de „cloud” tombent les unes après les autres, non pas à cause des technologies, sûres, qui couvrent leurs arrières, mais bien par les failles du „le facteur humain”, qui n’ont pas été calculées lors de leur conception. En conclusion, c’est à nous seuls qu’incombe le choix difficile de construire cette barrière entre le „coffre-fort de la communication” et le monde „incertain”, car paradoxalement c’est nous, simples individus, qui serons tenus responsables dans le cas de la perte de nos informations, de celle de l’entreprise où nous travaillons ou de nos clients. Les technologies existent, de même que les procédures internes pour les mettre en œuvre, en fonction des spécificités de notre business. Et il faut le faire rapidement, car la santé de nos affaires et même son existence en dépend.


Autorités

„Application Whitelisting”. La plus efficace des stratégies anti-malware. auteur: Cătălin Pătrașcu

En analysant non seulement les données traitées par le CERT-RO ces dernières années, non seulement en ce qui concerne les divers types de logiciels malveillants, mais aussi les informations publiées par différentes organisations actives dans le domaine de la cybersécurité, on remarque une tendance évidente de diversification, de spécialisation et de croissance de complexité des applications malveillantes, qu’il s’agisse d’APT (Advanced Persistent Threats), de botnets, de logiciels malveillants destinés au secteur financier (banking botnets) ou des ransomwares. Parmi les menaces cybernétiques, les logiciels malveillants sont l’un des types les plus répandus et dangereux, et ce, en premier lieu, à cause de l’impact négatif qu’ils peuvent avoir sur un système informatique infecté par un tel logiciel. À présent, il existe une vaste gamme de nouvelles techniques et de technologies pour combattre ce type de menace, qu’il s’agisse de solutions bien connues, comme les antivirus, les pare-feu, les IDS, les IPS, etc. Celles-ci sont, toutes, encore assez efficaces, mais les lignes suivantes sont consacrées au concept d’Application Whitelisting, dont la mise en œuvre, osons- nous penser, a une importance toute particulière dans le combat contre les menaces des logiciels malveillants. L’application Whitelisting implique la mise en œuvre d’un mécanisme qui assure que, dans le cadre d’un système informatisé, seuls les logiciels autorisés peuvent fonctionner. À première vue, cela semble être un objectif idéaliste et c’est peut-être là l’une des raisons principales à cause desquelles un tel mécanisme n’est pas encore suffisamment répandu, particulièrement auprès des petites organisations et des utilisateurs individuels.

C`t`lin P~TRA{CU Chef du Service de sécurité informatique et surveillance, CERT-RO

Le concept lui-même n’est pas en soi quelque chose de nouveau, représentant pratiquement une extension au niveau de l’application à l’ensemble des données TCP/IP d’une approche du type «default deny» (interdire de façon implicite), utilisée depuis longtemps par les technologies pare-feu. La mise en œuvre correcte de l’application Whitelisting implique: des outils destinés à faciliter l’identification d’exécutables et des bibliothèques de logiciel (comme DLL dans Windows) et qui permettent de bloquer leur fonctionnement. Des méthodes d’identification des exécutables et des bibliothèques de logiciels qui ne soient pas basées sur des règles faibles, comme le nom de fichier ou son emplacement dans le répertoire. La méthode la plus efficace consiste à identifier l’utilisation de tous les programmes sur la base des certificats numériques avec lesquels ils sont signés ou, dans le cas où ils ne sont pas signés, sur la base des empreintes digitales de type «hash». Des mécanismes de type ACL (Access Control Lists ) qui préviennent la modification, par des utilisateurs, de la liste des logiciels permis. Aujourd’hui, on considère l’application Whitelisting comme l’une des stratégies les plus importantes pour combattre les menaces des logiciels malveillants et il y existe déjà une variété de solutions techniques grâce auxquelles elle peut être mis en œuvre, y compris par des utilisateurs individuels, notamment dans le cadre des systèmes d’exploitation Windows où cette mise en œuvre peut être réalisée en utilisant des outils qui sont déjà contenus dans le système d’exploitation: SRP (Software Restriction Policies) - une facilité contenue dans l’outil „Group Policy” depuis Windows XP AppLocker – un outil recommandé à partir du système Windows 7, et qui a le même but et les mêmes facilités que les SRP du Group Policy. Dans le cas des systèmes d’exploitation Linux/Unix, la mise en œuvre de l’application Whitelisting est un peu plus difficile, dans le sens qu’elle n’est pas supportée de façon native par Kernel et qu’il n’existe pas, parmi les plus importants distributeurs de Linux, un outil consacré à ce travail. Cependant, il y a quelques solutions commerciales qui sont faciles à installer, mais ils dépendent de la version de Kernel utilisée et quelques problèmes peuvent surgir lors des mises à jour. D’autres variantes sont l’utilisation des outils SELINUX ou AppArmor, bien qu’ils n’aient pas été conçus à cette fin et qu’ils impliquent d’utiliser des ressources importantes suivies de tests. Dans quelques cas, la mise en œuvre de l’application Whitelisting peut s’avérer être encombrante et consommatrice de ressources, mais les avantages, du point de vue de la prévention d’infections par des logiciels malveillants sont considérables. De plus, on obtient un haut niveau de visibilité en ce qui concerne les fichiers exécutables et les bibliothèques de logiciels insérés dans un système informatique, un aspect extrêmement utile dans le processus d’investigation d’incidents de cyber-sécurité. En conclusion, je me permettrais d’affirmer que, bien que l’on ne puisse considérer aucune solution de sécurité comme une panacée, il est probable que l’application Whitelisting est la méthode la plus efficace de réduction de l’impact généré par les logiciels malveillants dans le cadre des systèmes informatiques utilisés aujourd’hui.

19


Trends VIP Interview - Cybersecurity

Confidentialité: „privacy by design” et „privacy by default” auteur: Laurent Chrzanovski

Jean Christophe Schwaab

Réd: A 36 ans, vous êtes docteur en droit, diplômé d’études avancées à l’IDHEAP, vous êtes le Président romand de l’Association des employés de banque et Président du réseau des associations régionales de l’Oeuvre Suisse d’Entraide Ouvrière. Mais surtout vous êtes depuis 2011 Conseiller National et, à ce jour, vice-président de la commission des affaires juridiques du Parlement fédéral Suisse. Monsieur le Député, votre palmarès professionnel et politique brillant ne semblait pas vous prédestiner à être l’auteur d’autant de postulats, d’interpellations et de motions concernant la pro-

BIO Né en 1979, dr. en droit économique, conseiller national socialiste, vice-président de la Commission des Affaires Juridiques du Conseil national, membre de la direction et président romand de l’Association Suisse des Employés de Banque (ASEB), président de Oeuvre Suisse d’Entraide Ouvrière (OSEO), ancien secrétaire central de l’USS, ancien secrétaire syndical Unia jeunesse, ancien député au Parlement cantonal vaudois, ancien membre des comités de l’Union des Etudiant-e-s de Suisse (UNES) et du Conseil Suisse des Activités de Jeunesse (CSAJ). Nombreuses publications en droit du travail (liste: schwaab.ch/publications-scientifiques/). Vit à Riex (Canton de Vaud), marié, deux enfants. Compte twitter: @jcschwaab Site web: schwaab.ch

20

tection des données numériques et des problèmes liés à l’utilisation de l’IoT. D’où vous vient une telle passion et comment avez-vous acquis autant de connaissances dans ce domaine? Jean Christophe Schwaab: La protection des données est à mon avis un des enjeux majeurs de notre société hyperconnectée. Les Etats et entreprises privées qui traitent des données ont fait des progrès technologiques fulgurants ces dernières années, au point de menacer l’existence même de la sphère privée. Il s’agit donc de se mobiliser urgemment pour défendre ce droit fondamental. A mon avis, il y a un intérêt public majeur à le faire et c’est dans l’intérêt de la population qui m’a élu. Malheureusement, il y a encore très peu d’élus qui en ont conscience. Ce n’est pas forcément une question de génération, même si mes quelques collègues qui partagent mon intérêt sont plutôt de jeunes élus très à l’aise avec les nouvelles technologies et les médias sociaux. Comme je n’ai pas de formation technique ou liée aux nouvelles technologies, j’ai appris „sur le tas”. J’ai beaucoup lu, notamment sur des sites spécialisés, mais aussi rencontré des experts et suis en contact avec de nombreux spécialistes, notamment grâce aux réseaux sociaux (en particulier Twitter). De nature très curieuse, je conserve un nombre important d’articles sur le sujet. Mes proches et les militants de mon parti le savent et me transmettent très souvent des informations ou des suggestions. Réd: En 2013, vous avez avancé deux postulats (13.3806 et 13.3807) pour renforcer la protection des données grâce au „privacy by design” et au „privacy by default”. Le Conseil fédéral propose de les adopter. En quoi consisteront ces mesures une fois mises en application? Jean Christophe Schwaab: Ces propositions visent à inverser la logique actuelle en matière de protection des données : actuellement, l’utilisateur est responsable de veiller à ce que ses données ne soient pas utilisées à tort et à travers et, bien souvent, ceux qui traitent les données se font octroyer un blanc-seing, une autorisation générale de traiter, modifier, réutiliser et revendre les données personnelles. Avec l’application de ces deux concepts, l’utilisateur serait le maître de ses données en tout temps et celui qui souhaiterait les utiliser devrait, lors de chaque nouvelle utilisation, demander une autorisation expresse. Par ailleurs, toute nouvelle technologie, tout nouveau bien ou service permettant de traiter des données personnelles devrait être conçu de telle manière que la protection des données soit garantie. Ainsi, nous éviterions que des données collectées avec l’accord de l’utilisateur dans un but précis ne soient réutilisées plus tard à son insu et d’une façon plus invasive que ce qu’on avait imaginé au départ. Avec l’essor du „ big data ”, il est en effet possible de dresser des profils de personnalité précis et intimes grâce à des données anodines (p. ex. statistiques d’achat). Au moment où ces données ont commencé à être collectées, personne ne pouvait soupçonner les possibilités qu’elles offriraient quelques années plus tard. Il est donc capital de prévoir des règles pour que l’utilisation ultérieure de données respecte la sphère privée. Réd: S’agit-il seulement de donner un puissant signal d’alarme ou pensez-vous que de telles mesures peuvent être mises en oeuvre dans un monde où aucun réseau social,


moteur de recherche ou système d’archives vidéo n’est domicilié légalement en Suisse, ni même en Europe (cf. la victoire à la Pyrrhus de l’UE face à Google sur le droit à l’oubli)? Jean Christophe Schwaab: Google s’est plié au droit suisse en respectant l’arrêt du Tribunal Fédéral „ Google Street View ”. Il est donc possible d’imposer le droit national à des multinationales, mais c’est une question de volonté politique. Je suis persuadé que des injonctions de tribunaux helvétiques assorties d’amendes salées en cas de non-respect seraient suivies, même par des multinationales sans siège ni succursale en Suisse. Réd: Ce qui frappe le plus dans votre activité récente, c’est sans doute votre postulat (14.3739) demandant l’introduction du concept de „control by design”* et surtout le fait qu’il ait été accepté. Le pragmatisme et l’intelligence de votre démarche sont en tous points „hors normes” face aux gigantesques dangers et aux bénéfices, proportionnels, générés par l’IoT. *(http://www.schwaab.ch/archives/2014/09/17/control-by-design/). De la part d’un Docteur en droit, on se serait attendu à une proposition d’un long texte normatif, à l’instar de toutes les réglementations débattues en ce moment même dans la plupart des pays de l’UE, essentiellement pour des problèmes de plus en plus récurrents de failles de sécurité et d’absence de traçabilité des données émises par les „choses” connectées. Vous avez abordé le problème sous un angle inattendu, c’est à dire celui de la propriété intellectuelle et du droit inaliénable de pouvoir déconnecter les choses qui leur appartiennent et, au cas où ils acceptent la connexion, de pouvoir déterminer quelles données sont transmises à des tiers. Paradoxalement, la discussion devient beaucoup plus simple et évite de s’enliser dans des termes qu’aucune institution n’a encore consacré puisqu’ils nepeuvent pas définir un contenu précis (identité virtuelle, internet des choses, cyber-sécurité). D’où vous est venue cette idée et comment avez-vous réussi à élaborer ce postulat? Jean Christophe Schwaab: Lorsque j’ai suivais le scandale des écoutes de la NSA, je suis tombé sur un texte consacré à l’affaire Snowden qui décrivait le concept de „contrôle dès la conception” (control by design). Comme je me suis aussi intéressé de près aux objets connectés, l’idée m’a tout de suite parue intéressante. En tant que juriste, ma première idée a effectivement été de proposer un texte de loi tout rédigé, sous la forme d’une initiative parlementaire (qui permet au Parlement de légiférer lui-même). Mais, après discussion avec l’administration fédérale, j’ai finalement choisi la forme moins contraignante du postulat (qui ne fait que demander un rapport au Conseil fédéral), afin d’augmenter d’une part les chances d’acceptation de ma proposition et d’autres part de laisser l’administration approfondir la question, ce qu’elle est beaucoup plus à même de faire qu’un parlementaire aux ressources très limitées. Cette approche a eu du succès, puisque ma proposition a été acceptée, avec l’accord du Gouvernement. Une anecdote a renforcé mes convictions: Récemment, j’ai perdu ma carte de crédit et ai donc dû la remplacer. Au moment de commander la nouvelle carte, j’ai demandé qu’elle ne soit pas dotée du système de paiement sans contact de type „ NFC ” (near field communica-tion), notamment parce que cette technologie n’est pas sûre du tout : il est possible de pirater une carte à distance. Mais voilà, selon l’émetteur de ma carte de crédit, il est impossible de bénéficier d’une carte qui ne dispose pas de cette technologie. L’émetteur de cartes les dote donc de technologies qui ouvrent une brèche de sécurité, mais c’est au consommateur de courir le risque et de l’assumer. Le contrôle dès la conception doit y remédier en donnant au posesseur d’un objet le droit de le déconnecter. Réd: comment et dans quels délais voyez-vous l’application de ce postulat et quels seront ses résultats à court et à moyen terme? Jean Christophe Schwaab: Les fabricants d’objets pouvant potentiellement être con-nectés à un quelconque réseau (avec ou sans la possibilité d’échange de données), devront les doter d’une fonction permettant de stopper toute connexion. Un simple bouton „on/off” devrait suffire. Réd: si l’on considère que les entreprises IT qui développent l’IoT ont fait sur ce segment plus de 87% de bénéfice pour l’année 2014, vous attendez-vous à ce que le texte puisse être altéré pour ne pas enrayer un commerce aussi florissant, ou encore soumis à un référendum?

Jean Christophe Schwaab: Je ne pense pas, car l’application du concept devrait être très simple. Par ailleurs, les fabricants ont intérêt à jouer la carte de la transparence, car la sensibilité du public augmente chaque jour. Réd: 20’000 frigidaires wifi avec malware intégré saisis à Rotterdam il y a trois mois, Dick Cheney qui fait désactiver, pour des raisons de sécurité, le wifi du défibrillateur de son pacemaker, des hackers éthiques qui ont prouvé depuis quatre ans déjà que l’on peut assassiner n’importe quel porteur d’une ceinture d’insuline bluetooth, et pourtant votre démarche est l’une rares et probablement la plus percutante portant sur un domaine que la politique feint d’ignorer. Comment expliquez-vous le laxisme total avec lequel les „objets connectés” sont admis sur le marché, en Suisse comme en Europe, du bracelet de joggeur aux objets vitaux comme les coeurs artificiels? Jean Christophe Schwaab: Cela montre que les législateurs sont dépassés par les évolutions technologiques et doivent réagir rapidement. Cela montre aussi la pertinence de ma proposition d’introduire le „contrôle dès la conception”, qui éviterait bien des désagréments que vous évoquez. Réd: votre démarche, relayée par les plus grands journaux de Suisse, a eu déjà le succès de pallier en partie le manque de campagnes régulières de campagnes de sensibilisation du public et des décideurs en ce qui concerne la protection de leur vie privée, personnelle et professionnelle sur le net. Alors que la Suisse a l’exemple le plus abouti d’organe de dialogue public-privé en la matière, MELANI, pourquoi ne voit-on pas encore la naissance de séances régulières de prévention dans les écoles, les entreprises, les universités? Pensez-vous que c’est le manque de prise de conscience des politiciens dans leur propre vie qui en est la cause? Jean Christophe Schwaab: Le manque de prise de conscience est malheureusement généralisé au sein de la population, même si les choses s’améliorent lentement (souvent à cause de scandales comme celui de la NSA). Les élus ne sont que le reflet de la population qui les élit. La majorité n’a pas encore compris que, désormais, on peut obtenir des données très sensibles au sujet de quelqu’un non pas parce qu’il raconte sa vie sur les réseaux sociaux, mais par l’analyse de données anodines en très grand nombre (big data). L’éducation à la protection de la sphère privée doit être renforcée, notamment à l’école. Réd: vous avez deux enfants. Comment imaginez-vous l’internet (des „vivants” et des „choses”) qu’ils connaitront lorsqu’ils seront adultes? Plus réglementé et plus sûr ou, au contraire, une jungle où seules les personnes informées sauront faire les bons choix pour ne pas être des victimes „by design”? Jean Christophe Schwaab: Les deux options sont malheureusement possibles. Nous vivions une période cruciale: soit les décisions qui protègeront et maintiendront la sphère privée sont prises maintenant, soit ce droit fondamental risque de disparaître. Quoi qu’il en soit, le monde dans lequel vivront mes enfants sera encore plus connecté que celui que nous connaissons et la protection et la maîtrise des données personnelles y auront encore plus d’importance.

21


ds Autorités - Cybersecurity Tren

Comment se protéger dans le monde digital?

auteur : Eduard Bisceanu, Services de Reseignement

Intérieur de Roumanie (SRI) Les développements technologiques enregistrés durant ces dernières années ont porté, à l’attention du public et des spécialistes, de nouveaux défis en ce qui concerne l’assurance de la sécurité des utilisateurs de matériel informatique. Ces préoccupations ont produit et continuent à produire de plus en plus d’informations concernant les méthodes de protection en ligne, conduisant aussi à une croissance exponentielle du marché des produits de cyber-sécurité, mais aussi de celui des formations spécialisées, accompagnées de la réadaptation professionnelle des curricula de l’enseignement scolaire à tous les niveaux.

Bio Eduard Bisceanu est un expert reconnu internationalement en cybersécurité, ses compétences couvrant aussi le management de la sécurité de l’information et des communications électroniques, l’investigation de crimes informatiques complexes, l’analyse, l’évaluation et la réponse en matière de dangers cybernétiques. A la fin de l’Académie Militaire, il a commencé sa carrière comme officier de transmissions au sein de l’Armée roumaine. Il a ensuite rejoint, dès 2001, les Services de Renseignements Intérieurs (SRI), devenant le premier directeur du nouveau Cyber Threat Department. Dans cette fonction, il a été la premier représentant des Services de l’Etat à parler devant les médias des dangers cybernétiques et des problèmes qui leur sont liés. Entre 2013 et 2014, il a exercé la direction exécutive du CERT-RO en tant que General Manager adjoint, en assumant la charge de toute la zone opérative de l’institution. Depuis mi 2014, il est à nouveau parmi les cadres supérieurs du SRI.

22

En même temps, les changements de paradigme concernant l’impact de l’utilisation des technologies de l’information, dans le cadre de l’administration publique, dans le milieu des affaires et dans la vie quotidienne de la majorité de citoyens, ont fait naître un besoin, de plus en plus marqué, dans nos sociétés: celui d’assurer à chaque utilisateur une préparation de base par rapport aux risques posés par cette réalité. Bien qu’il y existe un certain nombre de préoccupations concernant la croissance d’une culture de sécurité, avec des efforts entrepris aussi bien par les institutions publiques compétentes dans ce domaine, que par des entités privées – ayant des objectifs complémentaires ou différents dans cette même zone –, les indicateurs descriptifs du phénomène de la criminalité informatique et les statistiques publiées par les organismes de type CERT ou par les entreprises de sécurité, montrent que l’on assiste à une augmentation continue aussi bien dans la quantité que dans la complexité et la matérialisation des risques de sécurité cybernétique dirigés contre l’utilisateur final – in primis les citoyens et les petites et moyennes entreprises. En effet, en règle générale, ces derniers acteurs ne peuvent pas se permettre, ou ne veulent pas, investir dans des systèmes de cyber sécurité en rapport avec les risques associés aux domaines dans lesquels ils effectuent leurs activités. Les matériaux didactiques sur ce sujet, de plus en plus cohérents du point de vue de l’utilité/l’applicabilité, n’atteignent pas toujours leur but, souvent à cause du caractère facultatif des besoins de connaissance de chacun, mais aussi en raison du fait qu’ils sont rédigés dans une langue trop technique pour être comprise par les utilisateurs de base, qui n’ont pas une culture suffisamment avancée en matière technologique ou qui, carrément, manquent en tous points des rudiments d’une telle éducation. Le message que nous voulons transmettre est que l’éducation en matière de sécurité est devenue une question de responsabilité sociale individuelle. Par le contenu de cet article nous essaierons de nous adresser, dans un style des plus clairs, à tout citoyen qui possède aujourd’hui un moyen de communication par lequel il se à Internet. Nous essaierons de prévenir, avec des astuces simples, les risques qui sont encourus en ligne et qui ont aussi des effets directs hors connexion. Le développement de l’industrie informatique produit les systèmes de calcul de plus en plus performants et de dimensions de plus en plus réduites, un facteur


auquel vient s’ajouter à grande échelle la disponibilité des transferts de données basées sur un support radio, produisant une mobilité toujours croissante du matériel informatique (smartphones, ordinateurs portables, tablettes). Ces mêmes ustensiles mobiles ont des similitudes de plus en plus poussées du point de vue opérationnel - ce qui pouvait être fait, il y a quelques années, seulement sur un PC de bureau, est désormais disponible y compris sur un smartphone, avec un marché débordant de nouveaux systèmes d’exploitation disposant de capacités semblables, indépendamment du fabricant choisi.

1. La sécurité des connexions à Internet 1.1. Avez-vous confiance dans votre connexion Internet à la maison? Si oui, pourquoi? Avez-vous déjà lu le contrat que vous avez signé avec le fournisseur de services? Mentionne-t-il des clauses concernant la protection la connexion? Le câble ou la fibre optique qui connecte la console de l’opérateur dans la cage d’escaliers de l’immeuble, au sous-sol ou à l’extérieur du logement sont-ils protégés avec un minimum de mesures de sécurité physiques? L’espace public est plein de craintes concernant l’accès, par des services secrets, aux communications des individus, mais seulement quelques-uns se posent le même problème en ce qui concerne les prestataires de services. Pourquoi devrait-on? Parce qu’en règle générale les salariés des fournisseurs d’accès à Internet n’ont pas fait l’objet de vérifications lors de leur embauche, alors qu’ils se trouvent à un simple clic de l’accès au contenu de vos communications. Les grands fournisseurs de services de communication sont conscients de cette préoccupation pour la confidentialité, en particulier ceux qui ont des expériences vécues d’opération sur le territoire de certains États qui ont une tradition dans la protection des droits de l’individu. Demandez à votre fournisseur de services Internet des informations sur la façon dont il protège vos communications, de préférence avant la signature du contrat ! 1.2 La connexion domestique à l’Internet via WiFi – c’est à dire la connexion à la toile par un support radio, aujourd’hui connu sous le nom WiFi –, peut être établi par des dispositifs (points d’accès) qui vous sont fournis par votre opérateur de services ou que vous achetez vous-mêmes. La configuration de ces équipements de communications est devenue plutôt accessible pour les utilisateurs qui ne possèdent pas de connaissances avancées dans le domaine, mais la configuration correcte du point de vue de la sécurité, par l’utilisation des fonctions natives prévues pour votre type d’équipement peut s’avérer être difficile. Vous pouvez appeler un spécialiste de confiance pour acheter et/ou configurer un tel équipement. Hormis le prix abordable, les dimensions et les capacités de communication que vous désirez, vous devriez prendre en compte que l’équipement permette la communication cryptée à l’aide du standard WPA2 (sélectionnable comme tel à partir du menu de configuration de l’équipement), qui est la norme de chiffrage la plus sûre pour les connexions sans en ce moment. Bien sûr, il y a des équipements sans fil avec des fonctions de sécurité complexes, mais l’utilisation d’un mécanisme de chiffrage commercial de type WPA 2 associé à mots de passe complexes (une combinaison de chiffres, de lettres majuscules et minuscules, de signes de ponctuation), peut être suffisant pour assurer la sécurité de la connexion d’un utilisateur normal. Depuis plusieurs années, les équipements installés à la maison ou au siège social de l’entreprise par les fournisseurs de services Internet sont munis du chiffrage WPA 2; l’équipement est livré avec cette option activée et avec un mot de passe déjà inséré. Changez votre mot de passe immédiatement - le mot de passe initial est

généralement inscrit soit sur l’équipement, soit sur le contrat de prestation et peut être déjà compromis. Les dangers liés à l’utilisation sans mot de passe d’un point d’accès à domicile, dans les pays qui le permettent encore, peuvent être les suivants: - Accès non autorisé, depuis les environs de votre domicile, à l’équipement et aux communications que vous transmettez. - Accès, par n’importe quelle personne, de votre équipement, lui permettant de se connecter à Internet d’y mener des d’activités illégales. Ainsi, apparemment, le contrevenant qui sera identifié sur une enquête formelle apparaîtra comme vivant à votre domicile et vous pouvez vous attendre à tout moment à une visite des forces de l’ordre…

2. La sécurité financière en ligne L’utilisation des instruments de paiement électronique et les facilités de paiement de plus en plus accessibles de l’environnement virtuel représentent sans aucun doute des améliorations de la qualité de vie de l’individu et un facteur de progrès. Du paiement en ligne de factures de consommations ou d’impôts jusqu’à l’utilisation des magasins virtuels pour faire des courses de n’importe quelle sorte – tout cela contribue au confort de l’individu et à l’efficacité d’une affaire. Ainsi, l’augmentation de la part de commerce en ligne et du e-banking devrait être encouragée. Il est néanmoins nécessaire que toutes les personnes qui utilisent les instruments électroniques de paiement acquièrent les connaissances de base concernant la sécurité des transactions financières en ligne, parce que la disponibilité d’argent en ligne est, et continuera à être, vu comme une opportunité majeure pour une série de criminels. En tenant compte de la multitude de technologies et de mécanismes utilisés pour le développement d’un magasin en ligne ou pour un service d’internet banking / e-banking/mobile banking, est plutôt difficile de rédiger des conseils détaillés à usage universel pour assurer votre sécurité financière en ligne. Mais il y a une série d’astuces de base qui peuvent résolument réduire la chance de l’utilisateur de devenir la victime d’une fraude en ligne, comme celles-ci: - Informez-vous auprès de la banque qui a émis votre carte de débit/crédit par rapport aux éléments de sécurité en ligne dont elle dispose, mais aussi des conditions pour l’utilisation sécurisée de cet instrument. - Informez-vous avec attention sur les éléments de sécurité que votre banque met à disposition des utilisateurs de ses services bancaires en ligne et/ou mobiles.

23


ds Autorités - Cybersecurity Tren - N’achetez pas en ligne dans des magasins virtuels inconnus ou qui ne fournissent pas d’informations suffisantes pour identifier le vendeur (nom de l’entreprise, localisation du siège social, présentation des éléments de sécurité des transactions) ou qui ne permettent pas l’établissement d’une connexion de type https (le protocole qui garantit la sécurité de la connexion entre votre terminal et le serveur qui héberge le magasin virtuel – un simple coup d’œil permet de vérifier si la connexion est bien https: observez les premiers caractères de l’adresse Web qui s’affiche sur votre navigateur. - N’utilisez pas, pour des opérations financières, des terminaux sur lesquels vous avez installé des logiciels ou films/ musiques piratés - les logiciels piraté dont des vecteurs extraordinairement efficaces pour la distribution de virus destinés au vol d’informations bancaires. - Installez un antivirus avec une licence veillez à ce qu’il soit constamment mis à jour. Il y a plusieurs logiciels antivirus qui vérifient et valident la sécurité d’une connexion en ligne et/ou qui possèdent une base de données sur la réputation des pages Web – celles-ci diminuent significativement les chances de se connecter à un site Web qui est un faux – et ce y compris sur des terminaux de type smartphone. - Évitez l’installation d’applications dont vous ne connaissez pas toutes les fonctions sur le terminal mobile que vous utilisez pour les paiements électroniques – ces applications peuvent avoir des caractéristiques cachées, conçues pour voler des données financières. - N’utilisez pas d’applications de mobile banking sur un terminal mobile re-paramétré de façon non officielle (comme les smartphones second-hand purgés par jailbreaking) ou sur un terminal où vous avez installé des applications de magasins virtuels dont vous n’avez pas vérifié la crédibilité. - N’ouvrez aucun attachement reçu par un courriel envoyé par une personne inconnue et ne renvoyez en aucun cas dans des formulaires concernant des données financières reçus par le courrier électronique - les banques ne vous demanderont jamais rien par ce biais. - Ne vous connectez jamais à des magasins virtuels ou à des sites bancaires en cliquant sur un lien reçu par courriel ou par une autre sorte de messagerie électronique. - Entrez manuellement les adresses Web des sites auxquels vous désirez vous connecter en vue de l’exécution d’opérations financières. - N’utilisez pas de mots de passe uniques et ne les stockez pas dans des fichiers non protégés de votre téléphone ou de votre ordinateur. - Bien que ce soit un conseil difficile à mettre en pratique, il n’est pas recommandé d’effectuer des paiements en ligne à l’aide du même terminal électronique que vous utilisez pour vos divertissements (jeux, visionnage de contenus multimédias en ligne, etc.).

24

3. La sécurité des réseaux sociaux Bien que la majorité des utilisateurs d’Internet utilisent les réseaux sociaux, comme Fecbook, Twitter, Linkedin, Instagram, etc. - très peu d’entre eux sont conscients des risques qu’ils vont probablement encourir sur ces plates-formes. Pour ceux qui sont intéressés par la sécurité personnelle, il est nécessaire de souligner au moins deux catégories de risques: - l’exposition involontaire de données à caractère personnel ou d’informations sur la personne, sa famille, son patrimoine - qui peuvent être utilisés contre vous dans des diagrammes criminels différents (et pas seulement par les escrocs en ligne) - l’utilisation des plateformes des réseaux sociaux pour la distribution de logiciels malveillants, destinées à des extractions non autorisées de données sur vos terminaux ou même à la destruction/l’endommagement de vos dispositifs. Si l’on considère ces deux larges catégories de risques, nous vous recommandons de prendre en compte les conseils suivants: - Informez-vous avec attention sur les paramètres les plus appropriés pour le profil que vous avez créé dans le cadre d’un réseau social, afin que vous puissiez connaître exactement lesquelles de vos données peuvent être vues en ligne par tous, par vos «amis» et par vos connaissances virtuelles. - Ne mettez en ligne aucun contenu qui puisse affecter votre vie privée ou donner des informations sur votre patrimoine, vos activités et les lieux où vous êtes physiquement présents – tous ces renseigements peuvent être utilisés par des criminels comme autant d’outils efficaces pour planifier un vol de votre domicile. - N’ouvrez aucun liens reçus via les réseaux sociaux ou des contenus qui vous sont envoyés par des personnes inconnues – ce sont peut-être des vecteurs de distribution d’un virus dangereux. - N’introduisez automatiquement aucune donnée de connexion aux réseaux sociaux ou autres formulaires reçus par courriel ou d’autres types de messagerie en ligne - entrez directement et manuellement vos mots de passe sur adresses Web. - N’utilisez pas le même mot de passe pour les réseaux sociaux, le courriel, les paiements en ligne etc. – dans ce cas, il suffit qu’une seule de ces ressources soit compromise pour mettre en péril votre entière existence virtuelle. - Ne vous connectez pas en ligne avec des inconnus, si vous ne voulez pas qu’ils aient accès à la section privée de votre profil. - Eduquez et contrôlez vos enfants lorsqu’ils utilisent les réseaux sociaux pour ne pas vous exposer involontairement à des fraudes et pour éviter d’exposer vos enfants à des contenus dangereux, ce qui inclut leur propre protection physique – évitez qu’ils ne rencontrent des personnes inconnues dans le monde réel.

4. La sécurité des dispositifs mobiles Ces dernières années, on a assisté à la mise en service en ligne de toute une série de données sur risques associés à l’utilisation des smartphones, mais ces rapports sont souvent trop techniques et ne fournissent pas une image simple, nécessaire à l’utilisateur normal. Prenant le risque d’ennuyer les utilisateurs expérimentés, nous essaierons de décrire ce problème dans un style des plus accessibles. En premier lieu, les smartphones ne sont plus seulement des téléphones portables, mais des ordinateurs complexe avec des composantes semblables à n’importe quel système informatique de bureau ou d’ordinateur portable, dans le sens que, du point de vue de la sécurité, ils devraient être traités de la même façon.


De plus, la mobilité et de la connectivité permanente constituent autant de risques supplémentaires à la sécurité de l’individu ou de ses activités. Par exemple, imaginons le monde de l’espionnage classique d’il y a 10-15 ans. Pour pouvoir surveiller une personne de manière permanente, vous deviez pouvoir écouter ses appels à tout moment, voir à tout moment les images de l’endroit où elle se trouve, savoir avec qui elle communique en permanence. C’étaient des activités qui supposaient des efforts logistiques humains, des ressources technologiques significatives et nombreuses. Aujourd’hui, un terminal mobile fournit toutes ces facilités en temps réel et à grande échelle, et ce non seulement pour les services d’information qui sont supposées avoir un but légitime de nous suivre, mais pour n’importe quelle personne qui possède les ressources et les connaissances minimales, en plus d’un motif, pour vouloir envahir notre vie privée. Vous devriez être conscients que les smartphones que vous possédez ont une impressionnante performance qualitative de caméra vidéo et de microphone, en plus d’un dispositif GPS relativement précis – en plus d’une connectivité permanente à l’Internet – ce qui en fait un outil d’espionnage parfait. Que devez-vous faire pour protéger au mieux votre vie privée, vos avoirs, votre famille ou vos affaires? Voici quelques astuces simples qui peuvent vous préserver d’une grande partie des ennuis qui peuvent être causés par l’utilisation sans limites de la technologie: - N’utilisez pas de téléphones portables modifiés pour pouvoir installer des applications de magasins virtuels illégaux (par exemple par le processus appelé jailbreak). - Lisez les conditions légales d’utilisation des applications que vous installez, et qui s’affichent sur l’écran avant que vous ne donniez votre consentement pour leur installation - une grande partie des applications exigent l’accès au trafic des données, à l’annuaire téléphonique, aux données de géolocalisation, au microphone, à la caméra vidéo, aux images stockées localement, etc. – jugez par vous-même si l’application que vous installez à besoin de l’accès à ces données pour fonctionner sur votre terminal. - N’installez pas d’applications dont les fonctions ne sont pas décrites intégralement et ne donnent pas d’informations en ligne à ce sujet – sur la majorité des applications les plus populaires, vous trouverez une multitude de renseignements sur le web. - Installez un antivirus à haute performance sur le terminal - nous recommandons les logiciels antivirus qui vérifient les applications mobiles et possèdent des «listes noires» comportant les fausses applications connues. - Protégez votre terminal par des mots de passe puissants (le plus possible de caractères de plusieurs types, de chiffres, de lettres, de symboles).

- Ne stockez pas vos mots de passe non protégés dans la mémoire du terminal. - Certains types de téléphones portables possèdent des fonctions de chiffrage des données stockées - cela assure un haut degré de sécurité en cas de perte du téléphone ou d’accès non autorisé au terminal. - Ne laissez jamais votre téléphone sans surveillance dans des endroits où il peut être manipulé par des personnes étrangères - en moins d’une minute, on peut installer sur votre téléphone une application-espion, complètement cachée pour l’utilisateur légitime. - N’ouvrez aucun lien reçus par SMS ou par d’autres méthodes de réception de messages (WhatsApp, WeChat, Telegram, Facebook Messenger, Hangouts, etc.) ou des fichiers reçus par ces mêmes canaux par des individus inconnus. Vérifier aussi ceux que vous recevez de la part de personnes qui figurent dans le répertoire de votre téléphone. - N’accédez pas à des pages Web inconnues, qui sont souvent des vecteurs de distribution de logiciel malveillants créés pour les terminaux mobiles. - Ne maintenez pas les fonctions WiFi ou Bluetooth activées lorsque vous ne les utilisez pas. - N’utilisez pas d’applications de type mobile banking sur des des téléphones que vous utilisé pour le divertissement (par exemple l’installation/l’effacement fréquent de jeux obtenus en ligne sans en avoir vérifié la provenance). - Vérifiez périodiquement, via les installations gratuites de contrôle des dépenses, si vous avez des factures plus élevées que celles que vous avez habituellement pour les services que vous utilisez – ceci est peut-être dû à des applications installées de façon illégitime, ayant a accès de façon opaque à des services surtaxés. - Ne remettez pas votre téléphone à un réparateur non autorisé. - Établissez des politiques claires pour l’utilisation de terminaux mobiles personnels dans le réseau d’entreprise - sans la présence de mesures de sécurité supplémentaires dans l’infrastructure informatique de l’entreprise, la connexion incontrôlée des terminaux mobiles personnels des employés dans le réseau de l’entreprise peut générer des risques majeurs pour la sécurité de celle-ci. - Quand la situation le permet, et si vous n’avez pas besoin d’une connectivité permanente - éteignez la connexion à Internet lorsqu’elle n’est pas nécessaire – et utilisez aussi les paramètres qui permettent un accès permanent à Internet uniquement aux applications que vous aurez choisies conformément à vos besoins de communication. - Apportez votre terminal à un service autorisé, si les batteries commencent à s’épuiser plus rapidement que d’habitude - si l’accumulateur est en bon état, il est possible que le terminal a été infecté par un logiciel malveillant via une application dangereuse pour votre vie privée.

25


ds Trends - Cybersecurity Tren

Ces programmes peuvent aussi être „plantés”, intentionnellement ou accidentellement, dans des sites Web. Aussi, les logiciels malveillants peuvent se répandre via les logiciels de communication (courriers électroniques, chats, etc.), les supports mobiles d’archivage (unités de stockage USB le stockage, CD-roms, disquettes), le wi-fi, les dispositifs mobiles infectés, voire par un réseau entier compromis. Le logiciel malveillant exploite les points faibles des systèmes des logiciels des systèmes d’exploitation (OS), des logiciels d’application, mais aussi les fragilités du hardware (par exemple certaines puces de l’ordinateur). La complexité des logiciels fournit un avantage à tous ceux qui développent des logiciels malveillants, de sorte que les logiciels malveillants sophistiqués, et leurs utilisateurs, peuvent cacher leurs activités couvrir leurs traces en fournissant des adresses fausses, en déviant des trafics de données, en effaçant leurs activités (par exemple en supprimant des fichiers et des informations dans les journaux de logs), en disséminant des informations fausses ou en travaillant à l’extérieur du pays ciblé par leur activité. Les logiciels malveillants polymorphes changent leur signature (par exemple le nom des fichiers et de leurs emplacements) et/ou d’autres indicateurs compromettants, de sorte que le logiciel antivirus ne puisse pas identifier les composants du programme pour les éliminer.

26

ru

Toma Cîmpeanu, CEO de l’ANSSI (Association Nationale pour la Sécurité des Systèmes Informatiques)

Se

cu

ANSSI rit a

te a Siste m elo

r In

at

nt

Aurelian Mircea Grigore, Membre actif d’ISACA Roumanie et membre collaborateur de l’ANSSI

pe

„Ransomware”

r

m

Les menaces de type

ic e

žia Nažion ocia alÅ As

fo

Les logiciels malveillants existent sous une des formes très variée, comme les key-loggers, les virus, les vers, des chevaux de Troie, les ransomwares, les logiciels espions, les publiciels ou encore les botnets, pour n’en nommer que quelques-uns. Le logiciel malveillant peut être incorporé dans différents types de fichiers et peut être activé simplement en accédant au dossier infecté ou à un lien figurant dans un courrier électronique.

Quelques types de logiciels malveillants sont très difficiles à éliminer, parce qu’ils peuvent se cacher en modifiant les paramètres des fichiers et les permissions d’accès aux répertoires. Dans quelques cas, certains logiciels malveillants donnent l’impression d’avoir été éradiqués, alors qu’ils se réinstallent tout seuls, au moment du redémarrage de l’ordinateur. Le phénomène des logiciels malveillants est passé de la catégorie des événements simplement inquiétants ou dérangeants à celle des logiciels et des systèmes qui peuvent compromettre des ordinateurs gouvernementaux, capturer des informations d’accès ou peut encore voler de l’argent à un individu. Ceux qui contrôlent le logiciel malveillant peuvent obtenir des informations personnelles et financières, peuvent affecter les entreprises et les institutions financières, menaçant ainsi les moyens d’existence des individus et la richesse personnelle. Les développeurs des logiciels malveillants ont créé des applications pour contrôler d’autres programmes dangereux ou des réseaux entiers d’ordinateurs infectés. C’est ainsi que sont apparus des réseaux d’ordinateurs et de terminaux de type botnet, contrôlés par des centres de commande et de contrôle (C & C). Parmi les utilisations d’un bot ou d’un botnet, on soulignera: Le déclanchement d’une attaque de type distributed denial-of-service (DDoS), qui peut transmettre des flux importants de paquets User Datagram Protocol (UDP), des demandes Internet au Message Protocol Control (ICMP) ou des requêtes synchronisées au Transmission Control Protocol (TCP).


L’infection d’autres ordinateurs d’un réseau par la prise de contrôle intégrale d’un appareil victime. L’utilisation et le partage de grandes quantités de largeur de bande dans le cas des communautés de hackeurs. L’installation d’un backdoor pour en maintenir l’accès après une première exploitation réussie. L’hébergement de données illégales sur un système en l’intégrant dans un réseau de partage d’informations illégales (logiciels ou films piratés). Pour infecter ou compromettre un système informatique, une attaque cybernétique passe par trois phases:

1

Pré-compromission – cette étape consiste à: a. Identifier la cible ou de la victime b. Personnaliser des programmes malveillants destiner à provoquer des dommages, obtenir des données et espionner la cible. c. Etablir d’un moyen d’accès.

Bio - Aurelian Mircea Grigore Aurelian Mircea est actif depuis 15 ans dans le domaine de la cybersécurité, avec une vaste expérience accumulée durant son parcours professionnel. Il a occupé des fonctions d’administrateur de système, de spécialiste en technologies de sécurité, de consultant en sécurité informatique, d’auditeur de systèmes informationnels Il a de même développé des services de sécurité cybernétique pour les infrastructures critiques, les systèmes de contrôle et SCADA industriels, mais aussi pour les institutions publiques, bancaires et les PME. Il a participé à la traduction et à l’adaptation des standards de sécurité pour l’ASRO, est membre actif d’ISACA Roumanie et membre collaborateur de l’ANSSI. Il a collaboré avec la fondation CAESAR set la task force de l’AMCHAM pour la promotion de la sécurité cybernétique.

2

Compromission – pendant cette étape, le système-cible est exploité à l’avantage de l’attaquant (hacker) et, ensuite, le logiciel malveillant est installé sur les systèmes vulnérables.

3

Post-compromission – une fois que les systèmes vulnérables du réseau sont compromis, l’attaquant établit un centre de C&C pour diriger ses futures attaques cybernétiques. Les infracteurs cybernétiques n’utilisent pas seulement des programmes malveillants pour avoir accès aux informations du propriétaires, sensibles et personnelles, mais aussi pour appliquer des techniques de type „piggy-backing” pour: Capturer les informations d’accès au e-banking. Transmettre des sources et des destinations d’Internet Protocol (IP) ainsi que des listes de courriels. Manipuler des sites de jeu de hasard en ligne, à leur avantage. Surveiller les pratiques inadéquates de l’actualisation des systèmes. Etudier les habitudes et les routines de navigation de la cible. Capturer les activités de navigation par les systèmes mobiles de la cible. Etudier les réseaux sociaux et les sites de messageries utilisés par la cible. Les pratiques inadéquates de programmation et le temps à disposition ont permis aux infracteurs cybernétiques de devenir très organisés, et, conscients du fait que bien des gens ne disposent pas de la meilleure sécurité possible, ils ont commencé à viser les personnes les moins préparées.

Bio - Toma Cîmpeanu Toma Cîmpeanu a été chef de promotion pour ses BSc à la Faculté de Mathématiques et à la Faculté d’Automatisation et des Ordinateurs. Il a un doctorat et un master dans les systèmes de coordination et de contrôle, ainsi qu’un MBA en administration d’entreprises. Dans les derniers quinze ans, il a occupé des postes de direction dans plusieurs sociétés privées ou gérées par l’État, comme SN Radiocommunicatii, TAROM, Informatica Feroviara, ou encore auprès des groupes SCOP Computers, eSign România et TotalSoft. Il a été Secrétaire d’État au Ministère des Télécommunications, représentant roumain et membre du Conseil de l’ENISA, Président de l’Agence Nationale des Services de la Société de l’Information et vice-président du Centre national „Roumanie Numérique”. Son nom est lié à la stratégie eRomania, au système national de „e-appels d’offre” et au „Point de Contact Unique” de l’Etat. Toma Cîmpeanu a aussi enseigné à l’Université de Craiova et a dirigé les opérations de l’Institut de Management et de Développement durable, la seule ONG roumaine qui a coordonné au niveau global un groupe de travail de l’ONU. En 2015, il est le CEO de l’ANSSI (Association Nationale pour la Sécurité des Systèmes Informatiques).

L’évolution du Ransomware L’utilisation, de la part des criminels, des instruments de ransomware et les résultats obtenus ont naturellement conduit au développement et à la diversification de ce type de programmes malveillants. Au cours de quelques mois seulement, les chercheurs ont rapporté, pour la première fois, un ransomware capable de crypter des fichiers sans connexion à internet, ne nécessitant plus aucune communication avec les serveurs C & C des malfrats tout au long du processus de cryptage.

Parmi les nouveaux instruments recensés, nous remarquerons le Locky ransomware, dont le mode opératif ressemble au cheval de Troie bancaire Dridex, mais aussi une nouvelle variante du CTB-Locker qui attaque les serveurs internet. Le CTB-Locker vise des sites web WordPress, dont il crypte les fichiers pour demander ensuite au propriétaire de payer une rançon pour les récupérer.

27


ds Trends - Cybersecurity Tren Par ailleurs, les offres de RaaS (Ransom-as-a-Service) sont de plus en plus populaires sur les sites fermés du DeepWeb et les forums Darknet. Ces services permettent aux attaquants potentiels de créer facilement des souches de ransomwares, dont les profits seront issus des prochaines infections réussies. Ainsi, on a identifié il y a peu un nouveau RaaS „baptisé” Cerber ransomware, qui est proposé par un forum souterrain de Russsie. Avant lui, on trouvait ORx-Locker, offert comme service par l’intermédiaire d’une plateforme hébergée par un onion server. Le ransomware est un phénomène en pleine expansion, et peut prendre de nouvelles formes, y compris les traditionnels liens postés sur les courriels ou les sites de phishing.

Le comportement de Cerber est similaire à celui de la majorité des ransomwares: Il code une vaste gamme de fichiers du système (y compris les „shares” de Windows et de réseau) avec un cryptage AES-256, auquel il ajoute l’extension .cerber Il évite d’infecter des utilisateurs dans la plupart des états de l’ex-URSS Il présente des „factures” de rançon avec instructions sur les modalités de paiement (au début, il demandait 1,24 Bitcoin), et offre la possibilité de décrypter un fichier comme signe de bonne volonté. Un autre phénomène intéressant est le fait que Cerber n’est pas propagé par ceux qui l’ont développé. En échange, ils l’offrent comme „service” aux visiteurs d’un forum souterrain fermé de Russie. Jusqu’à aujourd’hui, les victimes n’ont eu aucune possibilité de décrypter elles-mêmes les fichiers, aussi bien que celles-ci soit paient la rançon et espèrent que les infracteurs vont leur envoyer la clé de décryptage, soit ils se résignent à renoncer à jamais à leurs fichiers.

L’utilisation de JavaScript dans le Ransomware Les chercheurs en sécurité ont découvert une nouvelle variante de Ransomware-as-a-service: Ransom32. Elle se dis-tingue des autres, y compris des célèbres Tox et FAKIN, par une différence majeure: elle utilise un framework JavaScript nommé NW.js. Computerworld a signalé cette évolution au courant du mois de janvier déjà. Ransom32 demande à ses victimes de payer une rançon dans un délai de quatre jours, faute de quoi, au terme d’une semaine, le disque dur tout entier sera détruit. Le problème réside dans le fait que NW.js est un framework légitime, ce qui rend compliqué l’ajout de Ransom32 parmi les solutions de détection de programmes de malware basés sur des signatures. Les acteurs du marché de la sécurité rapportent que nombre d’entre eux n’ont pas eu une couverture de détection suffisante durant les premières semaines suivant la découverte du logiciel.

Le Ransomware, en plein boom L’an dernier, les attaques ransomware et les menaces connexes ont connu une croissance significative, aussi bien en raffinement qu’en quantité. Les variantes précédentes de ransomware ont souffert, pour les criminels qui les utilisent encore, une dépréciation de 10 à 30 % en termes de profit, tandis que Ransom32 a augmenté le bénéfice de 25 la %. Jusqu’à ce jour, Ransom32 n’a été observé que dans l’infection de PC de type Windows, mais il serait naïf de s’attendre à ce qu’il reste limité à cet OS durant longtemps, les cybercriminels étant connus pour leur talent à créer des paquets pour Linux et Mac afin d’élargir leur spectre d’action.

Cerber Ransomware – Nouveau, mais déjà mûr Un nouveau ransomware cryptographique, nommé Cerber par ses créateurs, a récemment 28 commencé à viser les utilisateurs de Windows.

KeRanger – Un nouveau ransomware qui vise pour la première fois les Macs Les hackers ont infecté des Macs avec le ransomware KeRanger par une copie contaminée de Transmission, un programme populaire pour le transfert de données par l’intermédiaire de réseaux de partage de fichiers peer-to-peer de type BitTorrent. KeRanger, qui bloque les données sur les Macs, les rendant inaccessibles à leur propriétaire, a été téléchargé près de 6500 fois avant qu’Apple et ses développeurs ne soient capables de le contrer. Dans ce sens, les experts en cyber-sécurité prévoient, pour les prochains mois, une croissance d’attaques portant sur les Macs.

Distribution des ransomware La plus grande partie des vecteurs de distribution de souches ransomware impliquent l’usage de l’ingénierie sociale. Par exemple, on utilise des courriels, des fichiers Office malveillants, des messages de type spam avec liens malveillants ou encore des campagnes de publicité nocive qui exploitent les sites WordPress vulnérables ou les sites Joomla avec un code malware incorporé. De même, la distribution profite de l’avantage des commandes macro et des kits d’exploits (exploit kits), comme Nuclear ou encore Angler. Quelquefois, ils exploitent les vulnérabilités du browser ou utilisent des certificats numériques volés.

La manipulation des attaques Ransomware Une vague d’attaques ransomware a été observée au niveau global, avec un grand nombre d’infections rapportées aux U.S.A., en Grande-Bretagne, en Allemagne et en Israël. Les attaquants ne semblent pas avoir un objectif spécifique, les cibles étant très différentes entre elles: hôpitaux, institutions financières, entreprises, sans pour autant que l’on puisse identifier un type d’industrie visée de façon plus intensive que d’autres. Ci-après, vous trouverez nos suggestions sur les actions recommandées pour éviter les attaques de type ransomware, mais aussi les modes adéquats de réaction après une infection.


Défendez votre entreprise contre les attaques potentielles Entraînez vos employés – la composante humaine est le maillon faible de la cyber-sécurité des entreprises ; la majorité des attaques implique l’utilisation de l’ingénierie sociale visant un ou plusieurs employés. Etablissez des règles concernant l’utilisation des systèmes de l’entreprise et montrez des exemples réels de messages de phishing, afin que tous sachent les reconnaître. Augmentez le degré de prise de conscience en ce qui concerne l’acceptation de fichiers attachés aux courriels: instruisez vos employés afin qu’ils n’ouvrent pas des pièces attachées à des courriels reçus de la part d’expéditeurs inconnus. Une politique d’entreprise concernant comment aborder de tels fichiers. Nous vous recommandons le blocage ou l’isolement systématique de fichiers avec les extensions suivantes: .js (JavaScript), .jar (Java), bat (Batch file), .exe (executable file), .cpl (Control Panel), .scr (Screensaver), .com (COM file) et .pif (Program Information file). Désactivez les scripts macro qui sont installées sur des documents Office transmis par e-mail – durant les derniers mois, on a pu observer de nombreux cas d’attaques de type ransomware ayant utilisé les macros comme vecteur. D’habitude, les commandes Macro sont désactivées en mode implicite et nous ne recommandons pas d’en permettre la réactivation. De plus, nous vous suggérons d’utiliser le software Office Viewer pour ouvrir les documents Word et Excel que vous n’avez pas besoin d’éditer ou de retoucher. Limitez les privilèges des utilisateurs et surveillez constamment le parc informatique – une gestion attentive des privilèges des utilisateurs et des administrateurs peut aider à éviter la dissémination de ransomware dans le réseau de l’entreprise. Plus encore, surveiller l’activité du parc informatique vous sera utile pour déceler de façon précoce toute infection et bloquer sa multiplication dans d’autres systèmes et ressources du réseau. Créez des processus qui bloquent les programmes d’exécution de dossiers AppData / LocalAppData. De nombreuses variantes de ransomware sont exécutées par ces registres, y compris le CryptoLocker. En conséquence, la création de telles normes peut réduire le risque de cryptage de façon significative. Gardez vos systèmes constamment actualisés. Dans de nombreux cas, les hackers profitent de systèmes vieillis pour s’infiltrer dans le réseau. Des actualisations fréquentes des systèmes OS et la mise en œuvre de mesures de sécurité publiées peuvent réduire drastiquement les risques d’infection. Utilisez un software tiers spécialement dédié pour faire face aux menaces. Par exemple, AppLocker pour Windows, qui est inclus dans le système OS, aide à combattre les malwares. Nous vous recommandons de contacter un fournisseur de sécurité d’entreprise pour prendre en considération toutes les solutions qui sont aujourd’hui sur le marché.

Procédures à suivre si vous êtes infecté Restaurer les fichiers - certains instruments ransomware créent une copie du fichier, la cryptent et ensuite effacent le fichier original. Si l’effacement se réalise à travers les fonctions natives du système OS, il existe une chance de rétablir les fichiers originaux, puisque, souvent, le système d’opération ne réécrit pas immédiatement les fichiers. Décrypter les fichiers cryptés – le décryptage est possible si vous avez été victime de l’un de ces trois types de ransomware: Bitcryptor, CoinVault ou Linux.Encoder.1. En conséquence, l’identification du type et du genre exact du ransomware qui a attaqué votre PC est un élément crucial.

L’ANSSI – Partenaire permanent de Cybersecurity Trends L’Association Nationale pour la Sécurité des Systèmes Informatiques a été fondée en 2012, pour constituer un pont entre le secteur public et l’environnement privé, promouvoir les bonnes pratiques et faciliter les échanges culturels dans le domaine de la sécurité de l’information. L’association identifie et notifie les facteurs de risque de concert avec les autorités d’Etat en cas de déficiences dans le marché de l’IT, mais sa préoccupation constante est d’œuvrer à fédérer les formes de partenariats Public-Privé qui peuvent mener à l’augmentation de l’efficacité et de l’opérativité des systèmes informatiques existants en Roumanie. L’ANSSI est une organisation non gouvernementale, sans but lucratif, professionnelle et indépendante. Elle rassemble 40 membres, à savoir des entreprises comptant un total d’environ 20,000 salariés, représentant 25 % du nombre total des employés du secteur privé actifs dans les TIC. Les membres de l’ANSSI, par le grand spectre et la différence de leurs capacités techniques et professionnelles, forment ainsi un groupe représentatif au niveau sectoriel, dont les sujets d’intérêt reflètent les véritables préoccupations du domaine. L’ANSSI est activement impliquée dans la société, organisant seule ou en partenariat avec les autorités et les institutions nationales ou les ambassades, des conférences et des colloques nationaux et internationaux, dans des domaines connexes comme ceux des communications électroniques, des solutions de e-gouvernance et de e-administration, l’accès aux outils structurels, le développement des standards professionnels, en bref tous les domaines dans lesquels la composante de sécurité technologique de l’infrastructure TIC constitue une préoccupation centrale.

Effectuez des sauvegardes pour tous vos fichiers sur un dispositif d’archivage séparé, de façon régulière – une bonne pratique pour éviter les dommages produits par une attaque de type ransomware est de faire une sauvegarde de tous les fichiers importants sur un dispositif déconnecté du réseau de l’entreprise, puisque certaines variantes de ransomware sont capables de crypter des fichiers stockés sur des dispositifs tiers, connectés. Par exemple, les chercheurs ont rapporté récemment un ransomware qui crypte les fichiers stockés dans le dossier Cloud Sync. Si un ransomware est détecté dans votre entreprise, déconnectez immédiatement du réseau l’équipement infecté. Ne cherchez pas à éliminer malware et ne redémarrez pas le système avant d’avoir identifié la variante du ransomware. Dans certains cas, si vous effectuez l’une de ces actions, vous rendrez le décryptage impossible, même en payant la rançon.

29


Trends - Cybersecurity Trends

Come concepire un dialogo efficace e permanente, pubblico-privato e multi-stakeholder, per un „cybermondo” più sicuro? autore: Battista Cagnoni

Capita abbastanza spesso quando incontro clienti o prospect, di sentirmi chiedere, in modo più o meno diretto come altre organizzazioni approccino le stringenti necessità derivanti dalle minacce informatiche avanzate, i cosiddetti Cyber Threat. Aldilà dell’innata e necessaria curiosità delle persone che si occupano di Cyber Security e delle strategie e processi a questa collegati, noto che molto spesso le organizzazioni abbiano pochi, troppo pochi momenti di condivisione delle loro esperienze. Battista Cagnoni, PSS Sales Engineer, Fireeye

Battista Cagnoni - CISSP GCFA GCIH Battista è un’esperto di sicurezza con une lunga esperienza in diverse verticali dell’industria, dove ha assunto incarichi come Security engineer, Security Analyst, SOC Lead. E’ risolutamente appassionato della cultura della Cyber Security culture, della presa di coscienza in questo domenio e della comprensione delle modalità per affrontare i problemi di sicurezza. Battista è GIAC Certified Forensic Analyst e GIAC Certified Incident Handler. Email:battista.cagnoni@FireEye.com Web: http://www.FireEye.com

30

Un primo aspetto che le organizzazioni dovrebbero affrontare è la classificazione delle informazioni poiché, prima di considerare la possibilità di condividere, è necessario avere una classificazione sulla quale decidere se condividere o meno. Un altro aspetto che considero importante è un’analisi puntuale delle informazioni al fine di capire quali siano effettivamente i dati confidenziali. Ad esempio la riproduzione di una email usata in un attacco di spear phishing viene classificata come „Confidentiale” perché contiene i destinatari ed alcuni metadati relativi all’infrastruttura interna di posta elettronica. Corretto! Un’attenta revisione di queste informazioni unita ad una opportuna anonimizzazione permetterebbe di poterle condividerle con altre organizzazioni. Quali sono i destinatari di una email di spear phishing e del perché proprio loro è chiaramente una problematica che richiede confidenzialità, oltre che di scarso interesse al fine della condivisione. Al contrario il corpo dell’email, eventuali immagini, indirizzi IP e domini legati al mittente possono aiutare altre organizzazioni a rilevare una minaccia incombente. Questo è un facile esempio più legato ad aspetti operativi ma un approccio simile può essere intrapreso a livello più alto in ambito strategico o tattico. Settore pubblico e privato hanno, per loro intrinseca natura, evidenti differenze. Quando si parla però di Cyber Security l’approccio al rilevamento, alle contromisure e all’awareness in generale segue principalmente gli stessi criteri. In quest’ottica un modello che veda allo stesso tavolo aziende


private e organizzazioni pubbliche impegnate nel condividere aspetti di Cyber Threat comuni è applicabile e presenta molteplici e mutui vantaggi. Il settore pubblico, nel caso specifico, ha al suo interno diverse entità che possono dare un contributo di notevole supporto. Entità quali Polizia, Ministeri e CERT nazionali possono portare un grande valore al tavolo della condivisione in ambito Cyber Threat principalmente per la posizione privilegiata in termini di visibilità. All’interno del settore pubblico è più radicata la cultura della condivisione e vi sono esempi di piattaforme di condivisione tra Ministeri, tra i diversi corpi delle forze armate. I CERT Nazionali, in particolare, avrebbero il ruolo di coordinamento e distribuzione delle informazioni. Dall’altro lato le aziende private hanno la possibilità di condividere aspetti legati ad attacchi di tipo target che molto spesso sono a carico di gruppi molto specializzati e focalizzati a specifici settori industriali. I gruppi APT hanno ampiamente dimostrato il loro interesse sia per organizzazioni pubbliche sia aziende private e tendono ad utilizzare TTP (Tattiche, Tecniche e Procedure) che li contraddistinguono e spesso sono un indicatore abbastanza preciso della matrice di un attacco. Ci sono gruppi che tendono ad utilizzare Malware il meno possibile limitandone l’uso alla prima fase dell’attacco, tipicamente la compromissione di uno o due host, per poi passare a metodi più convenzionali e meno visibili quali strumenti da utilizzati dagli amministratori di sistema quali Sysinternal Tools1 o WMI2 per muoversi lateralmente e raggiungere i dati al fine di sottrarli. Altri gruppi che non facendo uso di Malware hanno ottenuto credenziali di accesso valide mediante social engineering ai danni degli stessi amministratori di sistema per poi configurare in autonomia account VPN del tutto uguali a quelli legittimi. La condivisione periodica e puntuale di quanto viene rilevato da ognuno degli attori seduti ad un tavolo di scambio e mutuo arricchimento porta sicuramente un consistente vantaggio oltre ad aver già creato tra i vari interlocutori canali comunicativi efficaci, fondamentali in una situazione di crisi. A puro titolo di esempio pensiamo al caso in cui più aziende private scoprano di essere vittima di un attacco e vi sia il coinvolgimento delle forze di Polizia e del CERT nazionale, avere relazioni istituzionali e personali stabilite può essere di grande aiuto nel rendere più efficiente il processo di Incident Response. Non è pensabile però un tavolo che veda assieme figure di diversa estrazione con compiti, mansioni e responsabilità troppo diverse tra loro. Nello specifico mettere a discutere assieme Senior Executives in veste di Policy Maker e strateghi con figure operative di taglio prettamente tecnico porterebbe più che ad un fattivo scambio, ad incomprensioni che vanificherebbero lo sforzo compiuto. Il modello che auspico è di tipo associativo non a scopo di lucro il cui intento primario sia la condivisione e la diffusione di modelli di Governance atti a definire chiare policy in materia di Cyber Defense, di processi che descrivano un approccio tattico agile ed efficace e di competenze operative. Tutto questo, ai diversi livelli, deve essere sviluppato avendo chiaro il fatto che i gruppi APT hanno competenze tecniche di altissimo profilo, sono organizzati in modo molto efficiente e dispongono di notevoli potenzialità finanziarie. L’associazione dovrebbe organizzare più volte l’anno – idealmente a cadenza bimestrale - una giornata di attività con una breve sessione plenaria di aggiornamento e più sessioni parallele sui tre filoni Strategico, Tattico ed Operativo dove fare scambio di trend, competenze ed esperienze. Quanto emerso durante queste giornate di scambio dovrebbe essere consolidato in poche concise pagine distribuite tra i membri dell’associazione. Al tempo stesso lo statuto

Il modello nel quale credo è di tipo ONG non-profit, con scopo principale di scambiare e disseminare modelli di governance che possano aiutare a definire posizionamenti chiari. associativo dovrebbe prevedere poche semplici regole ma che sanciscano l’obbligatorietà della contribuzione per evitare che molti beneficino dell’esperienza di pochi. Di grande valore sarebbe anche un evento annuale aperto agli specialisti di settore per poter avere il punto di vista di chi è impegnato in prima linea a combattere le minacce Cyber e nell’aiutare le organizzazioni a migliorare la loro postura. Un aspetto che non può essere dimenticato è il valore che le Università possono portare ad un modello di questo genere. Molteplici possono essere i vantaggi quali avere maggior vicinanza tra mondo accademico e della ricerca con la realtà vissuta nelle organizzazioni. Le università potrebbero accedere a casi di studio reali dai quali partire per dare delle risposte sia tecnologiche che manageriali. Gli studenti avrebbero la possibilità di vedere applicate le loro competenze in stages in azienda. Le organizzazioni avrebbero a disposizione neo laureati da poter integrare e far crescere. Questo articolo tocca solo superficialmente i principali aspetti di un modello che possa far maturare i diversi attori nella direzione della condivisione di esperienze e, per quanto possibile, delle informazioni. In questo contesto è fondamentale creare la cultura della condivisione per creare un fronte comune ai Cyber Threat e come esperto auspico che le organizzazioni si aprano a questo tipo di dialogo beneficiando delle reciproche esperienze creando all’interno delle singole Nazioni delle efficaci piattaforme di dialogo.

Note: 1 https://technet.microsoft.com/en-us/sysinternals/bb545021.aspx 2 https://msdn.microsoft.com/en-us/library/aa384642(v=vs.85).aspx

31


Trends VIP Interview - Cybersecurity

L’OMC et le monde digital Interview avec l’Ambassadeur ém. Pierre-Louis Girard auteur: Laurent Chrzanovski

Pierre-Louis Girard

Laurent Chrzanovski: L’OMC est une institution dont tout le monde parle, mais peu savent de quoi elle s’occupe précisément. Vous y avez présidé plusieurs groupes de travail, notamment celui de l’adhésion de la Chine. Expliquez-nous le rôle de l’OMC aussi par rapport à son prédécesseur, le Gatt. Pierre-Louis Girard: L’OMC a fondamentalement trois fonctions. La première est d’offrir un cadre de règles stables et prévisibles aux acteurs du commerce international de biens et services. La seconde est par le biais de négociations commerciales (sous formes de cycles comme l’Uruguay Round et maintenant le Doha Round ou par des négociations sur un sujet ou un secteur spécifique) d’élargir la libéralisation des échanges de biens et services ou de développer de nouvelles normes qui vont s’appliquer à ces échanges. La troisième enfin

Pierre-Louis Girard Ambassadeur, Représentant permanent de la Suisse près le GATT (1984-1988) Chef négociateur de la Suisse pour le GATT et l’OMC (1991-2000) Ambassadeur, Représentant permanent de la Suisse auprès de l’OMC (2000-2007) Président du Groupe de travail sur l’accession de la Chine à l’OMC (1988-2001)

32

est de mettre à disposition de ses membres une système de règlement des différends auquel ils peuvent avoir recours lorsqu’ils estiment qu’un de leurs partenaires a violé les règles du système et a causé un dommage à leurs intérêts. L’OMC est à bien des égards le développement et l’aboutissement partiel des objectifs que s’étaient fixés les négociateurs de l’Accord Général sur les Tarifs douaniers et le Commerce (GATT) en 1947. C’est ainsi qu’un des buts qu’on n’avait pas pu atteindre l’époque, la couverture du secteur des services, a été en partie réalisée dans le cadre de l’Uruguay Round et des négociations sur les services financiers qui l’on immédiatement suivie. De même un accord sur la protection de la propriété intellectuelle s’appliquant aux bien et services a également élargi le champ de couverture des règles du commerce international. Laurent Chrzanovski: Quels sont les axes de travail principaux de l’OMC, ou du moins les catégories de produits et de commerces dont elle s’occupe en priorité. Pierre-Louis Girard: Les axes de travail principaux n’ont pas fondamentalement changé car tout ce qui touche aux conditions d’échanges constitue un «work in progress» comme disent les anglo-saxons. Les efforts de libéralisation du commerce des produits agricoles et des produits manufacturés restent une composante centrale de l’activité de l’OMC. De plus depuis sa création la discipline en matière d’achats gouvernementaux ainsi que les aspects environnementaux du commerce des biens et services ont pris une nouvelle importance au sein de ses activités. Enfin depuis quelques années l’OMC et ses membres s’attachent à développer, en priorité à l’intention et au bénéfice des pays en voie de développement, des procédures et programmes de soutient pour ce qui est de la facilitation du commerce afin de faciliter les procédures douanières et les mouvements de biens. Laurent Chrzanovski: Le sommet de Cancún a marqué le début d’une hostilité ouverte, dont l’OMC a été le bouc-émissaire principal, de la part de plusieurs mouvements «altermondialistes» mais aussi de critiques de gouvernements. Pourquoi? Pierre-Louis Girard: Le GATT comme l’OMC ont toujours fait l’objet de contestations. Celles-ci ont même été parfois particulièrement violentes dans le courant de l’Uruguay Round par exemple de la part des paysans européens (dont notamment les suisses), japonais et coréens. En outre


toutes les négociations ont été à des moments et degrés divers accompagnées depuis la fin des années quatre-vingt par des actions et manifestations d’organisations non-gouvernementales de pays développés comme de pays en développement en appui de la position de ces derniers ou pour le moins de ce que les ONGs croyaient être les intérêts de ces derniers. Un des point culminant de l’action des «altermondialiste» a manifestement été atteint lors de la conférence ministérielle de Seattle en 1999 lorsqu’une alliance entre ONGs en faveur des pays en développement, mouvements défendant l’environnement, les tortues et les phoques ainsi que les représentants des centrales syndicales américaines AFL-CIO qui dénonçaient le «dumping salarial» de la part des PVD a réussi à bloquer durant deux jours toute activité en ville de Seattle. Cela étant la véritable cause de l’échec de la conférence de Seattle réside dans le fait que les pays membres de l’OMC, dont notamment les principaux pays industrialisés, n’avaient pas un accord, même minimum, sur la base duquel lancer une négociation. Pour ce qui est de Cancun le même phénomène de divergences entre principaux membres industrialisés, notamment entre l’Union européenne et les Etats-Unis sur le dossier agricole, a permis à divers membres en développement de faire à bon compte de la surenchère sur les promesses qui leur avaient été faites deux ans auparavant à Doha, par ces mêmes Etats-Unis et Union européenne notamment, que le Doha Round serait un «development Round». Laurent Chrzanovski: Alors que beaucoup d’Etats privilégient désormais des rencontres et des groupes basés sur une région, une alliance inter-Etat ou un produit spécifique, comment expliquez-vous que l’OMC reste au centre du débat et que des puissances macro-régionales comme la Russie ont âprement négocié leur adhésion, qui n’a eu lieu qu’en 2012 dans ce cas précis (9 ans après Cancun). Pierre-Louis Girard: Tout simplement parce que le cadre juridique que représentent les accords de l’OMC constitue la base multilatérale la plus développée, la plus stable et la plus efficace sur laquelle peuvent s’appuyer les pays pour développer leurs échanges et se protéger contre des actions prédatrices de leurs partenaires commerciaux. Par ailleurs en devenant membres de l’OMC des pays comme la Chine, la Russie et les anciennes républiques de l’URSS en particuliers ont donné une nouvelle dimension à leur statut de sujet indépendant en terme de droit international et d’acteur actif dans le développement de celui-ci. Laurent Chrzanovski: Aujourd’hui, hormis les matières premières, les produits finis sont de plus en plus hybrides, et le pourcentage de produits possédant une fonction de réception/transmission d’informations est en croissance exponentielle. Cette donnée ne met-elle pas en danger les négociations abouties sur les «services» et les «produits» tels qu’ils étaient avant «l’internet des choses»? Pierre-Louis Girard: Ce phénomène ne date pas d’aujourd’hui. La plupart des exportations de biens se sont accompagnées dans le passé d’éléments de services. Pensons au montage d’une turbine, au services après-vente de machines textiles, etc. Le fait que les services pouvaient apparaitre alors comme une exportation parallèle à celle du bien ne change rien à ce qu’elles formaient un tout. De plus si vous achetez une voiture aujourd’hui vous achetez probablement la possibilité de recourir en même temps à deux services qui sont intégrés à votre achat: un GPS et Bluetooth !

Laurent Chrzanovski: Peu de pays, mais non des moindres (on peut citer les USA et la Chine) en appellent à l’OMC pour faire lever des obstacles qui pèsent sur ce genre de produits, lorsque des pays les refusent en vertu de l’exception de sécurité nationale – telle que définie dans l’article XXIb du GATT (du 30 octobre 1948!) reproduit ensuite en 1994 (TRIPS art. 73) et en cours de reproduction, inchangé ou presque, dans le GATS (art. 14bis). Pensez-vous que l’OMC sera a même de statuer sur des «produits» qui comprennent des services multiples ainsi que le produit physique lui-même? Pierre-Louis Girard: L’article sur la sécurité nationale est un article fondamental mais dont il est facile d’user et d’abuser (pensez aux mesures prises par l’administration Reagan en son temps à l’encontre du Nicaragua). Son invocation implique généralement des considérations dont il n’est pas aisé d’apprécier la validité. Je ne vois par conséquent ni les membres de l’OMC, ni l’Organe de règlement des différends être disposés à faire preuve de témérité en la matière. Laurent Chrzanovski: Comment expliquez-vous le manque d’adaptation de l’OMC par rapport à «l’ère digitale» dans laquelle nous vivons désormais? Pensez-vous qu’il soit sage de rester sur le concept de «marchandises», «services», «biens agricoles et industriels» et «produits» et de «droits de propriété intellectuelle touchant au commerce» sans ouvrir une fenêtre spéciale sur les produits ou service à plus-value automatisée/digitale/trans-étatique? Pierre-Louis Girard: Les bases juridiques qui existent actuellement sont claires et solides. Pour un éventuel développement d’une fenêtre spéciale à des «produits ou services à plus-value automatisée/digitale/transétatique» encore faudrait-il que les membres se mettent au préalable d’accord sur ce que sont effectivement ces produits et sur le fait que les dispositions juridiques actuelles tant internationales (dont celles de l’OMC notamment) que nationales (loi sur la protection des données, loi sur le respect de la sphère privée, etc.) sont manifestement insuffisantes. Laurent Chrzanovski: Une anecdote marquante lors des discussions marathon que vous avez dirigé ? Pierre-Louis Girard: Ce qui me vient immédiatement à l’esprit est une visite à la fin des années 90 à la ministre du commerce extérieure chinois. Comme j’entre dans son bureau elle m’interpelle: «Alors, Ambassadeur Girard, que pensez-vous de la Chine d’aujourd’hui ?». A cela je ne peux m’empêcher de m’exclamer, en exagérant le trait: « C’est le capitalisme sauvage ! ». Et elle, ne peut s’empêcher d’éclater de rire, reconnaissant par là le chemin qui a été fait en terme de réformes depuis 1988, année de création du Groupe de travail sur l’accession de la Chine au GATT.

33


Trends - Cybersecurity Trends

Sanita’ e sicurezza delle Informazioni: dai pace-makers alle ASL „bucate” autore: Raoul „Nobody” Chiesa

Lo scenario Siamo decisamente entrati in una „Digital Age”, una società dell’informazione che ci vuole costantemente on-line, connessi e social: il passaggio dal Web 2.0 a „the next thing” è oramai pronto a partire. In questi scenari sta arrivando, anche in Italia, l’e-Government, la Pubblica Amministrazione sta andando interamente on-line, e con lei i nostri dati di cittadini (digitali). Questo non è però niente se confrontato con quello che deve ancora arrivare: IoE, l’Internet of Things o, come la chiama già qualcuno, IoX, l’Internet of Everything.

Raoul „Nobody” Chiesa Founding Partner and President, Security Brokers International (IT) Principal, CyberDefcon Ltd (UK) Member of the Steering Committee (Board of Directors), Italian Association of Experts on Critical Infrastructures (AIIC) Italian Cultural Attaché of the APWG.EU (Anti-Phishing Working Group) Independent Senior Advisor on Cybercrime - Emerging Crimes Unit at UNICRI Roster of Experts Member, ITU (International Telecomunication Union) Board of Directors Member, Director of Communications, OWASP Italian Chapter (Open Web Application Security Project) Board of Directors Member, AIP/OPSI (Italian IT Professionals Association, Italian Privacy & Security Observatory) Member of the Technical Commitees at HES (Hackito Ergo Sum) and HITB (Hack in the Box) Associated Member, Board of Directors, TSTF.net (Telecom Security Task Force) ISECOM OPST, ISECOM OPSA, ISECOM HHST, ISECOM OPSE, ISECOM OWSE, ISECOM OSSTMM Certified International Trainer

34

Una IoX che oramai, da alcuni anni, vede e sempre di più vedrà devices indossati ed „intorno a noi”, un po’ più invasivi dei notissimi Goggle Glass: dai pace-makers che parlano Bluetooth alle pompe di insulina che parlano Wi-Fi, passando per le auto intelligenti che si guidano da sole (e che comunque già oggi iniziano ad avere un indirizzo IP), la domotica ed i frigoriferi che inviano spam, le smart cities. Senza dimenticarci di IPv6 e di tutte le vulnerabilità che porterà con se, come storicamente è sempre successo con ogni nuovo protocollo complesso ed ogni nuova implementazione. Facciamo però un passo indietro e torniamo al concetto di sanità e di security. Il mondo della sanità diventa digitale, e questa è una naturale evoluzione, siamo pur sempre nel XXI secolo! Questo cambiamento è portato da leggi, da norme e da decreti, ma anche dalla necessità di ottimizzare tempi e costi del sistema sanitario centrale e locale, dal sopra citato e-Government e, non ultime, dai piani e dalle direttive dell’Unione Europea. In prima istanza abbiamo però una problematica abbastanza seria, come già visto quando ho accennato ai pace-makers ed alle pompe di insulina: i vendor di HW e SW per il mondo della sanità producono e commercializzano piattaforme, software e sistemi tipicamente insicuri; quantomeno, se vogliamo essere un pò meno duri, l’aspetto della sicurezza delle informazioni non è certamente in cima alla loro lista. ☺ Questo succede perché gli operatori del mondo sanitario non hanno (tipicamente e salvo rarissime eccezioni) una visione e comprensione sufficiente delle nuove sfide legate all’ICT Security. Osservando i trend degli ultimi 2-3 anni, provenienti dal mondo dell’ethical hacking e dello stesso Cybercrime, il settore sanitario è certamente uno dei prossimi target a (forte) rischio. Questo deve preoccuparci quando sentiamo parlare di IoX e di dispositive „impiantati nel corpo umano”!

Hacking a dispositivi medici D’altr’onde, basta googlare „hacking medical devices” per verificare capire quanto affermo: nel 2010 i risultati erano nell’ordine di alcune centinaia di migliaia (rappresentativi, quindi, delle ricerche in corso al tempo da parte della comunità underground), ma nel 2012 questi erano invece quasi tre milioni e mezzo, per arrivare oggi a cifre che oscillano tra il milione ed i quattro milioni di risultati, in funzione del Paese o della VPN da cui interrogate Google. Parlando proprio delle pompe di insulina di cui dicevo prima, ha quasi del fenomenale il motivo che portò Jerome Radcliffe, un ethical hacker, a presentare il suo progetto di „medical devices hacking” alla Black Hat 11: quando compì 22 anni perse drammaticamente peso in meno di due mesi, aveva continuamente sete e, dopo una serie di esami, scoprì di soffrire di diabete.


Il medico gli prescrisse quindi iniezioni di insulina, dalle quattro alle sette volte al giorno. Usare una siringa non fa piacere a nessuno, e quindi il dottore gli spiegò che c’era un dispositivo il quale, automaticamente, iniettava l’insulina nel suo corpo. Questo dispositivo era un aggeggio „e-health”, ovverosia frutto del matrimonio tra il digitale e la scienza medica, ed era comandabile e programmabile remotamente. Jerome, da buon smanettone, aprì un nmap dopo aver stabilito un link con il device e…. dopo poco tempo presentò le sue scoperte alla Black Hat, unendosi a ricercatori bravissimi come Travis Goodspeed, Shawn Merdinger ed il compianto Barnaby Jack, un amico di lunga data, purtroppo recentemente scomparso (quello che, sempre alla Black Hat, portò un Bancomat sul palco e gli fece letteralmente „sputare soldi”).

Storie ed esperienze personali Nel 2005 gestivo ancora la prima società che fondai nel lontano 1997 e fui contattato da un importante ospedale del Nord Italia, che ci ingaggiò per attività di Penetration Testing. Questo tipo di verifiche non erano da loro mai state eseguite prima ed il„driver”, invece che la sicurezza operativa dei dati dei pazienti, fu la normativa sulla privacy dei dati, la famosa „196”. La situazione che rilevammo fu a dir poco allucinante, sensibilmente peggiore del livello di security presente nelle Università italiane… e ce ne va!! Dopo circa 3 anni di attività cicliche ed inserimento di processi puntuali (dato che la sicurezza è innanzitutto organizzativa e procedurale), quella struttura divenne ed è a tutt’oggi è un piccolo gioiello di ICT security nel loro settore. Successivamente, fui contattato con il mio team da altre realtà (ASL, strutture ospedaliere private), per attività di: Digital Forensics, per diversi casi di dipendenti infedeli, abuso delle risorse IT, etc…; Fughe di informazioni mediche, che erano rivendute da insider; Compliance a standard e norme puntuali, specialmente all’estero, dove la sensibilità è maggiore. Il mercato, anche quello italiano, è però vasto e grande e non tutte le strutture sanitarie possono essere „lungimiranti”, anche se in realtà dovrebbero. Nel luglio del 2012 una ASL del nord Italia „va on-line”. Per i problemi che analizzeremo a breve, tutte le cartelle mediche dei pazienti si sono rivelate accessibili da remoto (rete Internet), a causa di problematiche di SQL Injection (vulnerabilità web-based: mancata sanitizzazione dell’input dal front-end Web). Poco tempo prima, nel biennio 2011-2012, i casi (pubblici e noti) di „black-box security testing” e di reverse engineering verso prodotti in campo medico vedono una improvvisa crescita; il mondo dell’underground digitale ha scoperto nuovi „toys” con cui giocare, i security researchers ci si sono messi su e le scoperte di falle e vulnerabilità hanno iniziato a piovere come funghi. Andando ancora un pò più indietro, dal 2009 ad oggi, le risposte (quantomeno pubbliche) dei vendor del mondo e-health sono state pari a zero. Nessuna public disclosure delle vulnerabilità, nessuna comunicazione di „security patch”, nessun confronto con gli esperti del mondo InfoSec ed Ethical Hacking. Sembra davvero che, secondo loro, il classico approccio (sbagliatissimo!) del „Security through Obscurity” funzioni…

Le problematiche Senza però andare così „lontano” avventurandoci in territori esoterici e certamente di confine, torniamo ai dati sanitari, al FSE (Fascicolo Sanitario Elettronico)

ed a dove il tutto, bene o male, parte: le ASL, gli ospedali e le strutture sanitarie che gestiscono i nostri dati medici. Prima di entrare nei dettagli tecnici di quanto abbiamo deciso di raccontarvi in questo articolo, ho cercato di identificare i problemi principali, in un’ottica ad alto livello: le strutture sanitarie (esattamente come gli operatori di fonia fissa e mobile!) si affidano ai vendor per „soluzioni sicure”; gli operatori delle strutture sanitarie sono principalmente focalizzati ed impegnati nelle operazioni tipiche del mondo della sanità, con un occhio di riguardo verso gli upgrade software, le performance di rete e la continuità degli apparati medici ed altri task di routine e time-consuming…; questi operatori (molto) raramente dispongono di conoscenze in-house sulle tematiche di ICT security; tipicamente esiste una separazione molto forte tra la divisione IT (Sistemi Informativi) ed il „resto del mondo” nelle struttura sanitarie, creando di fatto due distinti security domains; il risultato di questo approccio è che la maggior parte di queste struttura sanitarie sono aperte ad attacchi esterni ed interni. Non ultimo il fatto che, nei bandi pubblici di gara del nostro Paese, il fattore decisivo è sempre il prezzo e la politica di assegnazione è „al ribasso”; molto raramente vediamo nei bandi la voce „sicurezza informatica” o il richiamo a metodologie di verifica della sicurezza quali OSSTMM dell’ISECOM (www.isecom.org e www.osstmm.org) ed OWASP (www. owasp.org), ed ancora più raramente il richiamo a frameworks di S-SLDC (Secure Software Life Development Cycle). Questo fa sì che, in genere, i software e le applicazioni web (portali, CMS, front-end e back-end) che vengono venduti dalle aziende private alla nostra Pubblica Amministrazione siano insicuri, pieni di bug ed errori di programmazione, anche tra i più noti e „classici”, quali SQL Injections, Cross-Site Scripting e così via.

Il caso dell’ASL Recentemente è stato pubblicato su Repubblica Inchieste uno speciale, dedicato al furto di identità, al quale ho personalmente collaborato con il giornalista Alessandro Longo. In questo speciale, tra i tanti argomenti e casi coperti, si parla di una ASL e dei dati esposti e pubblicamente accessibili relativi ai pazienti. Una città di medie dimensioni del Nord Italia, circa 200.000 abitanti. Ne’ troppo piccola, né troppo grande. In un posto così, probabilmente al di fuori dai loschi giri degli appalti guidati e dei poteri occulti, ci si aspetterebbe un’attenzione particolare alla sicurezza dei dati personali dei suoi cittadini e nella selezione delle software house che scrivono le applicazioni e le procedure per gestirli.

35


Trends - Cybersecurity Trends Purtroppo invece, Repubblica Inchieste è riuscita ad ottenere informazioni tangibili alquanto diverse, prove concrete ed incontrastabili che denotano una situazione a dir poco catastrofica: scenari terribili, situazioni oltre l’imbarazzo che avverrebbero se malintenzionati, trafficanti di dati personali e l’oscuro mondo del Cybercrime ne venissero a conoscenza. Quando, alcuni mesi fa, siamo stati contattati dalla nostra fonte, eravamo pronti a qualche cosa di preoccupante; pensavamo alla classica falla di sicurezza nel codice software utilizzabile via web dai cittadini, alla possibilità per dei malintenzionati di leggere, o addirittura modificare i dati anagrafici dei pazienti: residenza, telefoni, codici fiscali, dati dei famigliari e così via. La realtà dei fatti che ci sono stati comunicati e che Repubblica Inchieste ha puntualmente verificato, sono invece quanto di peggio si sarebbe potuto immaginare; quanto emerso ci ricorda moltissimo il film „The Net” con Sandra Bullock… ma purtroppo non siamo ad Hollywood e non è un film. Qui di seguito abbiamo cercato di riassumere ed elencare le azioni perpetrabili e le conseguenze per i pazienti: Aggiungere un paziente nei database dell’ASL; Rimuovere un paziente; Creare una prenotazione CUP presso la stessa ASL, senza fare code e, come spiegheremo a breve, senza pagarla; Rimuovere una prenotazione CUP: in questo caso la vulnerabilità informatica ha conseguenze gravissime nel mondo reale. Immaginiamo infatti la prenotazione effettuata tre mesi prima da un paziente il quale, il giorno dopo, abbia una visita dal cardiochirurgo: il malintenzionato potrebbe effettuare una sostituzione sul record del paziente in questione, cosicché mentre il paziente reale si presenta e la sua prenotazione viene respinta, il medico accetta invece un altro nominativo. Come se non bastasse, oltre il danno avremmo la classica „beffa”: qualora il paziente reale si lamentasse e facesse una contestazione, il paziente „aggiunto” può avere in mano il documento stampato con la prenotazione valida, mentre il paziente reale si presenterebbe con una prenotazione che è stata annullata dal sistema. Con questi presupposti non possiamo inoltre esimerci dall’immaginare un possibile giro criminale di prenotazioni in vendita, una sorta di „bagarinaggio” degli esami ospedalieri; Assegnare un pagamento, mai effettuato, ad una prestazione (visita, esame, etc.): anche in questo caso, l’ipotesi di persone che approfitterebbero di questa falla informatica per ricavarne del denaro ci sembra più che concreta; Accedere allo storico di tutte le prenotazioni effettuate dai pazienti presso l’ASL in oggetto: esami, visite, prelievi, operazioni…. tutto! A questo punto ci siamo posti delle domande ed abbiamo ipotizzato alcuni scenari, certamente non piacevoli per i cittadini che hanno la sfortuna di essere iscritti a questa ASL del nostro Paese.

36

Cosa potrebbero fare i malintenzionati con questi dati? Naturalmente un simile archivio di dati farebbe gola a tantissime persone, con motivazioni ed obiettivi tra i più disparati. Un nostro primo commento è ovviamente relativo al mercato nero dei dati personali nel mondo del crimine, ovverosia quei dati essenziali per creare frodi finanziarie come quelle che Repubblica illustra negli altri servizi dell’inchiesta. Ipotizzando però altri scenari illegali, abbiamo illustrato la situazione ad un giovane esperto di sicurezza informatica, Pawel Zorzan Urban, ed abbiamo chiesto la sua opinione. „Mi viene immediatamente da pensare alla rivendita illegale di questi dati”, dice Zorzan Urban, „magari verso un acquirente che possa assicurare un elevato profitto. Pensiamo infatti al mondo assicurativo, immaginiamo un’assicurazione che sta pensando se accettare o meno l’assicurazione sulla vita di un cliente”. „Dai dati acquistati della ASL l’assicurazione verrebbe invece a scoprire che il cliente effettua, ogni sette giorni, una visita oncologica. Questo esempio non vieta naturalmente di pensare a scenari più classici”, prosegue Pawel Zorzan, „come la vendita di questi dati a bande specializzate nei furto di identità. Il database di cui mi avete parlato, infatti, contiene tutti i dati necessari a chi compie furti di identità, dato che sono presenti negli archivi digitali di quella ASL i dati di chiunque sia mai transitato presso la struttura sanitaria di quella città”. Ipotizziamo allora uno scenario diverso: immaginiamo una cittadina con un sindaco molto esposto, vuoi per il partito politico a cui appartiene, vuoi per altri motivi. L’idea dei dati privati dei sindaci e dei familiari messi on-line ricorda un po’ il „mettere alla berlina” di secoli fa… in versione digitale e 2.0. D’altr’onde stiamo parlando di una ASL con poco meno di 500.000 pazienti attivi e circa 25.000 di loro con prenotazioni attive per i prossimi 60 giorni dalla data in cui ci stiamo parlando... Non sono numeri piccoli e riteniamo che i danni di una simile falla informatica siano incalcolabili. Se la cosa divenisse pubblica, non ci stupirebbe una class action contro l’ASL incriminata, come già accaduto negli USA in settori diversi, quale il Finance, proprio a causa di vulnerabilità di tipo informatico. Infine, non possiamo escludere una seria presa di posizione da parte del Garante dei Dati Personali italiano, il quale molto probabilmente comminerebbe anche pesanti multe alla struttura sanitaria oggetto della nostra inchiesta. Quello che però ci chiediamo va un po’ oltre in singolo caso in oggetto: quante altre ASL espongono in maniera così irresponsabile i dati dei propri pazienti? Quanti altri giovani hacker hanno individuato falle in altri siti web della Pubblica Amministrazione e ne hanno magari approfittato per vendere i dati ai cybercriminali e monetizzare le loro scoperte?

Conclusioni Il dominio dell’Information Security applicato al mondo dell’e-health è alla preistoria. Vi è un estremo ed immediato bisogno di: - ricercaapplicata, - security testing di apparati (Ethernet, WiFi, Bluetooth, ZigBee…), - software security testing, (magari, prima che vengano acquistati!), - sensibilizzazione, - culturaed awareness, del personale operante e del management. Il problema è però (molto) differente dall’ICT Security nel mondo finance, TLC o quant’altro. Qui si parla (anche) di vite umane.


37


ds Trends - Cybersecurity Tren

Sicurezza aziendale e ICT: storie di divergenze, convergenze e integrazioni autore: Luca Tenzi

La convergenza tra sicurezza fisica e sicurezza logica è un soggetto tecnologico che negli ultimi anni ha fatto la uno di tutte le riviste specialistiche e di management di tutto il mondo.

Per quanto riguardi le aziende leader di mercato sembra ormai essere un elemento acquisito e digerito, meno per quanto riguardi le PME. Si ritiene che le multinazionali a forte struttura ICT come le telco o finanziarie siano fortemente coinvolte in questa convergenze e che il settore industriale sia in ritardo nell’implementare questa convergenza strutturale. Ma i fatti sono forse altri, ritengo esista una grande confusione di cosa sia la convergenza, anzi direi si possa parlare di

Bio Luca Tenzi – Vice president CLUSIS Svizzera - esperto di sicurezza aziendale con quasi 20 anni di esperienza in aziende quotate in borsa - ha condotto operazioni di sicurezza in ambienti diversi. La sua esperienza si estende su più settori, tra cui, manifatturiero, farmaceutico, tecnologie dell’informazione e della comunicazione, istituti finanziari tutte aziende Fortune 100 e 500. Completata da esperienze in agenzie specializzate delle Nazioni Unite, tra cui l’agenzia leader delle tecnologie dell’informazione e della comunicazione. Forte sostenitore per la convergenza della sicurezza fisica e sicurezza ICT. Innovativo pensatore strategico, con una comprovata esperienza di cooperazione, attualmente si occupata di progetti di convergenza e integrazione tecnologica. Ha pubblicato articoli in materia di sicurezza fisica, organizzazione e ICT, ed è stato invitato a presentare osservazioni in riviste di settore o di geopolitica e seminari internazionali presentando i rischi emergenti o latenti per la sicurezza delle attività di business esponendo le nuove minacce asimmetriche. Ha conseguito un Post Graduate in gestione della sicurezza e le emergenze presso l’Università Bocconi, un Master in Criminalità e gestione del rischio alla Leicester University, e un DAS in gestione dei Rischi Aziendali presso l’HEG-SO (Geneve). Presente come lectuer in diverse scuole specialistiche tra cui HEG-SO Ginevra.

38

divergenza sul soggetto. Istintivamente l’interpretazione sembra essere fortemente influenzata da chi ne parli! Gli esperti in sicurezza „fisica” ne danno un’interpretazione diversa da ciò che gli esperti in sicurezza logica ritengano essere la loro. Ma cosa forse più importante, i differenti stakeholders interni e esterni ne hanno una visione e un interpretazione che vive di luce propria. In alcuni casi, quest’ultimi persino in contrasto con la visione interna aziendale. Le aspettative degli uni e degli altri divergono su cosa sia la convergenza ma forse fatto più importante quali siano lo scopo ultimo (cybersecurity), i benefici diretti (finanziari) e indiretti (efficienze strutturali) desiderati. Non si parla qui di obbiettivi specifici alla protezione contro i rischi cyber. Una mia prima lettura di queste divergenze sta in quali siano le strutture che convergono, ma esistono anche motivi accessori di tutto rispetto che devono essere chiariti. Difatti in alcuni casi si parla di convergenza ma in altri casi si parla di integrazione. Due approcci simili ma non sinonimi nel loro sviluppo. In molti casi la convergenza viene fatta per convenienza organizzativa senza un vero pensiero sistemico, ma fatto ancora più sorprendete, senza una definizione chiara dei nuovi compiti e del profilo professionale del nuovo leader funzionale.

Sicurezza fisica, questa sconosciuta! Un primo elemento ad essere chiarito, quali siano le strutture che convergono e cosa più importante, quali siano la loro funzione e il loro posizionamento organizzativo in azienda. Mentre si parla spesso di convergenza della sicurezza fisica (physical security) con la sicurezza logica, nelle multinazionali si parla di sicurezza aziendale o corporativa (corporate security), che di fatto ingloba anche la funzione fisica della messa in sicurezza dei beni tangibili e dei processi critici aziendali. Ma la corporate security si vede demandata di altre attività, che sono influenzate da fattori quali: posizionamento organizzativo, processi aziendali e settore di mercato. Senza voler entrare in una discussione organizzativa che non è lo scopo di questo articolo, il posizionamento nella struttura organizzativa darà più o meno visione, responsabilità e influenza strategica alla funzione. Attività quali, supply chain security, critical infrastructure protection, fraud management, crisis and incident management, executive and event protection, business intelligence sono alcuni dei settori che le migliori strutture di corporate security hanno come responsabilità. Senza contare le collaborazioni trasversali con funzioni interne quali risorse umane, internal audit, risk management per citarne


alcune. Si dovrà allora parlare di una convergenza limitata o di una convergenza completa tra le funzioni? Ognuna della possibili attività demandate alla corporate security sopracitate possono e hanno una parte che d’interesse ICT, delle attività nel mondo Cyber e ne consegue dei rischi Cyber che dovranno essere gestiti per le loro conseguenze nel mondo reale, si pensi a minacce contro individui o strutture, frodi nella catena di approvvigionamento etc. Questo fa sì che quando si parla di convergenza una prima domanda a cui dare risposta sarà di capire se questa convergenza sarà di fatti limitata ad una parte delle attività di sicurezza corporativa o vi saranno altri punti di collaborazione tra i due settori. Da parte sua, la sicurezza logica (cybersecurity) si vede anche lei in una situazione particolare. Nata come funzione demandata alla messa in sicurezza dei sistemi informatici aziendali sorge alla ribalta con il crescente numero e complessità degli attacchi informatici. A seguito dell’esponenziale trasferimento, conseguente crescita del valore intangibile delle aziende e della proprietà intellettuale alla funzione viene chiesto di proteggere il processo del valore virtuale dell’informazione (information value chain) senza per questo dimenticare di identificare e proteggere le infrastrutture critiche di gestione e/o produttive che sono la spina dorsale di ogni azienda. Si parla ora di Chief Information Security Officer (CISO). L’asimmetria della minaccia informatica verso la information value chain e dei sistemi critici fa sì che la funzione sia, come lo è la corporate security, una funzione trasversale e a supporto di tutte le attività aziendali. Di fatto però la funzione risiede all’interno della struttura informatica, naturalmente a staff del direttore dei sistemi ICT, e non di vita propria come le associazioni professionali vorrebbero. Come per il caso precedente la posizione organizzativa, della Chief Technologic Officer (CTO) e la conseguente posizione del CISO dara il valore e visione strategica alla posizione. E qui nasce la prima domanda a cui un processo di convergenza deve dare risposta.

Convergo o integro? Convergere o integrare sono due processi tra loro simili ma distinti. Per convergere si intende due elementi (strutture) che si muovono verso un punto comune. Si può presuppore un movimento verso un punto comune equidistante ma non è conditio sine qua non. In termini aziendali potremmo dire che le due strutture dovranno fare dei passi comuni per definire e raggiungere una nuova unica struttura che sarà differente dallo stato attuale. Una convergenza nel trattare i rischi asimmetrici e trasversali all’azienda si definisce come una metodologia unica che può essere demandata ad un’unica funzione o struttura. Per quanto riguardi l’integrazione, la si può definire come l’azione di una struttura che assorbe (integra) totalmente o parzialmente un’altra struttura in modo che cooperi all’attività complessiva. L’ufficio legale che integra la struttura di compliance. Nel mondo della sicurezza si sostiene che vi sia in corso una convergenza tra il settore della sicurezza fisica con la Cybesecurity. Personalmente ritengo che negli ultimi anni si è osservato una forte integrazione stricto sensu dei sistemi di sicurezza fisica (es. CCTV, accesso controlli, sistemi di comando e controllo etc.) nelle infrastrutture ICT. Solo nei tempi più recenti si inizia a parlare con più insistenza di una convergenza in lato sensu. L’arrivo sul mercato di sistemi complessi basati su di una infrastruttura IP ha di fatto obbligato i colleghi dei sistemi informatici, particolarmente i responsabili di infrastruttura ha chinarsi sulle necessita dei nuovi arrivati. Sin dalle prime installazioni sorse il dubbio di protezione dell’infrastruttura critica ICT, lo si risolse creando una rete (Local Area Network) separata per la sicurezza fisica. Ma la gestione di due reti distinte non è più sostenibile, la tecnologia ci permette di creare

delle VLAN (Virtual Local Area Netwok) usando un’unica LAN fisica. Questo elemento è molto importante, di fatti facendo confluire le due VLAN la gestione degli elementi di infrastruttura diventa unica cosi come la gestione dei rischi di attacchi informatici attraverso le porte lasciate aperte dai sistemi di sicurezza fisica. Forse qui nasce la prima vera divergenza sulla convergenza. Vi è da credere che per molti questa sia la chiave di volta per la convergenza tra la sicurezza fisica e logica. Di fatto non lo è! La protezione dell’infrastruttura e l’utilizzo di una infrastruttura comune non sono segno di una convergenza ma bensì di uno integrarsi della sicurezza fisica usufruendo delle più moderne piattaforme tecnologie disponibili su un infrastruttura IP. Di fatti la sicurezza fisica è l’ultima di una serie di attività aziendali che usufruisce appieno dello sviluppo tecnologico e della integrazione di piattaforme che tra loro non si erano mai parlate. Come esempio su tutti, l’utilizzo di una piattaforma di Identity Management unica gestita dalle risorse umane che fornisce profili per gli accessi fisici e logici. Questa soluzione ha di fatto risolto la problematica di avere delle banche dati da replicare e da aggiornare. Naturalmente le tecnologie a supporto delle attività di sicurezza fisica si sono fortemente sviluppate pescando a piene mani nelle start-up nel settore della difesa e law enforcement. In questo senso osserviamo un trasferimento di know-how e tecnologico senza precedenti verso il settore privato. Il sistema legislativo chiaramente cerca di correre hai ripari per quanto riguardi l’uso incontrollato di queste nuove capacità. Si pensi all’uso di droni civili, sia aerei che terrestri o alle capacità di webmonitoring o content monitoring per quanto riguardi la business intelligence e l’osservazione di fenomeni virali su social media.

Allora cosa converge? Come ho precedentemente indicato non credo si possa parlare di convergenza in senso lato se di fatto si parla di mera integrazione di processi tra loro simili ma che sino ad ora era replicati e slegati. Direi che possiamo parlare d’efficacia produttiva e efficienza organizzativa. Come indicato la crescita esponenziale degli attacchi informatici verso i sistemi ICT pubblici e privati ha richiesto di ripensare alla strategia di identificazione e gestione dei rischi. Come rispondere rimane ancora una area di ampia discussione. Deve lo stato proteggere o devono i settori privati prendersi la responsabilità di proteggersi. Discussione pratica fortemente influenzata da elementi dogmatici e di stato di diritto che in un mondo sempre più virtuale vengono fortemente scossi. Credo che, in alcuni casi, si possa parlare di convergenza organizzativa quando la Corporate Security si adopera per integrare la funzione CISO, diventando di fatto la security della infrastruttura ICT. Facendosi cosi carico della messa in sicurezza di tutti i processi di business value chain, includendo la information value chain. Di fatto credo non siano molte le aziende che siano riuscite a togliere la funzione CISO dalla struttura ICT. Una struttura di questo tipo è sicuramente efficacie ma rimane sicuramente di tipo difensivo.

39


Trends - Cybersecurity Trends

IoT (Internet of Things): qui contrôle quoi? auteur: Mika Lauhde

Mika Lauhde, VP, Government Relations and Business Development, SSH Communications Security

Tous ceux qui attendent un grand exploit dans le domaine de la cyber-sécurité de l’Internet des Choses (IoT) seront déçus d’apprendre que le train a déjà quitté la gare. La sécurité de l’IoT est déjà parmi nous, ici et maintenant, et il nous faut prendre conscience qu’il est nécessaire de surveiller ceux qui vont la gérer. Ainsi, le véritable enjeu est désormais le contrôle de la prochaine génération d’écosystèmes de surveillance et de business.

La technologie de cyber-sécurité, même si elle est importante, ne peut être comparée à l’information vitale: qu’essayez-vous de défendre et qu’avez-vous peur de perdre ? Voilà les éléments sur lesquels vous devriez vous concentrer pour mieux vous préparer. Mais comment être suffisamment proactif et ne pas attendre passivement les infractions et l’exploitation des brèches de cyber-sécurité? Il nous faut comprendre l’écosystème et les rôles qui sont joués à son intérieur. L’exemple qui suit est tiré de l’industrie automobile et du scénario de la voiture autoconduite. Comme vous le savez, de telles voitures roulent déjà de façon autonome aux U.S.A., et les premiers tests en Europe ont déjà eu lieu. Ce type de véhicule a besoin d’une énorme quantité d’informations sensorielles sur l’environnement dans lequel il évolue, mais aussi d’informations de l’extérieur, provenant de différents systèmes de back-end. Par systèmes de back-end je ne me réfère pas au système de divertissements à bord, qui est naturellement la partie la plus intéressante pour les passagers des sièges arrière, mais le flux d’information vitale contrôlant le mouvement et le bon fonctionnement de la voiture. On en vient ainsi naturellement au besoin de protection des systèmes du véhicule, mais face à quels dangers?

40

Analysons les éléments suivants de ce type d’écosystème: 1. Nous avons des voitures programmées pour rouler de façon autonome. Il y a donc une compagnie responsable de la navigation, du contrôle et des autres fonctions du véhicule. 2. Voilà une route glissante, impossible à prévoir, même avec le plus intelligent des logiciels.

3. Il y a un prix pour chaque être humain assis dans la voiture, mais le prix de chaque individu est différent.


4. Si deux voitures vont entrer en collision sur cette même route glissante, et que vous ayez à sacrifier des vies, peutêtre pour minimiser les dommages, quels sont les facteurs à prendre en considération ? Pour comprendre les acteurs du système et les objectifs qu’ils poursuivent en matière de cyber-sécurité, nous devons comprendre ce qui motive chacun d’entre eux. Le „conducteur” et le propriétaire du véhicule: en plus du désir de contrôler totalement le système de divertissement (en hackant les systèmes DRM et les protections des copies), il y a une motivation réelle de survivre. Comment interférer avec les systèmes d’une façon à ce que les propriétaires ne puissent pas seulement contrôler leur propre véhicule au besoin, mais aussi envoyer des informations à d’autres véhicules afin d’éviter des collisions ? La compagnie d’assurance: nous savons que les compensations en cas de pertes humaines ou d’handicap ne sont pas égales. Aussi, les compagnies d’assurance n’auraient-elles pas, elles aussi, un intérêt à agir sur les systèmes de programmation et de collision afin de réduire les coûts ? Après tout, elles doivent bien assurer des dividendes à leurs actionnaires. Les intérêts gouvernementaux: tout gouvernement devrait protéger ses propres citoyens. Ce sont bien la sécurité et la sûreté que les gouvernements promettent généralement à leurs concitoyens, spécialement lorsqu’ils ont besoin de limiter une liberté précise à un moment donné. Si un gouvernement n’agissait pas ainsi, comment pourrait-il se maintenir au pouvoir ? Il y a des raisons de croire qu’il est dans l’intérêt des gouvernements d’influencer le comportement de tels véhicules. Les enquêtes de police: Dans la plupart des pays, dans le cas d’un accident mortel, il y a automatiquement une enquête de police. Normalement, le but est non seulement de déterminer la culpabilité de l’accident, mais aussi d’améliorer la sécurité afin d’éviter des tragédies semblables par la suite. L’accès à toutes les données restées dans le système du véhicule, ainsi qu’au système de back-end sont vitales. La question se pose alors sur comment accéder aux deux systèmes? Les hackers: Dans ce groupe, nous pouvons trouver des motivations très différentes dans les tentatives d’interférer avec le système du véhicule, du désir de devenir „célèbre” à celui de faire des dégâts. Mais pour „gagner 15 minutes de célébrité”, vous devez encore et toujours entrer dans le système et lui faire effectuer ce que vous désirez. Le fabricant du véhicule: le fabricant n’est pas forcément situé dans un seul pays, mais les décisions qu’il prend sont généralement guidées par les régulations en vigueur dans le pays où la compagnie a établi son siège social. Les fabricants font face à un enjeu majeur, constitué par les coûts, de plus en plus conséquents, entraînés par tout rappel au garage d’une gamme entière de véhicules dont le système technologique connaît des problèmes. De même, les dangers extérieurs menaçant les systèmes des véhicules sont de plus en plus vastes et lourds à assumer, sans mentionner que toutes les autres parties citées ont des conflits d’intérêt avec les fabricants de véhicules. La réalité malheureuse est que le fabricant possède la connexion avec les véhicules, ce qui l’expose directement à des risques majeurs de responsabilité. Le système placé dans la voiture est seulement un „client”, mais le serveur se situe quelque part dans le data cloud du producteur. Dans quel pays et sous quelle juridiction se trouve le serveur/cloud?

Conclusions: Ici, en Europe, nous sommes plutôt en sécurité par rapport à toutes ces considérations. Après tout, nous avons perdu depuis des années la composante principale: le modem, qui est depuis le début de l’IoT la pierre angulaire de ce système. En ce moment, alors l’Europe se concentre sur la mise en œuvre du eCall, personne n’a osé ne fût-ce que demander d’où les constructeurs européens reçoivent le software pour les modems, ni même s’il existe des canaux collatéraux cachés de communication avec ceux-ci. Nous n’apprendrons l’existence de ces „side channels” que dans quelques années, grâce à l’aide d’un nouveau „Snowden”. Lorsque nous parviendrons à être sûrs que le eCall fonctionnera, nous réaliserons alors que toutes les problématiques concernant les acteurs susmentionnés auront été résolues… et ce sans aucune implication européenne. Ainsi, s’il vous plaît, ne dites plus que l’Internet des Choses est en train d’arriver… toutes les décisions vitales sont déjà mises en œuvre…

Mika Lauhde Mika est responsable des relations avec les Gouvernements et du Development au sein de SSH. Avant de rejoindre joining SSH Communications Security, Mika a dirigé le Département de Business Security and Continuity de la Nokia Corporation, où il était responsable des relations avec les Gouvernements dans les domaines de sécurité IT, mais aussi de la gestion de crise, de la criminal compliancy, de la fraud prevention, et des terminal crypto solutions Mika a une vaste expérience dans les domaines touchant la sécurité et les institutions gouvernementales, aussi bien en Europe qu’aux U.S.A. Il est membre du groupe permanent de spécialistes de l’ENISA (European Network and Information Security Agency) ainsi que du groupe de travail sur la Cybersécurité du Gouvernement finlandais. Membre du PSG d’ENISA (European Network and Information Security Agency) (2009 - ) Membre exécutif de la European Crypto de l’Université de Louuvain (2014 - ) Membre du groupe de travail d’Europol working group (2014 - ) Membre exécutif de l’European Cyber Security Research Center (2011 - ) Membre du groupe de travail sur la Cybersécurité du Gouvernement finlandais (2013 - ) Membre fondateur et membre du conseil de direction du TDL (Trust in Digital Life) (2010 - 2013) Membre du comité consultatif groupe de travail gouvernemental de l’U.E. RISEPTIS (2007-2009) Membre du goupe de travail consultatif de l’ICT security du Gouvernement finlandais (2007 – 2010) Membre du groupe de protection des infrastructures critiques du Gouvernement britannique (CPNI) (2005 – 2009)

41


ds Trends - Cybersecurity Tren

Asymétries, divergences et manques de repères dans le monde IT Si on l’analyse de façon anthropologique, le comportement humain par rapport aux technologies est aujourd’hui, très proche de celui de l’apprentissage sensoriel d’un bébé durant ses deux premières années d’existence, en particulier si l’on se penche sur les générations de plus de trente ans, c’est-à-dire celles qui ne sont pas nées avec un „alter-ego” digital.

auteur: Laurent Chrzanovski

Disclaimer: Nous avons choisi de rédiger ce texte pour offrir la plus neutre des visions possibles sur les comportements à risque et sans prétention d’apporter des solutions „clé en main”. L’abondance des références à la revue „Computers in Human Behavior” ne reflète pas une préférence subjective. Nous considérons simplement que ce périodique académique – qui se consacre, comme ses homologues dans d’autres domaines que l’IT, aux analyses comportementales – peut offrir de nouvelles perspectives, parfois plus simples et de bon sens, sur la manière dont nous utilisons tous les nouvelles technologies qui font désormais partie intégrante de notre vie quotidienne.

42

En bref, par manque d’une éducation codifiée, fournie par la famille, le milieu professionnel, les institutions d’Etat ou encore les médias, le citoyen digital apprend „sur sa propre peau”, jour après jour, à distinguer ce qui constitue pour lui une valeur ajoutée (culturelle, économique, relationnelle, sociale) de tout ce qui est futile ou, plus grave, nocif.

Le „smart home” ou l’endroit où nous avons tous entre 6 mois et 1 an... et tâtonnons Un „smart home” (maison aux multiples fonctions ‘intelligentes’) nécessite un minimum de 7-10 semaines „d’apprentissage” par le biais de découvertes intuitives pour être compris et maîtrisé avec succès par son propriétaire. C’est justement ce moment, pourtant crucial pour la sécurité physique et digitale de la personne qui vient de doter sa maison des dernières technologies, qui a fait l’objet de nombreuses recherches scientifiques. On en


vient aujourd’hui à proposer des outils digitaux jouant le rôle de „maman”, c’est-à-dire de guide/éducateur/réparateur de dégâts pour tout le temps nécessaire au „e-habitant” de comprendre comment utiliser de façon sûre tous ces dispositifs qui communiquent non seulement avec lui-même, mais aussi avec d’autres1. La première problématique, spécifique de notre époque, est le besoin de nouveauté, encouragé par un conformisme face à la technologie comme ultime „status symbol” au sein de nos sociétés. Les nouvelles gammes de smartphones, tablettes, laptops, appareils IoT, smart watches, etc. sont considérées comme un symbole de bien-être social et, grâce à leurs prix accessibles, deviennent un phénomène encore plus répandu que celui, par exemple, des marques de luxe (voitures, vêtements, etc.) qu’un citoyen normal peut se permettre. Cependant, dans le domaine de la sécurité, toutes ces nouveautés ne font qu’augmenter le degré, déjà élevé, des vulnérabilités personnelles et professionnelles. Rares sont ceux qui, par prudence ou par réflexe, commencent à passer lentement de la phase du „je dois être à la mode” à celle du „ai-je vraiment besoin de cela?” L’une des études sociologiques les plus récentes2, par exemple, montre qu’après quelques mois d’utilisation seulement, l’IoT en général commence déjà à perdre sa valeur de nouveauté et que la plupart des utilisateurs n’en considèrent que de rares composantes comme réelle amélioration de leur qualité de vie, les seules facilités qui font aujourd’hui l’unanimité en ce qui concerne leur taux de satisfaction étant celles liées à la sécurisation de l’accès au domiciile grâce à la biométrie et celles qui renforcent la sécurité physique (comme les systèmes anti-vols, anti-incendies). Petit à petit, si l’on retient les données principales issues de cette étude, on observe que tout ce qui est vendu comme „smart” (télévision, frigidaire, home automation, surveillance vidéo CCTV etc.) perd toute connotation positive et devient neutre. Pour le consommateur, ces objets n’apportent pas de changements aussi significatifs à leur vie quotidienne pour mériter pleinement l’investissement financier qu’ils demandent. Malheureusement, l’asymétrie comportementale en matière de la compréhension des systèmes IoT est aujourd’hui à son apogée. Si l’on en croit les études mentionnées, la sécurité est un élément qui est soit incompris, soit ne présente aucun intérêt particulier. Cette incompréhension atteint un paroxysme quand on observe que ceux-là mêmes qui louent leur nouveau système antivol ou celui d’accès au domicile par identification biométrique – des systèmes de sécurité ! – ne portent aucun intérêt aux conditions de fonctionnement de ces systèmes: qui est leur fournisseur, leur producteur, quel est leur niveau de sécurité digitale, comment sont configurées les applications qui leur permettent de fonctionner, avec qui communiquent-elles, etc. La partie positive des tendances mentionnées reste donc celle que l’on va rentrer bientôt dans une certaine normalité dans l’utilisation de dispositifs IoT qui ont vraiment une plus-value pour la vie personnelle, en fonction des désirs et des besoins de chacun. Exactement comme un petit bébé qui,

Laurent Chrzanovski Citoyen Suisse et Italien, docteur en Archéologie de l’Université de Lausanne, diplômé d’Etudes postdoctorales en histoire et sociologie auprès de l’Académie de Roumanie, Laurent Chrzanovski est aujourd’hui Professeur à l’Ecole doctorale de l’Univeristé de Sibiu (Roumanie). Depuis de nombreuses années, fort de son expérience de travail dans 12 pays d’Europe et du Sud de la Méditerranée, il a étendu ses domaines de recherches à la cyber-sécurité, dans ses aspects sociaux, comportementaux et géopolitiques. Membre du groupe d’experts de l’UIT et consultant contractuel pour cette même institution, il a fondé et dirige la plate-forme macro-régionale de dialogue publicprivé „Cybersecurity in Romania” (cybersecurity-romania. ro); dans ce même esprit, il a co-fondé et est co-éditeur en chef de l’une des rares revues trimestrielles gratuites d’awareness, Cybersecurity Trends (cybersecuritytrends.ro). Laurent Chrzanovsi est auteur/éditeur de 21 livres, de plus d’une centaine d’articles scientifiques et tout autant de textes destinés au grand public.

après quelques semaines, choisit tout seul et sur la base de critères connus de lui seul, ses objets préférés, de vie comme de jeu. L’enjeu principal reste cependant d’insérer la sécurité comme critère de base de ces systèmes, mais ici aussi nous assistons à un nouveau „trend”, dans les pays les plus riches. Il s’agit de dispositifs aux fonctions identiques à d’autres, mais un peu plus chers car vérifiés par des entreprises spécialisées en termes de connexions sécurisées. L’aspect sécuritaire devient enfin une plus-value non seulement pour le client, mais aussi un argument de poids pour le marketing de nombreuses marques, qui en font largement usage pour promouvoir leurs produits IoT face à la concurrence. De même, nombreuses sont les entreprises qui se sont lancées dans les applications permettant de sécuriser, harmoniser et gérer tous les systèmes IoT d’un individu ou d’une compagnie, afin d’en garantir la sûreté et la confidentialité dans une perspective logique et compréhensive3.

Devices: la peur immobile ou la compréhension erronée de l’auto-protection Cette même asymétrie, entre l’utilisation et la compréhension des risques, atteint un niveau presque dicotomique, comme on l’observe dans une étude menée récemment aux Etats-Unis, où la peur d’être attaqué (hacké) ne se reflète aucunement dans la prise de mesures réelles pour prévenir cette menace4.

43


ds Trends - Cybersecurity Tren Alors que la majorité des participants au sondage montrent une grande inquiétude sur un possible vol ou usurpation de leur identité virtuelle ou bancaire, 90% des sondés croient encore que leur sécurité est bien assurée par un simple antivirus et un pare-feu. Pour un pays aussi friand en technologies, les statistiques sont choquantes: con compte 62% des personnes qui n’ont installé aucun utilisateur/mot de passe obligatoire pour ouvrir une session sur leur tablette, 40% pour démarrer leur smartphone, et, pire encore, plus de 31% démarrent encore leur ordinateur portable sans qu’aucune identification ne leur soit demandée. En résumé, pour faire une métaphore physique, les propriétaires de ces outils considèrent que ceux-ci sont en sécurité lorsque la tablette ou le PC se trouve dans leur mallette et le smartphone dans leur poche, comme leur porte-monnaie ou les clés de leur domicile. On voit que, sur ce point, le chemin est encore long jusqu’à ce que tous prennent conscience de ce qu’un hacker peut faire avec un laptop ou un smartphone, même en „sleeping mode”, d’autant plus si ce dernier ne demande aucun mot de passe.

Social media: des attitudes qui changent peu à peu, mais pas entièrement Les réseaux sociaux, avec toutes les controverses sur leur façon de gérer la confidentialité et le „big data”, ont commencé à susciter de nouveaux comportements et la prise d’une certaine distance critique de la part des utilisateurs de ces plate-formes, spécialement en Occident. Les institutions d’Etat ont aidé à cette prise de conscience, non seulement grâce aux campagnes de police sur les phénomènes de grooming, cyberbullying et autres violences digitales, mais aussi par des campagnes du corps médical adressées principalement aux parents et aux enfants. Celles-ci ont pour but de montrer la dépendance de nombreux jeunes aux réseaux sociaux et les changements comportementaux qu’elle implique, parfois avec des effets graves5, chez tous ceux qui deviennent des „online / social media addicts”, et ce d’autant plus que cette forme d’addiction se cumule souvent avec l’utilisation abusive du smartphone personnel, du temps passé pour jouer en ligne, deux phénomènes qui, pour leur part, sont déjà analysés depuis de nombreuses années. Si l’on considère l’aspect générationnel, l’arrivée en masse des jeunes sur les réseaux sociaux commence à définir de nouvelles modalités concernant l’utilisation de ces derniers. Les études démontrent que de plus en plus d’usagers commencent à filtrer les droits d’accès à leur

44

compte Facebook, son contenu ne devenant visible qu’à un nombre limité de relations. Les messages au contenu banal, plus court et „du moment” sont redirigés sur Twitter6. Cependant, on est encore loin de pouvoir affirmer qu’un degré même minimal de „maturité” a été atteint dans l’usage de ces réseaux. Que ce soit sur Facebook, sur Twitter ou sur d’autres systèmes gratuits, la juste utilisation des paramètres de confidentialité, in primis ceux qui concerne la géolocalisation, sont autant d’options inconnues ou ignorées de la plupart des utilisateurs. Il n’est peut-être pas inutile de rappeler ici que l’élimination physique d’un certain nombre de hauts gradés de l’armée libyenne a pu être effectuée par des bombardements de la coalition en calibrant les missiles sur la position exacte de leurs smartphones, fournie par des comptes twitter laissés activés sur ceux-ci. La génération des adolescents commence néanmoins à changer l’écosystème relationnel digital, en ce sens qu’elle est la première qui e été victime d’agressions digitales plus souvent que d’agressions physiques traditionnelles7, avec des résultats parfois dramatiques allant jusqu’à la dépression chronique ou la tentative de suicide. Dans ce sens, encore une fois grâce à des expériences „sur sa propre peau”, les adolescents n’ont pas le regard bienveillant qu’ont encore de nombreux adultes face aux réseaux sociaux. Plus encore, les jeunes sont les premiers à utiliser ces réseaux comme moyen „d’intox” et non „d’info”… avec de faux profils, de fausses identités, tandis que les adultes, par exemple, ont encore tendance à croire que ces systèmes, surtout les soi-disant réseaux professionnels, ne comportent que très peu de fausses identités… Il reste toutefois à expliquer encore et toujours le problème de la responsabilité individuelle, comme on l’a vu avec la dénonciation du protocole U.E.-U.S.A. „Safe Harbour” de la part de l’U.E. fin 2015 et tous les pas en arrière faits depuis par cette même U.E. dès les premières semaines de 2016. Le nœud gordien du problème reste en effet lié au contrat que chacun d’entre nous signe – sans en lire les clauses étalées sur des dizaines de pages – lorsque nous adhérons à un réseau social et donnons, d’un simple clic de souris, notre accord aux termes et conditions fixées par celui-ci. On voit bien que, plus qu’une affaire entre Etats, il s’agit bel et bien de clauses d’un contrat commercial (même si „gratuit”) passé entre un consommateur et un fournisseur8.

L’alter-ego „online”, si différent de l’homme „en chair et en os”… Malgré ce qui précède, une large majorité de citoyens ont encore un sentiment de liberté totale, voire de désinhibition, quand ils sont en ligne, bien différent de leurs expressions réelles dans la vie physique de tous les jours. Comme une sorte de revanche en réponse à une société urbaine où les relations sociales réelles sont de plus en plus réduites, les réseaux sociaux ont un rôle thérapeutique, de contrepoids presque total: ceux qui n’ont que peu de relations en ville ont des milliers „d’amis” virtuels, les individus aux caractères les plus introvertis deviennent incroyablement affables lorsqu’ils se sentent protégés par l’interface constituée par l’écran… Cet impact des relations virtuelles sur l’égo et le sentiment de bien-être, pour lequel nous avons enfin des études faites sur une durée et des quantités de tests suffisants9, constitue la recette du succès des réseaux. Mais en même temps, malheureusement, par l’imprudence des utilisateurs,


ils deviennent la boîte de Pandore de la criminalité organisée grâce à l’ingénierie sociale, l’imposture et la fraude10. Psychologiquement, on continue à assister à une véritable révolution en ce qui concerne la relation de l’homme à son environnement réel par rapport à son environnement virtuel, un phénomène dont l’ampleur ne semble nullement décélérer, bien au contraire. De nombreuses études sémantiques sur le comportement humain et ses expressions en ligne en général montrent une ouverture presque enfantine11 qui a été scientifiquement baptisée, de „e-language” ou „Language of the Inbox”.

BYOD (Bring your own device), toujours et encore BYOD Même les pays „mûrs”, i.e. les U.S.A. et les pays occidentaux, n’ont pas encore véritablement changé leur attitude générale en ce qui concerne la liberté des employés de pouvoir travailler au bureau avec leur propre laptop ou smartphone. Néanmoins, dans les grandes puissances économiques (U.S.A., U.K., France, Allemagne, Japon...) les statistiques sont descendues enfin au-dessous de 45% de BYOD par rapport aux appareils standard fournis par l’employeur, le phénomène étant encore en pleine explosion dans les économies émergentes (Russie, Brésil, Afrique du Sud...) où la moyenne se situe encore au-dessus de 60% de BYOD, pour atteindre 85% dans certains pays comme l’Inde ou les Emirats Arabes Unis12. Ici aussi, les enquêtes les plus récentes ont montré que le phénomène n’est plus une menace en soi, sauf si son utilisation n’est pas encadrée par des règlements organiques et par des accès sécurisés aux réseaux de l’entreprise. En revanche, un phénomène des plus dangereux a été par trop longtemps sous-estimé: l’utilisation des dispositifs mobiles comme VPN (virtual private network) au sein d’entreprises dont le réseau wi-fi propre interdit aux employés d’accéder à de nombreux types de sites, de serveurs de courriels personnels ou de réseaux sociaux. C’est ainsi que le problème s’est déplacé du BYOD-laptop au BYOD-smartphone, ce dernier devenant un outil extraordinaire d’espionnage industriel, vol de données, etc. dès qu’il est utilisé sans être compris ou, pire, de façon malveillante.

Tolerance totale ou tolerance 0? Dans ce contexte, parmi les spécialistes en sécurité, on observe désormais un débat d’une rare intensité entre deux points de vue diamétralement opposés.

Le premier, le plus conventionnel, réunit tous ceux qui sont convaincus que le phénomène du BYOD et des comportements erronés qui lui sont associés peuvent être contrecarrés par des mesures techniques, comme la séparation des serveurs de courriel professionnel13, ou l’augmentation des contrôles dans la définition, la limitation et la traçabilité des accès au cloud de l’entreprise14. Le second, promu en général par des experts en confidentialité, est parfaitement résumé dans l’approche de Dan Amiga15, ancien Intelligence software security architect des Forces Armées Israéliennes, qui soutient avec fermeté que toutes les entreprises devraient mettre en œuvre une discipline de travail avec un niveau quasi-militaire en ce qui concerne la sécurité, impliquant une politique de tolérance zéro pour tous ceux qui enfreignent volontairement ou involontairement. Il semble évident que les deux „camps” proposent des éléments pragmatiques et des motivations fondées dans leurs concepts, et que l’application d’une politique sécuritaire d’entreprise réussie devra se situer quelque part au milieu de ces deux ensembles de mesures, en fonction du degré d’intérêt – et donc de confidentialité – des brevets, des activités et des données stockées par chaque compagnie. Néanmoins, les deux méthodes, pour être appliquées avec succès, se confrontent en premier lieu à un problème récurrent, à savoir le manque de culture de base en ce qui concerne les risques et les enjeux de la cyber-sécurité. Ce n’est que lorsque chaque employé, CEO compris, aura compris pleinement les dangers présents dans le monde virtuel que de nombreuses erreurs pourront être évitées et qu’aussi bien une tolérance zéro qu’une tolérance totale basée sur la responsabilité pourront être acceptées par tous. C’est aussi une lutte qui reste, en ce moment, incompatible avec les modes de la psychologie du travail, qui continue en général à plaider pour un accès libre à l’internet en tant que stimulateur du bien-être des employés et donc de leur productivité. Une éducation de base en milieu professionnel serait ainsi une excellente solution pour tous, bien au-delà de l’entreprise. Puisque chaque cadre, chaque employé a aussi une famille, des enfants, des amis, ses nouvelles connaissances, acquises sur son lieu de travail seraient automatiquement disséminées bien au-delà, faisant de l’entreprise une nouvelle composante, à part entière, avec des conséquences exponentielles en ce qui concerne le nombre de citoyens informés par ce biais. Les entreprises, négligées jusqu’ici dans ce domaine, peuvent devenir un moteur majeur dans la prise de conscience des enjeux de la cyber-sécurité, ce qu’ont parfaitement compris les auteurs de la partie du „Child Online Protection” publiée par l’UIT et qui est destinée aux entreprises du secteur industriel et des Télécoms16.

45


ds Trends - Cybersecurity Tren Les médias généralistes et les „Breaking News”: vecteurs d’épouvante ou de prise de conscience? Les médias généralistes conventionnels (radio, tv, journaux), dans leur forme traditionnelle ou en variante digitale, offrent encore la plus capillaire des disséminations d’une nouvelle donnée. Néanmoins, le format conféré à celle-ci, trop souvent à caractère sensationnel ou résumé à outrance, ne permet pas d’offrir au public des informations claires sur des thèmes aussi complexes que celui de la cyber-sécurité. Aussi, les „Breaking News” traitant de ce domaine ont le plus souvent un impact négatif, générant parfois des peurs frisant l’épouvante. On assiste ainsi, comme effet collatéral de cette façon de rendre l’information, à un alarmisme croissant des citoyens, dégénérant souvent dans des „théories de la conspiration” ou à d’autres interprétations tout aussi éloignées de la réalité. On ne peut encore aucunement, en Europe, parler des médias généralistes comme vecteurs de prise de conscience. Dans l’une des rares études analysant la perception des citoyens de tous les pays de l’U.E. et leur sentiment de „victimisation” (i.e. de pouvoir être ou d’avoir déjà été victimes d’abus et d’usurpation d’identité), on remarque par exemple un résultat paradoxal: parmi les citoyens les plus „inquiets”, on retrouve la Roumanie, en tête du sondage, ou encore la Bulgarie, mais aussi l’Irlande, l’Autriche ou la Grande-Bretagne17. Mais les causes qui ont généré ce sentiment y sont radicalement différentes.

Grafic dupa Williams, op. cit., fig. 3, p. 36

En Irlande, en Autriche et en Grande-Bretagne, l’Etat et les organismes autorisés ont lancé, à travers les médias, des campagnes à fort caractère émotionnel destinées à inciter leurs citoyens à s’informer et à accéder aux matériaux postés en ligne par les difflérentes autorités

46

compétentes. Ceci a eu l’avantage de susciter de nombreux débats, dont le premier effet, instinctif, a été une croissance de la peur des citoyens, suivi par une augmentation massive de la fréquentation des sites de prévention. En Roumanie et en Bulgarie en revanche, les médias n’ont fait que de répandre des nouvelles alarmistes, sans offrir le moindre débat. Ces actions, qui viennent se cumuler à un profon désenchantement des citoyens en matière sociale et politique, ont eu un effet dévastateur pour l’image des Institutions publiques compétentes et la confiance des citoyens dans l’Etat pour les protéger dans le milieu virtuel. L’absence d’une réponse puissante et concertée de la part de l’Etat sur ces mêmes canaux, à l’exception de quelques spots récents de la Police et du CERT-RO, a renforcé un sentiment biaisé, puisqu’il existe en Roumanie, comme en Bulgarie, de nombreux matériaux de prévention simples, utiles et éducationnels, aussi bien sur les sites de la Police, des Services de Renseignements Intérieurs, du CERT-RO, des ministères compétents et de nombreuses ONG. Pire encore, ces pays font face à une situation de ‘réflexes humains instinctifs’ qui n’ont rien à voir avec la réalité (nombre d’effractions) ni avec la situation des citoyens, qui n’ont qu’une identité virtuelle de „e-citoyen” très réduite par rapport à celui d’un Autrichien, d’un Britannique ou d’un Suisse. On est donc dans le classique cas de figure de l’impression d’insécurité que chacun d’entre nous a (ou pas) dans l’environnement urbain réel dans lequel il vit, ce qui est magistralement souligné par l’étude en question. Aux Etats-Unis, au contraire, un breaking news alarmant, publié le 24 février par le plus lu des journaux du pays, USA Today18, est enfin parvenu à susciter un débat productif et national, suivi par la publication, dans ce même journal, d’une série de conseils de base destinés aux citoyens. Le cas était en effet inquiétant: à l’atterrissage d’un vol interne DallasRaleigh, le journaliste Steven Petrow, qui avait passé tout son temps à bord en utilisant le „on-board internet” fourni par l’opérateur agrée par la compagnie aérienne, a été abordé par un hacker qui lui a répété de mémoire, mot à mot, des fragments choisis parmi les courriels que le journaliste avait transmis depuis l’avion. La compagnie responsable du système d’exploitation a rapidement reconnu que de telles brèches sont possibles, et s’est limitée à recommander de ne pas utiliser ses services sans un VPN et d’autres protections de qualité mais aussi, un comble, „de ne pas accéder ou envoyer pas ses services des documents confidentiels” ni par le „on-board internet”, ni par les réseaux wi-fi qu’elle détient à terre. Cet article a suscité une vague d’indignations et sera suivi, très probablement, d’enquêtes et de procès, puisque les U.S.A. ont pour base morale, dans de tels cas, un concept étendu de „liability” ce qui implique que si la compagnie aérienne a choisi ce fournisseur, elle porte automatiquement une partie de la responsabilité. Ainsi, dans un journal qui a l’impact de celui que nous avons mentionné, la publication de la discussion avec l’un des avocats de l’American Civil Liberties Union vaut – en termes de prévention - autant que des centaines de spots publicitaires institutionnels. Ce dernier, à la question: „Qui est ici en danger?”, a répondu: „Quiconque fait aveuglément confiance à la sécurité des outils technologiques”, poursuivant sa déclaration par plusieurs conseils simples, utiles et compréhensibles pour les utilisateurs d’internet.


Tous ces exemples nous permettent de voir comment l’Etat, les ONG et les spécialistes devraient faire l’effort de mieux collaborer avec ces organes de presse et les „utiliser” pour offrir des bases d’éducation préventive à leurs concitoyens.

Conclusion: l’identité digitale, c’est quoi au juste et qui la protège? Tout ce qui précède nous amène en fait à un seul concept: l’identité digitale et la confidentialité. C’est ici que réside la plus grande asymétrie comportementale possible. D’une part, une grande majorité de citoyens sont prudents, sceptiques voire hostiles lorsque l’on évoque des lois, des mesures ou les pouvoirs des institutions qui ont pour objectif d’intervenir dans ce domaine, le tout étant déjà englobé dans une appellation à la connotation négative: „big brother”. D’autre part, l’attraction instinctive de la majorité d’entre nous pour tout ce qui est gratuit (courriel, réseaux, espaces de stockage) est encore énorme par rapport aux citoyens qui sont d’accord d’investir des sommes d’argent – même minimes – pour bénéficier de services similaires proposés par des fournisseurs garantissant par contrat un certain degré de confidentialité et de sécurité. Etre un citoyen digital présuppose de savoir que tout service gratuit se paie en… données personnelles, qui valent aujourd’hui bien plus que les quelque dizaines de francs par mois nécessaires pour s’assurer les services d’un fournisseur de confiance19. Plus encore, les études mentionnées, et une pléiade d’autres similaires, démontrent que le citoyen est le premier responsable de ses propres données et de son identité, puisque le contexte juridique créé par la globalisation des services (réseaux, browsers, softwares, systèmes operatifs) ne nous permet plus d’attendre d’être à 100% protégés par l’Etat dont nous sommes citoyens ou dans lequel nous avons choisi de vivre et de travailler20. Indifféremment du cadre légal, national ou européen, chaque end-user, chaque citoyen doit être conscient qu’il porte une lourde responsabilité dans ses choix d’outils technologiques et digitaux, de même dans que dans les contenus qu’il poste sur la toile. Une fois cette prise de conscience réalisée, il n’est pas inutile que le citoyen apprenne à utiliser les outils gratuits offerts par l’OSINT (Open source intelligence) afin de vérifier ponctuellement ce qui existe sur lui dans le web – informations qu’il a lui-même posté puis cru effacer ou informations postées par d’autres. Jusqu’à ce que nous définissions tous ensemble un framework plus restrictif, si telle est la volonté des citoyens, le concept américain de liability, dans son sens large, est de loin le plus convaincant, aussi bien pour les citoyens que pour les entreprises. Le „bon vieux” texte de Steven Caponi, publié en 2013 sur le blog de Reuters, reste une excellente lecture pour regarder le monde digital comme acteur et non comme victime21; cette plaidoirie, destinée aux dirigeants et aux conseils d’administration des entreprises américaines, qui sont désormais légalement responsables en cas de préjudices causés par la cybercriminalité, est plaisant à lire et révèle que chacun d’entre nous, en fin de compte, est le responsable légal des informations qu’il détient et pour l’usage qu’il fait de la technologie. Ce n’est qu’ensuite qu’interviennent les solutions techniques, qui sont nombreuses et souvent excellentes – et pas forcément onéreuses –, mais

celles-ci ne parviendront jamais à prévenir ou à restaurer les dommages créés par la naïveté humaine et la confiance accordée à des inconnus rencontrés uniquement dans le monde virtuel. Comme l’écrit Luca Tenzi dans son article, il est grand temps d’abandonner les concepts vieillis et antagonistes de sécurité physique et de sécurité digitale et de réapprendre les bases de la prudence, un concept qui, dans les grandes multinationales, porte le nom idoine de sécurité logique.

Note: 1 Victor R.L. Shen, Cheng-Ying Yang, Chien Hung Chen, A smart home management system with hierarchical behavior suggestion and recovery mechanism, in Computer Standards & Interfaces 41 (2015), pp. 98-111 2 Tainyi (Ted) Luor, Hsi-Peng Lu, Hueiju Yu, Yinshiu Lu, Exploring the critical quality attributes and models of smart homes, in Maturitas 82 (2015), pp. 377-386 3 Martin Henze, Lars Hermerschmidt, Daniel Kerpen, Roger Fling, Bernhard Rumpec, Klaus Wehrle, A comprehensive approach to privacy in the cloudbased Internet of Things, in Future Generation Computer Systems 56 (2016), pp. 701-718 4 Jon D. Elhai, Brian J. Hall, Anxiety about internet hacking: Results from a community sample, in Computers in Human Behavior 54 (2016) 180-185 5 Nikos Xanidis, Catherine M. Brignell, The association between the use of social network sites, sleep quality and cognitive function during the day, in Computers in Human Behavior 55 (2016), pp. 121-126 6 Francesco Buccafurri, Gianluca Lax, Serena Nicolazzo, Antonino Nocera, Comparing Twitter and Facebook user behavior: Privacy and other aspects, in Computers in Human Behavior 52 (2015), pp. 87-95 7 Tracy E. Waasdorp, Catherine P. Bradshaw, The Overlap Between Cyberbullying and Traditional Bullying, in Journal of Adolescent Health 56 (2015), pp. 483-488 8 Jeffrey T. Child, Shawn C. Starcher, Fuzzy Facebook privacy boundaries: Exploring mediated lurking, vague-booking, and Facebook privacy management, in Computers in Human Behavior 54 (2016) 483-490 9 Jan-Erik Lönnqvist, Fenne grosse Deters, Facebook friends, subjective wellbeing, social support, and personality, in Computers in Human Behavior 55 (2016) 113-120 10 Ryan Heartfield and George Loukas, A taxonomy of attacks and a survey of defense mechanisms for semantic social engineering attacks. ACM Computing Surveys 48:3, Article 37 (December 2015), 39 pages 11 Heather Macdonald, The Language of the Inbox A Radical Rethinking of Hospitality, in David Goodman and Mark Freeman (eds.), Psychology and the Other, Oxford 2015, 19 pp. 12 Morufu Olalere, Mohd Taufik Abdullah, Ramlan Mahmod, Azizol Abdullah, A Review of Bring Your Own Device on Security Issues, in SAGE Open 2015:3 (April-June), pp. 1-11 13 Fernando Sanchez, Zhenhai Duan, Yingfei Dong, Blocking spam by separating end-user machines from legitimate mail server machines, in Security and Communications Networks 9 (2016), pp. 316-326 14 Nikos Fotiou, Apostolis Machas, George C. Polyzos, George Xylomenos, Access control as a service for the Cloud, in Journal of Internet Services and Applications 6:11 (2015) 15 M. Heller, Military-grade security focuses on isolation and action, Tech Target, 03/03/2016 (http://searchsecurity.techtarget.com/news/4500277986/ Military-grade-security-focuses-on-isolation-and-action) 16 ITU/D, Guidelines for Industry on Child Online Protection, revised ed. 2015 (http://www.itu.int/en/cop/Documents/bD_Broch_INDUSTRY_0909.pdf ) 17 Matthew L. Williams, Guardians upon high: an application of routine activities theory to online identity theft in Europe at the country and individual level, in British journal of Criminology 56 (2016), pp. 21-48 18 http://www.usatoday.com/story/tech/columnist/2016/02/24/got-hackedmy-mac-while-writing-story/80844720/ 19 Cf. un rezumat a problematicii in M. van Lieshout, The value of Personal Data, in J. Camenisch, S. Fischer-Hüber, M. Hansen (eds.), Privacy and Identity Management for the Future Internet in the Age of Globalisation, Cham 2015, pp. 26-38 20 Michael Searson, Marsali Hancock, Nusrat Soheil, Gregory Shepherd, Digital citizenship within global contexts, in Education and Information technologies 20 (2015), pp. 729-741 21 Steven L. Caponi, Cybersecurity and the board of directors: avoiding personal liability, , incepe pe http://blogs.reuters.com/financial-regulatoryforum/2013/07/25/cybersecurity-and-the-board-of-directors-avoidingpersonal-liability-part-i-of-iii/

47


ds Trends - Cybersecurity Tren

Vous utilisez Tinder? Cette application est-elle vraiment sûre et anonyme? auteur: Vassilios Manoussos

Vassilios Manoussos

Les utilisateurs de Tinder se croient en sécurité, puisque seul leur prénom, leur âge et les photos qu’ils ont mis en ligne sur Facebook y sont publiées. Mais ont-ils accepté d’autres conditions? Le but de cette recherche Strathclyde Forensics a mené une enquête pour déterminer à quel point les utilisateurs de Tinder (mais aussi d’autres applications similaires) pâtissent de l’utilisation de leurs données personnelles. L’objectif de notre recherche est de déterminer avec quelle facilitée un individu, sans avoir les compétences d’un spécialiste, et n’utilisant que des outils Web disponibles - comme les moteurs de recherche -, peut identifier à 100%, puis suivre à la trace les personnes qui utilisent Tinder. La recherche a été limitée à des profils féminins, en Écosse, dans un rayon de 160 km (100 miles) autour de Glasgow. Le compte utilisé était un compte gratuit, avec toutes ses limitations. L’utilisation de Tinder Tinder utilise une interface simple où images ou annonces sont affichées sur votre écran. Vous décidez alors si vous aimez (glissement du doigt vers la droite) ou non (glissement du doigt vers la gauche).

48

Une fois que vous cliquez „j’aime” sur quelqu’un qui a fait le même geste, les utilisateurs reçoivent un message les informant de cette „affinité”. Une fois que deux utilisateurs sont ainsi „associés”, ils peuvent s’envoyer un message et peuvent continuer à envoyer des messages entre eux jusqu’à ce que l’une des deux personnes choisisse de se „désassocier”. Sur le sommet de la liste des messages figurent „les instantanés” postés par les autres utilisateurs. Image 1. Un profil affiché sur l’écran d’un téléphone portable. Image 2. A gauche, „l’écran d’affinité”, et à droite la liste des messages à/de tierces „affinités” et leurs derniers instantanés.


L’interface utilisateur est simple à utiliser et n’exige pas de compétences informatiques pour quelqu’un pour maîtriser cette application. Échantillonnage L’échantillonnage a eu lieu durant plus de trois semaines, durant sept jours consécutifs. L’échantillonnage s’est déroulé durant des intervalles horaires différent, entre 8:00 du matin et 2:00 du matin. Nous n’avons fait aucun filtrage lors de la collecte des profils consécutifs ni lors de la prise de copies d’écran. Les paramètres appliqués étaient: la distance de 160 km (le maximum fixé) et la tranche d’âge complète (19 ans à 55 +). Le compte utilisé était un compte Facebook factice qui a été utilisé uniquement pour cette expérience particulière. Ce compte n’avait aucun „ami”, afin que l’expérience et l’échantillonnage ne puisse être „biaisée” par des „amis” et par „les amis des amis”. Le compte choisi était un compte gratuit, affichant un nombre limité de profils accessibles, chaque jour. Un dossier de 2’088 copies d’écran a anis été constitué. Un échantillonnage aléatoire, effectué chaque jour à partir de ces 2’088 „pièces” a permis d’obtenir 555 images. Ces images appartenaient à 155 profils, ce qui donne une moyenne de presque 3.6 images par profil.

Comment est-ce si facile d’identifier des profils en ligne?

Qu’a révélé notre recherche? Un total of 48 profils ont pu être attribués. Facebook, comme nous nous y attendions, a permis d’établir des correspondances pour 30 des 48 comptes (62.5%) mais Linkedin a constitué la plus grande surprise. Ce réseau a généré plus de correspondances que le nombre de comptes ! (cf. tableau 1).

30

76

17

15

Google + Snapchat 9

10

Mainstream Tripadvisor media 13

3

Graphique 1 Count Total photos

Open source Intelligence „L’Open source Intelligence” est un terme définissant à la collecte d’informations en utilisant des sources et des outils librement disponibles. Le but de cet exercice était de faire exactement cela. Nous avons voulu voir comment quelqu’un qui sait utiliser des outils comme Google Images, un simple éditeur de photo, des médias sociaux (c’est-à-dire Twitter et Instagram) ainsi que des réseaux sociaux personnels et professionnels (c’està-dire Facebook et LinkedIn) et les combiner avec d’autres profils publics, disponibles sur des fora, des sites de rencontre etc., pouvait rassembler des informations sur un individu, en utilisant seulement deux ou trois photos de profil, un prénom et un emplacement approximatif. Les images qui ont été choisies dans notre dossier ont été recadrées en utilisant un programme vieux de 18 ans (Microsoft Image Composer). Elles ont été alors été envoyées sur Google Images pour voir si elles rencontraient des correspondances. Les correspondances de Facebook, LinkedIn, 192.com, sites de rencontres, Instagram, Twitter, mais aussi de sites Web professionnels et gouvernementaux ont été utilisés pour vérifier ces concordances. Aucune information personnelle n’a été enregistrée. Une confirmation a été ajoutée au dossier comme simple mesure de comptabilité, puis la recherche continuait avec l’image suivante.

Facebook Linkedin Instagram Twitter

Si l’on en vient à déterminer le type de sites web, les résultats obtenus grâce à Linkedin ont compté pour 33%, suivis par ceux obtenus par Facebook (13%), puis Twitter et Instagram (7% chacun). (voir graphique 1).

Other

Dating

43

13

Tableau 1: résultats pertinents

%

555

Full nudity

0

0.00

Partial nudity

2

0.36

In swimming suit

49

8.83

In underwear

17

3.06

Children

41

7.39

Tableau 2. Sujets d’intérêt La tableau 2 résume la collection des informations jugées dignes d’intérêt et comptée pendant cette enquête. Le montant de nudité (sans aucun vêtement) est faible (0.36 %), mais compensée par le nombre de photos en bikini ou en lingerie intime (11.89 % des images). Plus de 3 % des images avaient des points de repère identifiables au Royaume-Uni et à l’étranger (incluant le Parthénon à Athènes, Stonehenge au Royaume-Uni, le Château d’Édimbourg, le Royal Mile, le Kelpies Square et le George Square à Glasgow). Une observation intéressante est que 7.39 % des images étaient celles d’enfants (seuls ou avec un adulte sur la la photo) et 4.14 % illustraient des animaux, des chiens et chats aux chevaux. Dans 24 des 48 profils reconstitués (50 %), nous avons réussi à déterminer le véritable nom complet de l’utilisateur, y compris des surnoms et des noms de jeune fille. Avec ces noms et de simples recherches,

49


ds Trends - Cybersecurity Tren uniquement sur Google, nous avons identifié 4 adresses de courriers électroniques et 3 numéros de téléphone. Dans certains cas nous avons identifié des détails sur l’emploi de la personne (en particulier sur Linkedin). Les informations professionnelles ainsi obtenues incluent parmi d’autres: Conseil municipal de Lanark Conseil municipal de Glasgow Glasgow NHS (Système de santé publique) Conservatoire Royal Université d’Édimbourg Université de Glasgow Banque TESCO RBS Quand un nom complet et un emplacement étaient identifiés, une recherche simple sur 192.com a fourni les candidats possibles. Aucune autre recherche n’a été conduite, par exemple en utilisant les services payants de 192.com. Cette partie de l’enquête a révélé que près de 68 % des personnes identifiées pourraient être ultérieurement confirmées par d’autres bases de données disponibles publiquement. Parmi les 48 profils identifiés, 155 photos ont offert des informations importantes. C’est une moyenne de 3 photos par profil offrant en ligne autant de „fils d’Arianne”. Pire, les sites web ont offert un total de 229 correspondances ou indications, soiit 4.77 % sites pour chaque profil. Au total, 48 des 155 comptes examinés ont permis d’obtenir des résultats, ce qui veux dire environ 1 profil sur 3 (30.96 %).

Observations et Conclusions Il est important de comprendre que la découverte d’informations sur quelqu’un n’est pas toujours un simple processus en série. Les pièces constituant des preuves sont interconnectées et, quelquefois, vous devez établir manuellement les relations entre les ensembles de données. Dans un cas, l’image était un dessert et Google Images a permis d’établir une correspondance avec l’établissement parisien qui le vendait, grâce à une image postée sur TripAdvisor. En vérifiant à cette page, j’ai identifié l’utilisateur avec le même nom qui figurait à Glasgow. Il avait indiqué sa ville natale et son nom complet sur TripAdvisor.

50

Bien que quelques personnes aient utilisé un pseudonyme sur Facebook ou Instagram, quand ils ont rejoint Tinder, les correspondances sont parvenues d’autres sites Web, en particulier de Linkedin, qui en a révélé aussi bien le nom réel et la profession. Les correspondances données par Linkedin étaient souvent multiples. Ainsi, une image rendrait plusieurs correspondances, renvoyant à des personnes différentes, sans qu’elles n’aient utilisé cette image comme leur photo de profil. Ces personnes se sont avérées être… les contacts professionnels du sujet. Les outils utilisés sont tous des outils gratuits du domaine public, auxquels tout un chacun, muni d’une connexion Internet, peut avoir accès. Le montant des données rassemblées, une fois que les photos ont trouvé des correspondances, est pour le moins substantiel. Le montant total des correspondances génériques constitue 30.96 % et les correspondances possibles confirmées par 192.com aboutiraient à un total de 21 %. Cela signifie que dans 1 cas sur 5, il est facile à moindre effort - et avec des logiciels gratuits! - d’établir l’adresse privée de la personne, son numéro de téléphone, des informations sur les membres de sa famille ou même sur d’autres personnes résidant à la même adresse. Certaines des observations les plus inquiétantes ne concernent pas le nombre de correspondances, mais la qualité des informations obtenues. La quantité d’images montrant des personnes en sous-vêtements ou en maillots de bain n’était pas en soi surprenante. Ce qui fut une révélation choquante, c’est le nombre d’images d’enfants que les femmes postent sur des sites de rencontre dans lesquels elles n’ont aucun contrôle sur ceux qui peuvent voir leurs images. Un total de 7.39 % de l’échantillon testé a rendu des images qui contenaient plusieurs images: 1 image sur 13 images. Ceci est sans doute la seule découverte que nous n’avions pas prévu au début de cette enquête. D’autres éléments identifiables comme des animaux (par exemple des chevaux de trot), des points de repère et des photos de congés, sont autant d’aides offertes à quelqu’un qui désirerait construire un profil plus précis pour chacune des femmes dans ces profils. En général, cette étude a confirmé les soupçons que les gens sont exposés à des risques, via des applications comme Tinder, bien plus qu’ils ne peuvent le croire ou le comprendre. Il est aussi évident que les utilisateurs ne comprennent pas l’étendue de la prise de risque concernant leurs données personnelles, en raison de l’absence d’une commande permettant d’établir ses propres restrictions dans Tinder, mais aussi à cause du sur-partage d’informations qu’ils postent dans d’autres sites Web. Ce dont les utilisateurs de Tinder et d’autres services similaires devraient s’inquiéter, c’est à quel point ils s’exposent en réalité, eux-mêmes et leurs familles, particulièrement à des agressions de la part de harceleurs, d’anciens partenaires et d’autres personnes aux intentions malveillantes.


51


Trends - Cybersecurity Trends

Comment hacker ses amis et sa famille! Les lacunes de l’ingénierie sociale. auteur: Vassilios Manoussos

Vassilios Manoussos

Introduction Les services Web comme Webmail et les réseaux sociaux (comme Facebook) fonctionnent sur la base d’une vérification un une seule étape. Vous tapez votre nom de compte ou de courrier électronique, votre mot de passe et vous êtes en ligne.

BIO Vassilios Manoussos, MSc.,PGC,BSc,AAS Consiultant en Forensique Digitale & E-Crime Vassilios Manoussos travaille depuis plus de 27 ans pour des compagnies comme: IBM, Abbey National ou encore HM Civil Service Il a une expérience de 7 ans en forensique digitale et a conduit des enquêtes et réalisé des rapports sur des infractions et des cas civils, familiaux ou concernant des recrutements, y inclus les célèbres cas Artur Boruc vs - News of the World, le cas Mecca Bing Jackpot, mais aussi des cas d’infractions impliquant des crimes violents ou de la pornographie infantile. Il est co-fondateur de la Digital Forensics Society de Grande Bretagne, et enseigne à l’Université Napier d’Edinbourg, où il mène de nombreux projets, Vassilios Manoussos est propriétaire de Strathclyde Forensics, l’une des compagnies de consultance dans le domaine de la forensique les plus respectées d’Ecosse et du Nord u Royaume-Uni. Il possède des certificats en Business (Sunderland University), un BSc Business et est Associate in Applied Science (AAS) à l’American College of Greece. Mr Manoussos peut être joint sur: vassilis@strathclydeforensics.co.uk ou via Linkedin.

52

Nous avons tous, à un moment donné, oublié nos mots de passe et nous avons essayé de les récupérer. Cette opération se base sur votre capacité de répondre à votre question de sécurité ou à recevoir un lien un code transmis à autre compte de courriel ou à votre téléphone portable. Les mots de passe et les questions de sécurité sont sensés prévenir l’intrusion d’étrangers dans votre compte. Bien que de nos jours nous ayons de plus en plus d’options pour choisir les questions de sécurité, on continue à opter, le plus souvent, pour les plus faciles: le nom de jeune fille de votre mère, le nom de votre premier animal de compagnie, le nom de la première école que vous avez fréquenté, la rue vous avez vécu. Et c’est ce besoin de réponses simples qui devient un outil idéal pour les experts en ingénierie sociale.

L’ingénierie sociale L’ingénierie sociale est un ensemble de compétences et de processus grâce auxquels quelqu’un vous convainc de fournir des informations sur les authentifications de connexion ou d’autres renseignements importants, et ce avec votre propre consentement. La majeure partie des piratages informatiques est constituée de processus comme le phishing où les gens sont dupés pour donner leurs mots de passe. Le piratage informatique technique, quant à lui, est plus compliqué, consommateur de temps et ne vaut pas toujours le temps dont vous avez besoin pour voler un mot de passe à quelqu’un. Je crois que c’est Houdini qui a affirmé que les coffres forts sont conçus pour empêcher les gens d’y entrer, pas d’en sortir. De la même façon, les mots de passe et les questions de sécurité sont conçus pour garder les étrangers éloignés de vos données, mais peuvent-ils en réalité tenir à distance vos amis et votre famille?

Hacker un ami ou un cousin Disons vous voulez hacker les comptes d’un ami ou un membre de la famille. Ceci peut en réalité être plus facile que la plupart des personnes ne peuvent l’imaginer. La raison est que vous pouvez déjà savoir les réponses à certaines des questions de sécurité. Le premier pas dans ce processus est de se décider quel compte hacker d’abord et pourquoi. Disons que la personne qui vous intéresse a les comptes suivants: Un compte de Hotmail Un compte Facebook Un compte de Paypal Un compte Skype Lequel parmi ceux-ci choisissez-vous de pirater en premier?


Première étape: le compte de courrier électronique Il est un choix qui a un avantage compétitif évident sur les autres trois. Le compte de Hotmail. Ceci pourrait bien sûr être Yahoo ou Gmail ou un autre compte de courrier électronique. La raison de le pirater n’est pas parce que c’est plus facile, mais parce qu’il a très probablement été utilisé pour installer tous les trois autres comptes, et une fois que vous en avez le contrôle, vous pouvez créer de nouveaux mots de passe pour tous les autres. Donc, tout que vous devez faire est de déclarer que vous avez oublié votre mot de passe, insérer l’adresse du courrier électronique que vous voulez usurper et arriver à ce menu.

Vous n’avez évidemment pas d’accès au courrier électronique supplémentaire ou au portable de la victime, donc vous cliquez sur la dernière option. On vous demande alors de fournir un courrier électronique où le site peut entrer en contact vous et l’étape suivante est de vous poser une série de questions. Selon les paramètres du compte ciblé, vous devrez répondre aux questions de sécurité et obtenir l’accès instantané, ou bien vous devrez répondre à quelques questions de plus. Si vous avez eu des échanges de courrier électronique avec votre victime, vous pouvez facilement répondre aux questions comme „des adresses électroniques que vous avez envoyées par courriel” ou „sujets de messages envoyés”. Le reste des questions est en général constitué par le nom de la victime, son code postal, sa ville, le nom de jeune fille de sa mère, son anniversaire etc. Si tout se passe bien et vous répondez correctement à un pourcentage raisonnable – et non exhaustif! - des questions, vous recevrez alors un courrier remis au courrier électronique vous avez vous-même fourni. Vous cliquerez simplement sur le lien, entrerez dans courrier électronique de la victime et changerez aussi bien les questions de sécurité que le mot de passe. Deuxième étape: le compte Facebook Une fois que vous avez l’accès au compte de courrier électronique qui est utilisé pour Facebook, vous allez simplement sur Facebook et cliquez sur le lien „Oublié sur votre mot de passe?”. Vous fournissez ensuite l’adresse électronique que vous venez d’usurper. Vous arriverez à un écran comme ceci:

Tout ce que vous devez faire est de cliquer sur la première option et obtenir ensuite un lien de reconfiguration. Une fois que vous l’avez obtenu, vous changez le mot de passe et les questions de sécurité sur Facebook. Rappelez-vous de changer les courriers électroniques et les téléphones portables de sauvetage. Ceci peut prendre du temps et cela peut permettre au vrai propriétaire d’essayer (et de réussir peut-être) d’’accéder au compte. Si vous persistez, vous serez peut-être exclu provisoirement. Une chose qui est arrivée dans le passé, c’est que si Facebook constate beaucoup de changements, il vous incitera à identifier les gens étiquetés („taggés”) dans les photos du compte que vous piratez. Si vous connaissez ces gens, vous pourrez facilement choisir les noms corrects (c’est un questionnaire à choix multiple!). Troisième étape: les autres comptes Une fois que vous contrôlez l’accès à Facebook, vous pouvez essayer de reconfigurer à peu près de la même façon les comptes Paypal et Skype. Une fois que vous détenez le compte du courrier électronique, vous pouvez parcourir les courriels reçus et envoyés, et voir dans quels autres sites Web la victime a des comptes. Le même processus s’applique. L’un des aspects les plus sensibles est l’accès que vous aurez, en fonction du pays, à la réinitialisation de comptes avec l’administration fiscale, d’autres agences gouvernementales et dans, certains pays avec votre banque ou émetteur de carte de crédit. En Grande Bretagne, par exemple, le courrier électronique ne vous permettra pas l’accès à un compte bancaire.

Qu’avez-vous appris? Le but de cet article n’est pas de faire de vous des pirates informatiques ou de faciliter des activités criminelles. Bien au contraire. Il veut vous montrer à quel point il est facile de perdre le contrôle de vos avatars numériques. Et, alors que vous pouvez craindre que votre courrier électronique soit hacké par un pirate informatique russe ou chinois, la vérité est que c’est peut-être votre ex-petite amie, votre cousin ou votre partenaire jaloux qui est en train de le faire. Il y a trop d’idées reçues sur le piratage informatique et la sécurité. Cet cet article n’a pour seule prétention que faire un peu de lumière sur le fait que l’ennemi peut être bien plus proche que vous ne le pensez et que votre perception de sécurité n’est peut-être aussi imperméable que vous l’avez imaginé à l’origine.

Que devriez-vous faire si quelque chose comme cela vous arrive? Si vous pensez que votre courrier électronique est usurpé, la première chose que vous devriez faire est d’essayer de changer les mots de passe d’autres sites Web associés à ce courrier électronique.

53


Trends - Cybersecurity Trends

4 5 6

Commencez avec les les plus importants, comme Paypal. Continuez avec les réseaux sociaux et, enfin, avec les sites Web auxquels vous êtes abonnés, comme des magazines en ligne etc. Etablissez vos priorités, et faites déjà un plan sur comment réagir en cas d’infraction. Appelez un expert. S’il y a sur vos comptes plus que de simples images prises lors de vos congés, appelez un expert dès que possible. Plus de temps vous perdrez, plus grande sera la probabilité que vous ne puissiez récupérer que peu ou rien de ce qui était à vous.

Optez pour les alertes de sécurité par notifications SMS lorsque ceci est possible et enregistrez le numéro de votre téléphone portable comme l’un des moyens de remettre à jour votre mot de passe. N’utilisez pas de questions de sécurité telles que le nom des animaux de compagnie et les noms de jeune fille. Si vous avez la possibilité, créez vos propres questions. Souvenez-vous: si quelqu’un pirate votre compte de courrier électronique, il verra vos questions de sécurité et les réponses à leur apporter réponses, puis les utilisera pour avoir accès à d’autres comptes, même si ce courrier électronique ne leur est pas lié.

Que pouvez-vous faire pour empêcher cela d’arriver?

7

Aucune sécurité n’est parfaite. Et si vous êtes intelligents, il y a toujours quelqu’un de plus intelligent que vous. Cependant, vous pouvez facilement minimiser le risque de tout perdre seulement parce que votre courrier électronique a été piraté: N’utilisez pas le même courrier électronique pour tous vos réseaux sociaux N’utilisez pas le même courrier électronique pour les réseaux sociaux et pour les sites Web comme Paypal et EBay. Créez des ensembles différents de questions de sécurité. Si vous voulez créer des réponses fausses, faites-le et notez ces dernières sur un agenda gardé en lieu sûr à la maison.

1 2 3

Une publication

Pour conclure, un conseil que je répète toujours: utilisez votre bon sens!

Et... la clause de non-responsabilité! Cet article est une démonstration de faisabilité. Il n’encourage en aucun cas à pirater les comptes d’autres personnes, ce qui est parfois illégal. Comme l’immigré clandestin, tout dépend de votre passeport et de la juridiction à laquelle vous êtes soumis lorsque vous décidez de faire quelque chose comme cela. Au Royaume-Uni, cela est complètement illégal. DONC, NE HACKEZ PAS LES COMPTES D’AUTRUI! Toutes les informations de cet article sont du domaine public.

get to know!

et

Pour le compte de

Note copyright: Copyright © 2016 Pear Media SRL et Swiss WebAcademy. Tous droits. Le matériel original imprimé dans ce volume appartient à Pear Media SRL et à Swiss WebAcademy.

ISSN 2393 – 4778 ISSN-L 2393 – 4778

Traductions: Laurent Chrzanovski Adresse: Bd. Dimitrie Cantemir nr. 12-14, sc. D, et. 2, ap. 10, secteur 4, 040243 Bucarest, Roumanie Tel.: 021-3309282; Fax 021-3309285

54

http://www.agora.ro http://cybersecuritytrends.ro http://swissacademy.eu


�--...-...-,....:r

CYBERSECURITY IN ROMANIA CONGRESS 4

th

Edition

Le CLUSIS, le Département de l'Economie et de la Sécurité du Canton de Genève, mais aussi les Postes Italiennes ou encore le Service de Télécommunication Spéciales de la République de Moldavie ont rejoint cette année les partenaires institutionnels et professionnels du congrès macro-régional "Cybersecurity in Romania": quelques explications sur cet événement à part.

Les 14, 15 et 16 septembre prochains, à Sibiu, ce sera bien plus qu'un congrès qui plongera les participants dans le monde de la cyber-sécurité. En effet, depuis quatre ans, nous organisons la seule plateforme de dialogue multiple d'Europe centrale entre les différents acteurs du "monde digital': Ce concept s'appuie sur le respect par tous les orateurs de deux règles d'or : les présentations, toutes exclusivement en anglais,sontobligatoirement non-marketing et non-techniques. L'organisateur a l'obligation, quant à lui, de faire cet événement sans but lucratif, et de le gérer avec neutralité et objectivité. C'est ainsi que l'ONU, via l'Union Internationale des Communications, ainsi que !'Ambassade de Suisse en Roumanie sont les garants, par la présence de leurs plus hauts représentants, du bon déroulement de l'opération et du respect scrupuleux de ces trois points. Les partenariats dont nous honorent la Police Nationale Roumaine (IGPR), les Services de Renseignements Intérieurs roumains (SRI), le régulateur national des télécommunications (ANCOM), mais aussi l'aide et l'implication massive du Département de Sibiu et de l'Université de Sibiu ont grandement contribué à amener vers le public un panel de représentants de l'Etat Roumain flanqué d'un panel de spécialistes de renommée mondiale, facilitant ainsi le dialogue nécessaire entre toutes les parties. Du côté des associations professionnelles spécialisées, le congrès compte sur l'appui et le support de l'Association des Auditeurs de Franche-Comté de l'Institut des Hautes Etudes de la Défense Nationale, de l'ANSSI (contrepartie roumaine du CLUSIS), de l'ARASEC (Association Roumaine pour la Sécurité Informatique) et de l'ANIS (Association Nationale des patrons et employés des entreprises actives dans les TIC). Ce concept est l'un des rares, dans la vaste galaxie d'événements dédiés à la "cyber-sécurité" où une ONG peut être réellement utile. Notre priorité est d'assurer une interaction optimale entre les utilisateurs (citoyens, patrons, hommes d'affaires), les analystes de spécialité, les représentants des Institutions concernées de des Institutions nationales et internationales, et enfin les fournisseurs de solutions de sécurité, c'est-à-dire les grandes compagnies dont les produits sont spécialisés dans ce domaine. De plus, le nombre de pays représentés garantit la multi-culturalité et l'échange d'informations concernant les problèmes et les solutions rencontrés dans des milieux parfois semblables, parfois très différents. Nous sommes convaincus - après les trois éditions précédentes - que l'aspect informel de la rencontre, qui n'est organisée ni par l'Etat ni par une Compagnie impliquée dans la vente de solutions, a grandement aidé à créer, dans tous les moments de relâche (pauses, déjeuners, dîners), l'atmosphère propice pour un dialogue constructif utile à tous.

Nous nous réjouissons de vous y accueillir!



Protégéz vos enfants! Téléchargez les guides de l’UIT


30&* 0 0 8 1 &" 8 ) "0*48 " /0+ , 8 7 8 #0 - 8 $8 ' 5#

2 8

6 5. 068 8 % (,! 0 (%8


Turn static files into dynamic content formats.

Create a flipbook
Issuu converts static files into: digital portfolios, online yearbooks, online catalogs, digital photo albums and more. Sign up and create your flipbook.