"Le voleur moderne peut voler plus avec un ordinateur qu'avec un fusil. Le terroriste de demain peut causer plus de dégâts avec un clavier qu'avec une bombe"
| Nouvelle édition - Un directeur d'unité de la direction "Société de l'information" a pris 3 ans de disponibilité pour accepter un poste dans la multinationale du logiciel. Ses compétences en sécurité informatique ont été appréciées. Detlef Eckert, un fonctionnaire allemand de la Commission européenne, aurait pu espérer plus de discrétion pour commencer sa nouvelle carrière chez Microsoft. Cet agent de la direction générale sur la société de l'information, qui dépend du commissaire Liikanen, a travaillé sur tous les dossiers sensibles liés à la sécurité des communications et des systèmes informatiques - notamment la cryptographie et la certification électronique. Microsoft, qui a toujours su recruter parmi les milieux gouvernementaux américains, semble également avoir de très bons chasseurs de tête à Bruxelles: Eckert est censé travailler sur le projet "Trustworthy computing", ("Informatique de confiance") déjà savamment critiqué par les observateurs les plus avisés (le futur système Palladium en sera la pierre angulaire). Bref, il s'agit d'un cas flagrant de "pantouflage" qui pourrait être à l'origine de conflits d'intérêts, comme l'a soulevé le Financial Times en révélant cette affaire le 26 novembre. Eckert a dû signer une clause de confidentialité Le porte-parole de M. Liikanen a expliqué à ZDNet que tout était en règle. Le fonctionnaire a obtenu l'aval de la Commission pour prendre un «congès pour convenance personnelle» d'une durée maximum de trois ans. C'est la procédure à respecter pour tout fonctionnaire européen qui désire travailler dans une entreprise privée. Et au terme de ce congé, ledit fonctionnaire peut réintégrer la Commission. Pour qu'il obtienne le feu vert, Detlef Eckert a néanmoins dû signer des engagements de confidentialité, notamment à propos de l'enquête antitrust (encore en cours d'instruction à Bruxelles) contre les pratiques de Microsoft. Même si sa fonction - directeur de l'unité "sécurité des réseaux" des services de M. Liikanen - n'avait a priori aucun rapport avec la procédure en cours, la Commission a tenu à préciser qu'Eckert n'était plus lié à cette enquête depuis le «milieu de l'année». Pourtant, des observateurs de l'industrie, comprenant parfois des concurrents de Microsoft, sont surpris d'une telle légèreté. Par exemple, l'association CCIA (Computer and Communications Industry Association), lobby américain installé à Washington et comprenant les plus gros rivaux de la firme Bill Gates (AOL, Oracle, Sun...), se souvient avoir eu des contacts avec Eckert à propos de l'enquête antitrust. Son président Ed Black s'étonne que cet agent puisse ainsi s'envoler pour Redmond en ayant en tête une connaissance certaine de ce dossier. ZDNet 02.12.2002 | Les trois opérateurs français unissent leurs forces pour recenser les numéros d'identification des combinés déclarés volés. Lesquels seront rendus inopérants sur les trois réseaux. Toute tentative d'usurpation peut mener à la prison. La lutte contre le vol de téléphones portables a franchi une étape décisive, avec le nouveau dispositif mis en place le 2 décembre par l'Association française des opérateurs mobiles (Afom), en collaboration avec le ministère de l'Intérieur. Bouygues Telecom, SFR et Orange vont constituer une base de données commune regroupant les numéros IMEI (identifiant international de tout téléphone portable) des combinés volés. Les victimes d'un vol doivent donc prévenir leur opérateur et déposer plainte auprès de la police ou de la gendarmerie, en précisant le numéro IMEI de leur portable. Il est vivement recommandé de noter ce numéro, indiqué sur le coffret et au dos du mobile (ou visible en tapant *#06# sur le clavier), dès l'achat. À la réception du procès verbal, le service client de l'opérateur enregistre le numéro IMEI dans la base de données, qui fait office, pour ainsi dire, de liste noire. Le portable qui lui est affilié, est ensuite rendu inutilisable sur les réseaux des trois opérateurs. Un dispositif qui concerne les téléphones les plus récents Cependant, précise l'Afom, seuls les téléphones les plus récents, mis sur le marché à partir de juin 2002, seront intégrés dans cette base. Leur code identifiant répond aux standards techniques, élaborés avec les constructeurs, qui les rendent infalsifiables. Auparavant il était plutôt aisé, grâce à des recettes accessibles sur de nombreux forums ou sites internet, de changer le code IMEI de son téléphone. Conscients qu'une technologie n'est pourtant jamais totalement infaillible, les opérateurs «ont souhaité, et obtenu de la part du ministère de l'Intérieur, que des mesures législatives soient proposées pour pénaliser la falsification d'IMEI. La loi sur la sécurité intérieure, encore en cours de discussion parlementaire (adoptée par le Sénat le 19 novembre et qui sera débattue à l'Assemblée en janvier 2003), modifie ainsi le code de la consommation, pour punir «toute personne qui aura frauduleusement supprimé (...) ou modifié de façon quelconque (...) les numéros de séries servant à identifier [les marchandises] de manière physique ou électronique» (article 26). Le contrevenant encourt une peine d'emprisonnement de deux ans au plus, et/ou une amende maximale de 37500 euros. ZDNet 03.12.2002 | Après une période de fort intérêt, il semble que l'engouement pour la biométrie se soit beaucoup atténué ? Cet engouement est né après le 11 septembre, lorsque les fabricants de systèmes de reconnaissance faciale ont lancé des campagnes de promotion effrénées pour l'utilisation de la biométrie dans la lutte contre le terrorisme. Beaucoup s'imaginaient que la biométrie pouvait être une solution contre le terrorisme; or cette promesse n'a jamais été tenue. Partant de cette fausse hypothèse, les entreprises du secteur de la biométrie ont fait l'objet d'intenses activités boursières. Les médias se sont emparés de la question, et les débats concernant les utilisations potentielles de la biométrie se sont multipliés. La biométrie n'a pas évolué au cours de l'année écoulée. Depuis le 11 septembre, rien n'a été fait pour rendre la biométrie plus intéressante ou plus utile qu'elle ne l'était auparavant, si ce n'est une bonne couverture médiatique. L'utilisation des technologies de biométrie est toujours aussi limitée et tactique qu'auparavant. Il faut toutefois noter qu'elles ne se cantonnent pas à la seule reconnaissance faciale, dont l'usage principal consiste à sélectionner des visages dans une foule et à les identifier à partir d'une base de données de visages enregistrés. D'autres technologies de biométrie méritent notre attention. La technologie de biométrie la plus souple et la plus utile est probablement le lecteur d'empreintes digitales. Celui-ci effectue une analyse biométrique précise. Il peut être crypté et protégé. Il peut être intégré à un clavier, un lecteur de carte à puce ou un guichet automatique de banque. On parle beaucoup de techniques de contournement des systèmes de reconnaissance faciale et de lecteurs d'empreintes digitales. Connait-on l'ampleur du phénomène ? Ces méthodes de contournement de l'efficacité d'un lecteur biométrique semblent aisées, mais certaines d'entre elles ne sont pas faciles à mettre en oeuvre. Par exemple, la photographie destinée à tromper un lecteur de reconnaissance faciale doit être numérique, et émise probablement à partir d'un écran LCD ; cela signifie que vous devez vous présenter devant l'appareil avec votre ordinateur portable ouvert. Il faut savoir que la plupart des lecteurs de reconnaissance faciale ne se trouvent pas dans des lieux privés, mais au beau milieu du hall d'un immeuble ou dans une autre zone de passage. Il est donc peu probable qu'un individu puisse les contourner frauduleusement. Il est tout aussi peu probable qu'une telle astuce fonctionne dans la vie réelle même si, théoriquement, c'est possible. Dans le cas des empreintes digitales, vous pouvez utiliser un "doigt en gomme" (un moulage de doigt en gélatine) sur lequel est imprimée l'empreinte volée. Pour déjouer un lecteur optique, nous avons entendu parler d'une personne qui aurait braqué une torche sur le lecteur, amenant ce dernier à accepter l'empreinte précédente grâce au résidu gras subsistant sur le lecteur. Ces systèmes présentent assurément des failles. Mais dès lors qu'ils sont utilisés avec un autre moyen d'authentification, ces inconvénients s'évanouissent puisque vous devez disposer parallèlement d'un mot de passe et d'un ID d'utilisateur. L'envoi d'informations biométriques vers une base de données présente-t-il un risque important pour la sécurité ? Si une double authentification est une bonne idée dans l'absolu, et si la biométrie peut y tenir sa place, je ne suis prêt à recommander aucune des solutions actuellement disponibles. Pourquoi? Parce que les données biométriques continuent à circuler via un câble pour être enregistrées dans des bases de données ici ou là. Or le trafic à travers un câble peut être piraté. Comme il est possible d'intercepter ces informations, vous devez vous baser sur l'idée qu'à un moment ou un autre elles le seront. Si elles résident dans une base de données, sont-elles parfaitement protégées? La plupart des fournisseurs vont rétorquer qu'elles sont cryptées. Et alors? Il me faudra vingt ans pour décrypter ces informations. Dans vingt ans, si vous être devenu Président des États-Unis, je détiendrai votre empreinte digitale. Leur argument ne réduit donc en rien mon inquiétude. Selon vous, quelles sont actuellement les meilleures solutions d'authentification biométrique ? L'une des technologies les plus prometteuses que nous connaissons actuellement est le lecteur d'empreinte digitale intégré au lecteur de carte à puce. Voilà une innovation. Precise Biometrics, une petite entreprise implantée en Virginie, et ActivCard possèdent ce duo dynamique d'authentification qui évite à toute donnée de circuler via un câble quelconque. Le hâchage crypté, ou dérivation cryptée, de la signature biométrique est en fait stocké sur la carte à puce; vous conservez celle-ci comme une carte plastique dans votre portefeuille ou comme un badge d'identification d'accès à un immeuble. Dans ce dernier cas, la carte porte probablement votre photo. Il est donc quasiment impossible d'effectuer une authentification frauduleuse. En fait, cela revient pratiquement à avoir la personne en chair et en os en face avec une carte d'identification portant une photo émise par l'administration. Pour vous connecter à un ordinateur, avez-vous besoin de recourir actuellement à la biométrie? Non, et il est possible que vous puissiez vous en passer pendant les vingt prochaines années. Toutefois, pour certaines transactions, vous pouvez avoir envie de doubler la carte à puce par une technique biométrique. Pour moi, la carte à puce est la clé de l'avenir. Elle est le support d'authentification multifonction qui nous ouvre la porte à une variété considérable d'utilisations. Elle est facile à transporter et n'exige aucune formation de l'utilisateur final, parce que nous sommes déjà tous habitués à transporter des cartes en plastique dans notre portefeuille. La biométrie est-elle plus efficace que les technologies de mots de passe ? De mon point de vue, les mesures biométriques, quels que soient leurs atouts, présentent un grand nombre des inconvénients connus pour les mots de passe. Vous pouvez les dérober ; de même qu'il est possible de voler un mot de passe, il est possible de s'emparer d'une signature biométrique, d'une empreinte digitale ou d'un visage. On considère souvent que les mots de passe ne sont pas un bien privé parce que quelqu'un d'autre peut les découvrir et parce qu'ils circulent en clair sur les réseaux. De la même manière, les visages et les empreintes digitales ne sont pas privés dans la mesure où vous laissez des empreintes partout, sur tout ce que vous touchez. En conclusion, les technologies biométriques souffrent des mêmes défauts que les mots de passe et coûtent nettement plus cher. Pourquoi les utiliser alors? Pour moi, il faut les utiliser en binôme avec une carte à puce.ZDNet 13.12.2002 |
| a Maison Blanche a sollicité l'aide des fournisseurs d'accès à internet pour mettre au point un outil de surveillance de l'activité sur le réseau, rapporte vendredi le New York Times. Le système pourrait être utilisé pour surveiller des internautes, ajoute le journal. L'administration Bush devrait rendre public en début d'année son projet intitulé "The National Strategy to Secure Cyberspace" (Stratégie nationale de sécurisation du cyber-espace), précise le quotidien citant plusieurs personnes ayant eu connaissance du dossier. Ce projet s'inscrit dans le cadre des efforts déployés par la Maison blanche pour renforcer la sécurité nationale à la suite des attentats-suicide du 11 septembre 2001 à New York et Washington. Le document proposera des mesures de protection face aux virus et aux attaques de pirates informatiques, ajoute le Times.Reuters 21.12.2002 | Un jeune Britannique a reconnu vendredi avoir créé trois virus informatiques qui se sont ensuite répandus dans les ordinateurs situés dans 46 pays par le biais du courrier électronique. Devant un tribunal londonien, Simon Vallor, 21 ans, originaire du Pays de Galles, a plaidé coupable de création et d'envoi des virus "Gokar", "Redesi" et "Admirer". Arrêté en février dernier par la police britannique qui avait été renseignée par le FBI américain, Vallor a expliqué qu'il souhaitait vérifier s'il était capable de créer des virus et si ces derniers pouvaient l'atteindre en retour. Selon Scotland Yard, certaines variantes des trois virus ont provoqué quelques dégâts. Mais d'autres ont abouti à un effacement total du disque dur. Dans certains cas, même une fois l'ordinateur relancé, le virus revenait. L'affaire était intéressante parce que certains passages utilisés dans le code (des virus) faisaient allusion au mouvement néo-païen Wicca, avec lequel Vallor dit avoir des liens, a expliqué vendredi un enquêteur.Reuters 20.12.2002 | Le fabricant suédois Loqware Technologie propose en France, un disque dur externe miniature doté d'un lecteur d'empreintes digitales pour en verrouiller l'accès. Il s'agit d'un des premiers appareils de ce type basé sur la biométrie, méthode visant à identifier une personne en mesurant une de ses caractéristiques physiques. Baptisé Loq Drive 250 SPR, le disque tient dans un boîtier de la taille d'un ordinateur de poche (9,2x15x4,3 cm) pour un poids de 445 grammes. Il se connecte à un PC par interface USB. L'appareil est fourni avec un logiciel permettant de chiffrer partiellement, ou dans son ensemble, les données enregistrées sur le disque. L'algorithme de chiffrement s'effectue via un protocole propriétaire (baptisé i-Loq), alors qu'il est reconnu que le recours à des protocoles vérifiés et éprouvés offre une meilleure garantie en matière de sécurité. Enfin, ce disque dur peut être utilisé sur un poste ou sur un réseau local avec une administration à distance. Le fabricant prévoit un usage sédentaire ou nomade de ce produit. Seule la seconde option paraît intéressante. Le Loq Drive 250 SPR sert ainsi de support de stockage amovible pour emmener ses données confidentielles dans la poche, et les protéger en cas de vol grâce à la biométrie. <Par la suite, un module de sécurisation biométrique offrant les mêmes fonctions de sécurisation que celles du Loq Drive pourra toujours être installé. La société Zalix Biométrie propose ainsi des capteurs d'empreintes digitales pour moins de 200 euros avec également des logiciels de chiffrement. «Notre solution permet, de plus, de sécuriser tout un ordinateur et non simplement un disque dur», explique opportunément à ZDNet Alain Choukroun, directeur général de Zalix.ZDNet 19.12.2002 |
Si vous connaissez votre ennemi et si vous savez ce que vous valez, vous n'avez pas besoin de craindre vos prochaines batailles. Si vous savez ce que vous valez et rien sur votre ennemi, pour chaque victoire remportée, vous subirez une défaite. Si vous ne connaissez rien sur vous-même ni sur votre ennemi, vous succomberez à chaque bataille. Sun Tzu-The Art of War
Cette chronique vous intéresse, indiquez-moi des liens intéressants...
