"Se faire battre est excusable, se faire surprendre est impardonnable" Napoléon
| La Commission européenne a adopté mercredi une série de recommandations dont l'objectif est de rendre l'internet plus sûr pour les particuliers et les entreprises. Le document de la Commission définit la sécurité des réseaux et de l'information, décrit les principales menaces qui pèsent sur la sécurité (virus, piratage, interception, etc) et en conclut qu'une plus grande collaboration s'impose pour résoudre les problèmes. Selon la Commission, la sensibilisation des utilisateurs est un élément essentiel. Ceux-ci doivent être à même de choisir en connaissance de cause le niveau de sécurité qu'ils désirent en fonction du contexte. Face aux virus, la Commission propose une mise en réseau plus efficace des systèmes européens de détection et d'information. La Commission préconise aussi d'encourager une plus grande collaboration en matière de solutions techniques pour la sécurité et de développer des solutions compatibles. L'éxécutif européen attire aussi l'attention sur la responsabilité des administrations publiques en ce qui concerne leurs propres systèmes. En particulier, elle souligne que les échanges de données à caractère médical, financier et personnel avec les administrations comptent parmi les plus sensibles. Du point de vue juridique, la Commission dressera un inventaire des mesures nationales. Elle entend aussi proposer une mesure législative au niveau européen en matière d'attaques contre les systèmes informatiques, y compris le piratage. AFP 06.06.2001 | En piratant la page d´accueil de themes.org, un autre portail de la communauté du logiciel libre, l´auteur du hack de SourceForge et Apache, donne sa vision de son acte. Le 30 mai, un communiqué de SourceForge, un site consacré à l´open source, expliquait comment un pirate avait pu récupérer les logins et mots de passe du staff. Cette mise au point, digne d´une entreprise commerciale, tendait à minimiser la portée de l´événement. À l´inverse, l´Apache Software Foundation (ASF) avait fourni moult détails et expliqué toute la portée du piratage. Qui plus est, Apache.org fournissait des détails techniques sur la manière dont le pirate avait agi. Hier, ledit pirate a hacké la page d´accueil de Themes.org, un autre portail de la communauté du logiciel libre où les utilisateurs se fournissent en thèmes, la "décoration" de l´environnement du bureau sous Linux. Cinq mois de hack Le pirate y commente point par point les affirmations de SourceForge. Selon "fluffy", c´est comme cela qu´il se fait appeler, Sourceforge était hacké depuis 5 mois et non pas une semaine. Il avait, dit-il, modifié le client SSH, ce qui lui a permis de récupérer les logins et mots de passe pour les connexions SSH de membres de Sourceforge. Des membres de Sourceforge ayant des accès sur le réseau de l´ASF, il a pu y accéder . Et "laisser quelques goodies dans le code". Les affirmations du pirate sont impossibles à vérifier. À moins d´être en contact avec lui et d´obtenir des preuves. Et encore... Ce qui est certain c´est que Apache.org n´a pas été corrompu bien longtemps. Au pire une nuit. Mais Fluffy explique qu´il a bien piraté autre chose que ce qui est annoncé par Sourceforge. La preuve, selon lui : le hack de themes.org. Il sous-entend encore que le réseau de Akamai est troué. Ce qui, comme il le laisse percevoir, serait assez intéressant en matière de Denial of Service..transfert.net 01.06.2001 | Le fameux anonymat des internautes surfant dans les cybercafés donne des sueurs froides aux policiers européens en charge de la cybercriminalité... Toute cette agitation provient d'un groupe de travail du Conseil européen (l'exécutif de l'UE) chargé de la "coopération policière". Ce groupe d'experts, Enfopol, n'est pas parvenu à imposer ses visions liberticides lors du conseil des 28 et 29 mai qui réunissait les 15 ministres chargés de la Justice et des affaires intérieures. Comme la rapporté Libération mercredi, il semble que ce soit l'Allemagne qui ait insisté pour que ce projet de résolution passe (provisoirement) à la trappe. À l'origine, cette résolution devait intensifier la surveillance de l'internet (grâce aux logs de connexion, qui permettent d'identifier les usagers) et de tous les nouveaux modes de communications. La réaction de la presse en a retardé l'échéance. Encore des fuites chez Enfopol Mais l'organisation britannique Statewatch, qui a alerté les médias le 10 mai sur ce vaste projet, n'en reste pas là et révèle encore de nouvelles informations. Un dernier document de travail, estampillé "Limité" et codé "ENFOPOL 38", dresse un panorama inédit de la vision des Quinze sur la traque des crimes informatiques. Il date du 24 avril 2001 et résume le dilemme des officiers de police : « Il est impératif qu'une solution soit trouvée aux problèmes soulevées par les formes variées d'anonymat sur le World Wide Web ; l'exemple le plus significatif étant les cybercafés, qui sont devenus la source d'un certain nombre de cas de fraude. » Cette belle évidence n'a jamais été confirmée par la moindre donnée concrète, et pour cause, ce "document de travail" n'est pas une étude mais la compilation des réponses, non circonstanciées, que les États membres ont données à un vaste questionnaire. Élaboré sous la présidence française (de juillet à fin décembre 2000), ce questionnaire a été distribué aux experts Enfopol le 28 novembre 2001. Or six mois plus tard, comme le résume Statewatch, « ni la France ni le Royaume Uni (...) n'ont pu fournir la moindre statistique sur l'étendue exacte des crimes liés à l'informatique ». Encore moins quand ceux-ci sont perpétrés à partir de cybercafés. Partisans d'une conservation étendue Mais sur le fond, l'objectif est clair : faire marche arrière sur plusieurs directives déjà adoptées, comme celle sur la Protection des données (1995 et 1997) et celle en discussion sur le respect de la vie privée dans l'ensemble des services télécoms. Ces directives ont en en effet le "culot" d'établir le "droit à l'oubli" comme principe fondamental : « chaque opérateur est tenu généralement d'effacer toute données de trafic ou de les rendre inaccessibles après chaque appel ». Un principe inacceptable pour les policiers d'Enfopol. D'après le document dévoilé par Statewatch, ceux-ci seraient partisans d'une durée de conservation de 12 mois, comme le réclament la France et le Royaume-Uni. L'exemple belge est montré en exemple : une loi fédérale promulguée le 3 février 2001 fixe ce délai à 12 mois minimum. Le traité du Conseil de l'Europe propose quant à lui 90 jours, une durée déjà adoptée par la Hollande. « L'expérience m'apprend que le délai de trois mois est totalement insuffisant », insiste l'inspecteur belge Olivier Bogaert. « Circonscrit à un seul pays, ce délai peut paraître suffisant mais l'internet ne connaissant pas les frontières, il est fréquent que nous devions nous adresser aux autorités de pays étrangers. En lançant une commission rogatoire internationale, des délais de transmission et d'exécution de plus ou moins six mois sont très courants. » Il faudra convaincre les experts européens chargés de la protection des données qui, eux, s'opposent unanimement à un délais de plus de trois mois. ZDNet 02.06.2001 |
| En mars dernier, Sam Jain, le PDG de la start-up américaine eFront, constatait le manque de confidentialité de sa messagerie. Négociation de contrats, critiques de certains salariés ou de partenaires commerciaux : les internautes ont pu lire toute la correspondance privée du patron de la start-up sur le Web ! L'erreur de Sam Jain ? Il avait oublié de désactiver une option de la messagerie instantanée ICQ permettant de stocker tous les messages envoyés et reçus par le logiciel. Quelqu'un a donc tout simplement utilisé son ordinateur, enregistré ses messages privés avant de les diffuser sur le Web. Pour éviter le genre de désagréments subis par Sam Jain, la mesure la plus simple est d'éviter toute conversation confidentielle via une messagerie instantanée. D'ailleurs, lors du processus d'installation d'un logiciel de messagerie instantanée, un avertissement - la plupart du temps ignoré par les internautes... - met en garde les utilisateurs sur le caractèrere non confidentiel de leurs échanges.01 Net 06.06.2001 | L'organisation policière de l'Union européenne Europol, dont le siège est à La Haye, a confirmé à ZDNet le 8juin qu'un de ses agents de la division informatique avait été interpellé par la PJnéerlandaise dans une affaire d'argent sale. L'affaire a d'abord transpiré dans le quotidien belge en langue flamande Die Morgen, puis relayé par Statewatch, une ONG britannique connue pour avoir dévoilé différents projets de surveillance informatique au sein des instances del'UE. Selon Die Morgen, l'agent en question, 41ans, de nationalité française, travaille au sein de la division des enquêtes informatiques. Il est soupçonné de «fraude et de blanchiemnt d'argent». Le journal a précisé qu'une perquisition en bonne et due forme a eu lieu le 30mai dernier au siège d'Europol pour interpeller le suspect, dont le domicile a ensuite été perquisitionné. Arrêté puis relâché sous conditions Le 8 juin un porte-parole d'Europol nous a confirmé l'information au téléphone sans en dire plus. Par ailleurs, un communiqué a été publié le même jour sur le site internet d'Europol en précisant que «l'agent suspecté de fraude a été arrêté et relâché sous conditions le 8 juin». Cette affaire est la conséquence judiciaire d'un audit interne effectué tout récemment sur les comptes 1999 d'Europol. Le 31mai, l'organisation policière avait reconnu en partie les faits en écrivant que les conclusions de cet audit étaient assez sérieuses pour être transmises au parquet général des Pays-Bas, et qu'un de ses agents "a été suspendu de ses fonctions". Selon le journal belge, il s'agirait de détournement de fonds placés sur un compte discret de l'archipel des Bermudes, célèbre paradis fiscal. Pour l'ONG Statewatch, c'est une bien mauvaise publicité pour Europol, appelé dans les 12mois à venir à monter en puissance dans l'arsenal de coopération policière de l'Union européenne.ZDNet 09.06.2001 | Le gouvernement américain, en quête d'une meilleure protection des systèmes informatiques aux Etats-Unis, offre depuis peu une bourse à des étudiants en échange d'un an de leur vie au service de la lutte contre les cyber-attaques. Concrétisant une idée lancée par l'administration de Bill Clinton, le gouvernement propose depuis mai à des étudiants de leur payer, au plus pendant deux ans et à raison de 25.000 dollars par an, leur scolarité dans des universités prestigieuses. En échange de cette bourse, l'étudiant devra s'engager à travailler dans le cadre d'un programme baptisé "Cyber Corps" de lutte contre les pirates informatiques, durant une année si le contrat ne porte que sur un an, deux ans en cas du double. "Ces bourses inciteront les jeunes gens à entrer dans le domaine de la sécurité informatique et leur donnera l'opportunité d'exprimer leur talent en première ligne des efforts du gouvernement", indique Rita Colwell, directrice de la National Science Foundation, qui gérera les bourses. Quelque 8,6 millions de dollars ont été débloqués à cet effet, selon Richard Clark, conseiller à la Maison Blanche, qui estime que les Etats-Unis risquent un "Pearl Harbor numérique" si la sécurité n'est pas renforcée. Au cours des derniers mois, plusieurs incidents sont venus renforcer sa crainte. Le site de la Maison Blanche a ainsi été la cible d'attaques liées à la crise américano-chinoise provoquée par la collision d'un avion-espion américain avec un chasseur chinois près de la Chine, en avril. Israéliens et Palestiniens ont étendu leur conflit à l'espace cybernétique, visant notamment le Hezbollah et le ministère israélien des Affaires étrangères. Des Serbes s'en sont enfin pris au système informatique de l'OTAN, sans parler des virus disséminés ici et là. Si les agences de renseignement et de défense américaines sont depuis longtemps au fait des risques posés par l'internet, les "organismes civils n'en ont pas jusqu'à présent la même conscience ou n'ont pas la même nécessité" de s'en défendre, note Shirley Malia, expert travaillant pour l'administration. Pour celle-ci cependant, les systèmes informatiques civils - utilisés pour le trafic aérien, la gestion de l'énergie, la sécurité sociale ou les services fiscaux - ont un même besoin de sécurité. Le programme "Cyber Corps" vise à fournir au moins 100 jeunes par an à l'administration américaine. Les premières bourses peuvent être obtenues auprès des universités Carnegie Mellon (Iowa) et Purdue Universities (Idaho et Tulsa) et à l'école navale de Monterrey, en Californie. AFP 06.06.2001 |
| Un expert internet américain craint que la nouvelle version du système d'exploitation de Microsoft, Windows XP, ne rende l'internet plus vulnérable aux attaques dites "refus de service", a indiqué lundi le New York Times. "Le logiciel, que Microsoft prévoit de commercialiser à l'automne prochain, possède de puissantes capacités d'interconnexion avec l'internet que l'expert a recommandé de supprimer avant la mise du produit sur le marché", écrit le quotidien. Steven Gibson, directeur de Gibson Research, éditeur d'un logiciel de sécurité sur l'internet, estime que les nouveaux attributs rendent les serveurs plus exposés à des attaques DOS (Denial of Service: "refus de service"). Une attaque "refus de service" se traduit par l'engorgement des serveurs avec l'envoi, par des pirates, d'un flux important de messages vers ces serveurs. Steven Gibson pense que l'usage répandu de Windows XP créerait un puissant réseau de communications que les pirates pourraient exploiter, et ce d'autant que de plus en plus de personnes utilisent les lignes téléphoniques à haut-débit ou le câble et laissent leur ordinateur connecté à l'internet sans interruption. "Lorsque des machines utilisant Windows XP (...) vont être couplées avec des connexions internet à haut-débit, nous allons connaître une escalade dans le terrorisme internet comme nous n'en avons jamais connu jusqu'ici", avertit l'expert. Selon des responsables de Microsoft interrogés par le New York Times, les fonctions de sécurité informatique de Windows XP seraient suffisamment puissantes pour déjouer de larges attaques DOS.AFP 04.06.2001 | L'étude sur la sinistralité informatique en France, présentée par le Clusif à l'occasion du congrès Infosec 2001, rejette certaines idées préconçues, notamment celle que le principal danger pour une entreprise viendrait de son ouverture vers l'extérieur. Certes, le Clusif ne dément pas le danger à se mettre en réseau, mais le Club de la sécurité des systèmes d'information français estime qu'il arrive bien après les erreurs humaines, les attaques virales n'arrivant qu'à la quatrième place. Les sinistres informatiques sont issus ainsi pour 23,9 % d'erreurs d'utilisation (erreurs de saisie, par exemple), pour 16,6 % de pannes internes (causées par un salarié), pour 13,4 % de pertes de services essentiels (électricité, télécoms) et enfin pour 11,5 % d'infections par virus. Par ailleurs, les attaques logiques ciblées visant l'entreprise de façon isolée dans le but de lui nuire n'ont touché que 1,8 % des entreprises interrogées au cours de l'enquête. Les entreprises sous-estiment les risques informatiques Le Clusif estime qu'il y a eu en moyenne 5,86 sinistres par entreprise pour l'année 2000. Ce nombre est beaucoup plus important dans les entreprises de plus de 500 salariés, l'augmentation du nombre des salariés augmentant de fait les risques d'erreur. Le chiffre passe ainsi à 39,2 sinistres en moyenne par entreprise de plus de 500 salariés. Pour autant, 80 % des entreprises s'estiment relativement bien ou très bien protégées. Un chiffre alarmant, juge le Clusif qui déclare qu'"une telle proportion traduit une relative surestimation de la capacité de protection et de réaction, parallèlement à une relative sous-estimation des risques". Reste toutefois que les budgets liés à la sécurité sont en hausse. Aujourd'hui, la sécurité représente en moyenne 4,2 % sur un budget informatique. Ces chiffres sont toutefois à prendre avec beaucoup de recul, car très peu d'entreprises ont une estimation globale de leur budget sécurité. L'étude ne démontre pas si les budgets liés à la formation du personnel augmentent proportionnellement. Seules les grandes entreprises et le secteur public affirment être préoccupés par le facteur humain. Network News 06.06.2001 | La justice américaine soutient le FBI dans une affaire où les Fédéraux ont hacké, sans autorisation, un ordinateur situé à l´étranger. Pour le juge américain John Coughenour, les choses sont claires : le FBI n´a que faire de la législation russe en matière de cybercrime. Le magistrat a donné raison aux Fédéraux dans une affaire les opposant à deux pirates informatiques russes. Opération au cours de laquelle le FBI a subtilisé les mots de passe des malandrins avant de copier plusieurs giga-octets de données situé sur un serveur à l´étranger. Petit rappel des faits. Alexey Ivanov, 20 ans, et Vasily Gorshkov, 25 ans, se faisaient passer pour un pseudo "groupe d´experts en protection contre les hackers", et auraient offert leurs services de consultants en sécurité informatique à une quarantaine de sociétés américaines qu´ils avaient auparavant hackées. Ils utilisaient pour cela une faille de sécurité bien connue de Windows NT (dont le patch a été publié par Microsoft il y a au moins deux ans). Ils étaient aussi soupçonnés d´avoir dérobé plusieurs dizaines de milliers de numéros de cartes de crédit. Anatomie d´un hack (il)légal Se faisant passer pour des employés d´Invita, une société fictive de sécurité informatique, le FBI proposa aux deux Russes de tester leurs compétences en piratant le serveur informatique de la vraie-fausse société. Invités à Seattle en vue d´être embauchés par Invita, les Russes furent de nouveau conviés à démontrer leurs capacités. Le FBI, par l´entremise d´un keylogger (petit programme furtif enregistrant tout ce qui est tapé sur un clavier), en profita pour "sniffer" leurs logins et mots de passe, avant de s´en servir pour accéder aux données informatiques des comparses stockées sur un serveur situé à l´étranger. À l´avocat des deux Russes, qui plaidait une violation de la vie privée non encadrée par la loi, les Feds ont opposé l´absence d´accord de coopération en matière de criminalité informatique entre les États-Unis et la Russie. De plus, selon les Américains, la demande d´assistance à la police russe serait restée sans réponse. Le FBI a également avancé que ses agents n´avaient pas eu le temps d´obtenir de mandat au moment de placer le keylogger, et d´archiver toutes leurs données. Étrangement, peut-être pris de remords, les Feds ont tout de même pris la peine d´en demander un avant de compulser le résultat de leurs recherches. Un dangereux précédent L´affaire pourrait constituer un précédent et mettre la pagaille au sein des instances qui, au nom de la communauté internationale, tentent de lutter contre la cyber-criminalité. Car la justice américaine, via la décision du juge Coughenour, vient ni plus ni moins de légaliser le fait que le FBI puisse hacker un ordinateur situé à l´étranger. Le tout sans mandat délivré par un juge américain, et sans autorisation des forces de l´ordre de la nation étrangère. Que penserait la justice américaine si des cyber-flics russes rentraient ainsi, sans mandat et sans même prévenir les autorités locales, dans l´ordinateur d´un suspect américain ? Ou d´un réfugié politique recherché dans son pays, ou d´une société accusée d´espionnage économique ? La loi interdit normalement toute perquisition en l´absence d´un mandat, qui plus est lorsqu´elle est effectuée par des forces de police étrangères à l´insu de celles du pays où elle est effectuée. Une fois de plus, sous couvert de lutte contre la "cyber-criminalité", les autorités bafouent les conventions internationales, les lois nationales, et la présomption d´innocence. Cet incident n´est peut-être que le premier d´une longue série. transfert.net 04.06.2001 |
| Le Conseil de l´Europe tente depuis des mois de faire passer (elle sera examinée le 18 juin) une convention internationale pour lutter contre le cyber-crime. Dans ce texte d´inspiration policière, les articles 31 et 32 prévoient les modalités d´une télé-perquisition. On peut notamment lire dans l´article 32 : "un pays pourra accéder sans demander d´autorisation à un autre à des données publiquement accessibles (source ouverte) stockées sur un ordinateur quel que soit l´endroit géographique où il se trouve." La notion de publiquement accessible étant totalement discutable dans le cadre des technologies Internet, ce point laisse pantois. Il y a encore peu, les forces de l´ordre répétaient à tue-tête qu´Internet était un espace de "non-droit", et qu´il fallait donc légiférer. Si la justice américaine commence à légaliser les violations de la loi effectuées par les forces de l´ordre... transfert.net 04.06.2001 | Le premier ministre serbe en personne, ZoranDjindjic, a annoncé le 7juin dernier à Belgrade que la société Microsoft serait son «consultant» particulier, comme l'a rapporté l'Agence France Presse. Cet accord concerne aussi le gouvernement yougoslave (qui réunit Serbie et Monténégro). Djindjic a énoncé les différents secteurs pour lesquels Microsoft apporterait son expertise: santé, éducation, douanes et systèmes d'imposition. La Yougoslavie était encore sous embargo international il y a encore quelques mois, avant que son chef suprême SlobodanMilosevic ne perde, en octobre2000, son siège de président suite à des élections démocratiques mouvementées. Le premier ministre serbe a tenu à préciser que l'accord avec Microsoft n'était «qu'une amorce de coopération [sans] caractère commercial» (sic). La dépêche nous apprend que l'un des directeurs généraux pour l'Europe de Microsoft, le français MichelLacombe, était pourtant présent à Belgrade pour inaugurer une curieuse «exposition de Microsoft à Belgrade», selon les termes de l'AFP. Interrogé par nos soins le 12juin, Microsoft France a pourtant été incapable d'éclaircir ce mystère. Aucun commentaire également sur l'ouverture prochaine d'un bureau de Microsoft à Belgrade, qui serait une suite logique à ce rapprochement «non commercial». La décision d'ouvrir ce bureau a pourtant été prise, a affirmé le premier ministre Djindjic à l'agence de presse yougoslave Tanjug. Vérifications faites, le site Microsoft.com ne recense aucune implantation récente, ou même le moindre projet, en Yougoslavie ou en Serbie. La section "Yougoslavie" de Microsoft Europe renvoie les visiteurs sur son bureau de Moscou. ZDNEt 13.06.2001 | Le feu vert du Conseil des ministres ouvre la voie au grand débat parlementaire sur la société de l'information. Mais l'adoption définitive du texte pourrait ne pas intervenir avant le premier semestre 2002. Quatre ans après le discours du Premier ministre Lionel Jospin à Hourtin, la société de l'information devrait enfin trouver une véritable assise juridique. Sous sa forme actuel, le texte comprend 50 articles. Il se divise en cinq titres : l'accès des citoyens à l'information numérique ; la liberté de communication en ligne ; le commerce électronique (avec la transposition en droit français de la directive européenne du 8 juin 2000) ; le développement des réseaux numériques et la lutte contre la cybercriminalité. En l'état, le texte a récemment fait l'objet d'un flot de critiques particulièrement nourri, tant de la part des autorités administratives indépendantes consultées en urgence par le gouvernement ( CSA, ART, CCDH, Cnil...) que de diverses associations ( Initiative pour un réseau Internet solidaire, ou Iris, Association française des fournisseurs d'accès, ou AFA...) qui revendiquent leur part de légitimité sur le sujet. Si des points, comme un renforcement du droit des consommateurs ou l'intégration de l'accès à Internet au service obligatoire des télécommunications, ne semblent pas créer de polémique, certains travers juridiques - ou supposés tels - sont dénoncés avec la plus grande virulence. Il en va ainsi de l'allongement de la durée de conservation par les FAI des « données de connexion dépourvues d'utilité pour la facturation » à « une durée maximale d'un an », contre trois mois aujourd'hui. Du rôle des opérateurs (FAI et hébergeurs), dont la responsabilité civile pourrait être engagée s'ils ne supprimaient pas un contenu « manifestement illicite » constaté sur un site hébergé. Ou encore de la création d'un dépôt légal pour les services de communication en ligne, pour lequel un organisme comme l'ART n'hésite pas à exprimer « ses plus vives réserves »... Tout ces points aujourd'hui sujets à caution sont susceptibles de modification et d'amendement, en commission d'abord, puis au cours d'une navette parlementaire qui réserve parfois bien des surprises... 01Net 13.06.2001 |
| Un organe d'experts du Conseil de l'Europe, réuni cette semaine en session plénière, a approuvé le projet final de convention sur la cybercriminalité, appelé à devenir, après ratification, le premier traité international sur ce sujet, a-t-on appris vendredi auprès de l'organisation. Le Comité européen pour les problèmes criminels (CDPC), organe intergouvernemental d'experts relevant du Comité des ministres du Conseil de l'Europe, a complété le texte par un protocole additionnel donnant le caractère d'infraction pénale à toute diffusion de propagande raciste et xénophobe par le biais des réseaux informatiques, précise le communiqué du Conseil. Issu de quatre années de travail d'experts venus des pays membres de l'organisation paneuropéenne, mais également d'Etat tiers comme les Etats-Unis, le Canada et le Japon, la convention contre la cybercriminalité aborde la répression de la pédophilie et du piratage sur l'internet, ainsi que les infractions liées à la sécurité des réseaux. Pour devenir effectif, le texte doit encore être approuvé par le Comité des ministres du Conseil, puis être ratifié par les parlements nationaux de cinq Etats, dont au moins trois membres de l'organisation.AFP 22.06.2001 | Des internautes qui reprochaient à la Lufthansa de prêter ses avions pour l'expulsion de sans-papiers sont parvenus à perturber pendant dix minutes le site internet de la compagnie aérienne allemande, a-t-on appris mercredi auprès de la firme. "Le site a été difficilement accessible pendant une dizaine de minutes", a indiqué à l'AFP un porte-parole de Lufthansa. "Mais nous avons augmenté les capacités de nos serveurs et la situation est redevenue normale". Selon un porte-parole des organisateurs, Sven Maier, les manifestants sont surtout parvenus à "bloquer le système de réservations". Quelque 150 groupes antiracistes, selon les organisateurs, avaient appelé les internautes à cette manifestation en ligne pour protester contre les expulsions d'étrangers en situation irrégulière effectuées par les autorités allemandes sur des appareils de la compagnie. La manifestation coïncidait avec la journée mondiale des réfugiés et avec l'assemblée générale des actionnaires de la Lufthansa. Elle consistait en une attaque par saturation, les internautes étant appelés à se connecter sur le site en masse pour saturer ses serveurs. Les organisateurs avaient également mis au point un "logiciel de manifestation", téléchargeable sur une trentaine de sites relais. La Lufthansa va décider dans les prochains jours d'éventuelles poursuites judiciaires à l'encontre des organisateurs, a-t-elle fait savoir.AFP 20.06.2001 | Selon Uffe Sorensen, responsable des technologies chez Lotus, "les appareils connectés en permanence et basés sur les transferts par paquets - en particulier les produits GPRS - représentent une réelle menace dans la mesure où ils sont de plus en plus utilisés pour accéder à des données, des applications ou des services d'entreprises". Henrik Voigt, responsable du développement stratégique chez Ericsson Mobile, reconnaît également que le GPRS pose de sérieux risques : "Le principal défi concerne les connexions GPRS. Elles se situent à l'extérieur, au niveau de l'Internet public. Notre travail doit porter sur l'identification des utilisateurs de tels services." Uffe Sorensen considère que le seul moyen pour les entreprises de faire face à ce problème est d'installer un système d'identification sur plusieurs niveaux afin de s'assurer que les utilisateurs distants sont bien ceux que l'on pense. "Le danger est qu'une entreprises peut facilement créer un environnement dans lequel les utilisateurs sont identifiés une fois, après quoi la connexion reste établie indéfiniment. Dès lors, si l'appareil mobile est perdu ou volé, l'accès reste grand ouvert à n'importe qui. Les entreprises se doivent d'identifier à nouveau les utilisateurs chaque fois qu'ils accèdent à des données sensibles." Renforcer les procédures d'identification Jose Lopez, analyste chez Frost & Sullivan, recommande d'utiliser des systèmes de mots de passe à usage unique pour les utilisateurs ayant accès aux données sensibles de l'entreprise. "Il devient de plus en plus difficile de gérer ces appareils mobiles", explique-t-il. "Il y a un réel besoin de renforcer les procédures d'identification, avec des smart cards de RSA, par exemple. Mais ceci augmentera les coûts de gestion de manière significative." Tarmo Jukarainen, responsable produits marketing chez Nokia, abonde également en ce sens. "Nous devons nous tourner vers des technologies telles SSL (Secure Socket Layer) ou WTLS (Wireless transport Layer Security). Les cartes d'identification avec mot de passe à usage unique sont aussi une solution intéressante", explique-t-il. Il préconise également le verrouillage physique des appareils mobiles, ainsi que l'emploi de mots de passe qui déconnectent l'utilisateur après une période d'inactivité. Vnunet 15.06.2001 |
| Shawn Roy, 30 ans, qualifié de génie de l'informatique et employé par le ministère de la Défense à des tâches top secret selon ses parents, est mystérieusement disparu lors d'une fin de semaine à Montréal au début du mois de juin. Habitant la région d'Ottawa, Shawn Roy se serait rendu avec des amis passer une fin de semaine à Montréal comme ils ont l'habitude de le faire afin de fréquenter les bars de la rue Ste-Catherine. Ses deux amis l'ont aperçu pour la dernière fois dans la nuit de samedi à dimanche, lorsqu'ils ont quitté l'endroit, laissant Shawn Roy sur place. Les parents du disparu sont convaincus que leur fils a été enlevé en raison de son travail.Ottawacitizen/ Multimedium 18.06.2001 | Les salariés mécontents et les anciens employés constituent une plus grande menace pour la sécurité informatique des entreprises américaines que les pirates extérieurs, révèle une étude. Les utilisateurs autorisés représentent de loin la plus grosse menace pour la sécurité, selon cette étude conduite par le cabinet Digital Research Inc pour le compte de l'éditeur israélien de logiciels de sécurité Camelot et le magazine eWeek. "Il s'agit d'un véritable problème pour les départements qui n'ont pas pris l'habitude de fermer les comptes (d'anciens employés)", a déclaré Moti Dolgin, vice-président des filiales américaines de Camelot. Sur les 548 lecteurs de eWeek interrogés en ligne la semaine dernière, 57% ont déclaré que les pires infractions en matière de sécurité émanaient de salariés de l'entreprise qui accédaient à des informations non autorisées. La deuxième plus grosse source d'inquiétude provenaient des comptes laissés actifs après le départ des employés. Pour seulement 21% de personnes interrogées, la crainte la plus grande venait du fait qu'une personne extérieure à l'entreprise puisse pirater des informations sensibles. "Dans la plupart des cas, les employés ont accès à beaucoup plus d'informations qu'ils n'en ont réellement besoin dans leur travail", a-t-il affirmé. L'étude montre également que les sociétés investissent de plus en plus pour la sécurité de leurs réseaux, étant donné que la prévention coûte moins cher que la réparation des dommages causés. Reuters 20.06.2001 | La Grande Bretagne vient de créer la première organisation nationale de lutte contre le crime informatique. Il s'agit d'une réponse coordonnée pour faire face à cette nouvelle forme de criminalité. Elle résulte d'un partenariat entre les services publics, le secteur privé et le monde des technologies de l'information et de la communication. Cette nouvelle structure prendra en charge les enquêtes nationales concernant les crimes les plus graves ou commis par des structures organisées de type mafieux. Elle prodiguera ses conseils aux forces locales et aux autres agences de sécurité. Elle constitue le point de contact 24 h/24 et 7 jours sur 7 des pays du G8. Le Ministre de l'Intérieur britannique a indiqué que : "Le Gouvernement s'engage à assurer la sécurité et la confiance de l'environnement en ligne des utilisateurs d'Internet dans tout le Royaume-Uni, en traquant le crime de haute technologie et en donnant aux services de lutte contre ce phénomène nouveau les moyens d'agir avec efficacité. Les nouvelles technologies apportent d'énormes avantages aux utilisateurs respectueux des lois, mais offrent aussi aux criminels de formidables opportunités comme la fraude financière ou la pédophilie. Nous sommes déterminés à ce que le royaume-Uni soit le meilleur et le plus sûr endroit du monde pour s'engager dans la voie du commerce électronique et pour que nos enfants recoivent la meilleure protection possible quand ils se connectent sur le Web." Ce nouveau service, "le National Hi-Tech Crime Unit" est composé de 80 agents et bénéficie d'ores et déjà d'un budget de 40 millions d'Euros. Le ministre a précisé que l'implantation géographique de ce service de ce service restera secrète. cybercriminstitut 06.2001 |
| La commission européenne a dévoilé un plan pour améliorer la sécurité sur le net, grâce à la formation et l'union des différents pays membres. "L'ouverture du Web a été à la base de son succès, mais cette ouverture comporte aussi certains risques. C'est pour cela que nous avons besoin d'une stratégie pour combler les failles existantes et émergeantes dans la sécurité" explique Erkki Liikanen, membre de la commission européenne pour l'entreprise. Le plan de la commission demande un accroissement de la coopération entre les différents membres de la communauté européenne pour développer la sécurité sur le réseau. Déjà plus tôt dans l'année le conseil européen avait demandé une stratégie globale pour sécuriser les réseaux électroniques. En réponse, la commission européenne avait fait une proposition visant à augmenter les investissements dans la recherche et la formation sur la sécurité, à créer des systèmes de protection plus efficaces et formuler des peines plus importantes pour les auteurs de crimes électroniques. "les systèmes éducatifs des états membres doivent donner l'accent sur la sécurité " est-il indiqué dans le rapport de la commission. Des mesures pour aider les sociétés européennes à établir des stratégies de sécurité ainsi que pour éduquer le public sur les périls d'Internet sont donc d'ores et déjà programmées. De plus, la commission a proposé d'unifier le CERT (Computer Emergency Response Team), pour l'instant séparé entre les différents membres de la communauté européenne. Un système unifié permettrait d'assurer un meilleur système d'alerte et d'information européen, le CERT n'agissant pour l'instant différemment dans chaque état membre. Il est aussi conseillé d'adopter de nouvelles lois pour améliorer les poursuites judiciaires contre les cybercriminels à travers les pays européens, et d'effectuer des efforts de standardisation dans le cryptage. Un pacte séparé permet de plus aux états signataires d'aider les autres pays dans leurs investigations et poursuites des cybercriminels.france.internet.com 12.06.2001 | Les PABX, une vraie menace pour les entreprises par Joël Rivière, [Fondateur et pdg de Lexsi] Intrusions, méchants pirates, virus destructeurs… Pour beaucoup, la sécurité informatique se résume à ces menaces très " spectaculaires ". Au point d'occulter des dangers peut-être moins " cyber-sexy " mais aussi plus réels. Prenez les PABX, ces appareils qui gèrent les standards téléphoniques des entreprises. Des boîtes pas très jolies qui, une fois installées, sont oubliées dans la remise ou à côté de la machine à café. Bon nombre d'entreprises perdent pourtant, et sans le savoir, beaucoup d'argent chaque mois (jusqu'à plusieurs centaines de milliers de francs pour des grands groupes) tout simplement en ne prêtant pas suffisamment attention à ces PABX. Pour au moins trois raisons. 150 failles sur certains modèles Primo, ces appareils, fonctionnellement de plus en plus riches, sont victimes tout comme les logiciels informatiques de failles. S'il y a quelques années un PABX comptait 6 ou 7 failles, désormais on dénombre près de 150 sur certains modèles. Si toutes leurs fonctions ne sont pas documentées, n'ayez crainte, d'autres s'occupent de les découvrir… Résultat, il s'avère assez simple de pirater un PABX pour s'y créer un compte - pour des raisons évidentes je ne décrirai pas ici le procédé qui se résume en quelques lignes. Tellement facile que des milliers de PABX sont détournés chaque année en France. Si l'intrus se montre habile et raisonnable, il s'écoulera beaucoup de temps avant que l'entreprise ne s'aperçoive d'une fraude qui peut représenter un sérieux préjudice. A moins bien sûr de prendre quelques mesures élémentaires : ne pas placer son PABX n'importe où, travailler son paramétrage, installer quelques outils de veille, lancer régulièrement des audits, etc… Deuxième menace que traîne dans son sillage le PABX, l'accès au réseau local. Pour faciliter leur administration, les PABX sont souvent connectés à une console sous un système d'exploitation comme Windows NT. Or il arrive, malheureusement, que les entreprises soient assez imprudentes pour connecter cette console à leur réseau local. Une porte entrouverte donc pour installer par exemple des " sniffers " et récolter quelques mots de passe… Confiance ne signifie pas absence de contrôle Enfin, autre imprudence, l'absence d'une réelle gestion de la taxation. Le développement des travailleurs nomades qui passe par le standard de l'entreprise pour leurs communications ne s'accompagne pas souvent d'une gestion des droits adéquates. D'où des abus. Les entreprises ont manifestement tendance à oublier que confiance ne signifie pas forcément absence de contrôle… Bref le sujet est loin d'être anecdotique. D'autant que le développement du couplage téléphonie-informatique et du télé-travail devrait multiplier les points faibles des architectures de télécommunications. Certains, parfois après de sérieux préjudices financiers, en ont toutefois pris conscience. De grands groupes travaillent ainsi sur des politiques de sécurité dédiées à la gestion des télécommunications. Une façon de réajuster leur perception de la menace informatique. Et les moyens de prévention qui vont avec. Le Journal du Net 15 juin 2001 | |
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
