Il me semble très utile et sécurisant de savoir quelles permissions une application Android (.APK) va demander lors de son installation, notamment si on n’en connaît pas précisément la provenance.

C’est désormais possible grâce au widget ” COMPARE ANDROID APP PERMISSIONS” (encore en version bêta), mais déjà très riche d’enseignements ! En effet, on peut se demander pourquoi un jeu très populaire, un outil de retouche photo, ou toute autre application, à besoin par exemple :

- de vous géolocaliser

• Access coarse location sources such as the cellular network database to determine an approximate phone location, where available. Malicious applications can use this to determine approximately where you are

- d’avoir accès au téléphone

• Allows the application to access the phone features of the device. An application with this permission can determine the phone number and serial number of this phone, whether a call is active, the number that call is connected to and the like.

- de lire vos données personnelles

• Allows an application to read all of the contact (address) data stored on your phone. Malicious applications can use this to send your data to other people.

- d’accèder à la carte SD

• modify/delete SD card contents – Allows an application to write to the SD card

- empêcher le smartphone de s’éteindre

• Allows an application to prevent the phone from going to sleep

- d’accepter des messages depuis le cloud

• Allows the applications to accept cloud to device messages sent by the application’s service. Using this service will incur data usage. Malicious applications may cause excess data usage

Trust, but verify !

Proverbe.

C’est la question sur laquelle se penche le dernier rapport du Ponemon Institute qui sort aujourd’hui. Il s’agit d’une étude réalisée pour la 3ieme année consécutive sur des entreprises françaises ayant subit une perte d’informations (il y en a !), ayant accepté de travailler sur l’analyse et les impacts de cette “brèche” (il en faut !)

Parmi les nombreux enseignements de l’étude, on peut noter que :

• Le coût moyen est passé de 2,2 à 2,55 millions d’euro, soit une augmentation de 16%
• Cela revient à un montant de 122€ par “enregistrement” perdu ou volé…
• Les activités malveillantes ou criminelles sont la cause n°1, avec 43% des cas, et un coût moyen plus élevé encore (143€)
• Les autres causes sont la négligence (employés ou sous-traitants) avec 30% et les “problèmes” informatiques ou de processus avec 26%
• Les conséquences commerciales quant à elles augmentent de 10%
• Les entreprises touchées pour la première fois subissent un impact plus important
• la présence dans l’organisation d’un responsable de la sécurité de l’information permet de réduire la facture de plus de 50%, avec un coût moyen par dossier perdu ou volé de 63€ !!!

L’étude complète est disponible ici : http://bit.ly/GBK8x9, et toujours, un résumé :

 Et pour les curieux, quelques sites qui recensent ces fuites au jour le jour, mais plutôt à l’étranger bien entendu…

• http://datalossdb.org/
• http://www.idtheftcenter.org/
• http://www.databreaches.net/

Il y en a sûrement d’autre, mais pas à ma connaissance pour la France…

D’ailleurs, si vous l’avez raté, sachez que : “la Commission Européenne propose une réforme globale des règles en matière de protection des données pour accroître la maîtrise que les utilisateurs ont sur leurs données, et réduire les coûts grevant les entreprises.“

En vitesse :

Les principales modifications apportées par la réforme sont notamment les suivantes:

• un corpus unique de règles relatives à la protection des données sera valable dans toute l’Union. Les obligations administratives inutiles, comme celles en matière de notification qui incombent aux entreprises, seront supprimées, ce qui représentera pour ces dernières une économie annuelle de quelque 2,3 milliards d’EUR;
• en lieu et place de l’obligation actuelle imposée à toutes les entreprises de notifier l’ensemble des activités concernant la protection de données à des autorités de contrôle compétentes en la matière – cette obligation étant à l’origine de formalités administratives inutiles coûtant 130 millions d’EUR par an aux entreprises, le règlement impose davantage d’obligations aux entités procédant au traitement de données à caractère personnel et accroît leur responsabilité;
• Ainsi, les entreprises et organisations devront, dans les meilleurs délais (si possible, dans un délai de 24 heures), notifier à l’autorité de contrôle nationale les violations graves de données à caractère personnel;
• les organisations n’auront plus comme interlocuteur qu’une seule autorité nationale chargée de la protection des données dans le pays de l’Union où elles ont leur établissement principal. De même, les citoyens pourront s’adresser à l’autorité chargée de la protection des données dans leur pays, même lorsque leurs données sont traitées par une entreprise établie en dehors du territoire de l’UE. Chaque fois que le consentement de la personne concernée est exigé pour que ses données puissent être traitées, il est précisé que ce consentement ne sera pas présumé mais devra être donné explicitement.
• l’accès des personnes concernées à leurs propres données sera facilité, de même que le transfert de données à caractère personnel d’un prestataire de services à un autre (droit à la portabilité des données). La concurrence entre prestataires de services s’en trouvera renforcée.
• un «droit à l’oubli numérique» aidera les citoyens à mieux gérer les risques liés à la protection des données en ligne: ils pourront obtenir la suppression de données les concernant si aucun motif légitime ne justifie leur conservation.
• les règles de l’Union devront s’appliquer si des données à caractère personnel font l’objet d’un traitement à l’étranger par des entreprises implantées sur le marché européen et proposant leurs services aux citoyens de l’Union.
• les autorités nationales indépendantes chargées de la protection des données seront renforcées afin qu’elles puissent mieux faire appliquer et respecter les règles de l’UE sur le territoire de l’État dont elles relèvent. Elles seront habilitées à infliger des amendes aux entreprises qui enfreignent les règles de l’Union relatives à la protection des données. Ces amendes pourront atteindre 1 million d’EUR ou 2 % du chiffre d’affaires annuel global de l’entreprise.
• Une nouvelle directive appliquera les règles et principes généraux relatifs à la protection des données à la coopération policière et judiciaire en matière pénale. Les règles s’appliqueront aux traitements aussi bien trans-frontières que nationaux de données à caractère personnel.

Pas forcément pour demain matin, mais une réforme globale importante à venir…

Cela fait déjà un bon moment que je m’inquiète des risques visant l’identité et des impacts dévastateurs qu’ils pourraient avoir sur notre monde connecté : usurpation, réputation, abus de confiance et autres arnaques en tous genre…mais là, nous avons affaire à un cas bien différent : la vente de faux papiers en ligne, dont on imagine aisément les applications au quotidien.

En effet, sur un site parmi bien d’autres et dont je tairais le nom, on peut trouver toute une variété de faux documents, ainsi qu’un certain nombre de services associés, le tout livré gratuitement, en 2 à 5 jours…tant qu’à faire…

Je rappelle, afin de refréner les potentielles ardeurs coupables, qu’en France l’utilisation de faux papiers est passible de 5 ans de prison et de 80.000 € d’amende, au maximum.

Une fois ceci clarifié, voyez plutôt :

Pour le savoir, nous avons volontairement perdu 50 smartphones, bourrés d’informations personnelles et professionnelles – fausses évidement, mais aussi équipés de moyens de surveillance à distance.

Alors, que leur est-il arrivé, une fois trouvés ?

C’était le but du projet : “Smartphone Honey Stick” ou “bâton de miel”, miam !

La question principale était : “A quelles informations la personne ayant trouvé le smartphone va-t-elle tenter d’accéder et avec quelle insistance ?”

Les 50 téléphones, sans protection, ont été “perdus” dans des lieux publics tels qu’ascenseurs, galeries marchandes, restaurants et autres avec beaucoup de passage, à New-York, Washington, Los Angeles, San Francisco pour les US et Ottawa au Canada. C’est donc plutôt le comportement anonymisé d’Américains du nord que l’on peut voir ici, en attendant une version européenne…

Parmi les les résultats :

• 96% des personnes ayant trouvé le téléphone y ont accédé
• 89% ont consulté les applications et les informations personnelles
• 83% ont consulté les applications et les informations professionnelles
• 70% ont accédé aux 2, personnelles et professionnelles
• 60% ont lu les messages personnels et accédé au réseau social
• 45% ont lu des messages professionnels
• 43% ont lancé l’application de banque en ligne
• 50% ont contacté le propriétaire supposé (quand même !….ou seulement ?)

D’ailleurs, question subsidiaire, que feriez-vous, VOUS ?

En résumé, même si l’appareil est retourné au propriétaire une fois sur deux, dans la grande majorité des cas, des informations confidentielles auront été consultées.

Alors, maintenant, quelques conseils :

Recommandations pour le grand public (j’aime pas trop “mobinautes”…)

• Verrouillage automatique de l’appareil après un certain temps de non-utilisation, et déblocage avec mot de passe, fort si possible…dans ce cas, penser à un sticker avec coordonnées à contacter, car sans accès aux données, difficile de retrouver le propriétaire !
• Utilisation d’outils de protection pour mobiles pouvant bloquer, effacer ou localiser l’appareil à distance
• Évidement, garder l’outil sous la main, et ne pas le laisser sans attention
• Personnaliser le mobile pour éviter confusion, échange, en facilitant l’identification rapide
• Posséder une sauvegarde des informations et documents du smartphone

Et pour les entreprises :

• Mise en place de politiques de sécurité pour les employés utilisant des appareils mobiles à des fins professionnelles, telles que le verrouillage et autres options citées plus haut, via un outil de gestion de flotte de terminaux mobiles, mieux encore en ajoutant la gestion des mobiles à celle déjà en place des terminaux classique.
• Développer un focus sur la protection des informations, pas seulement des terminaux.
• Éduquer les collaborateurs sur les risques et les impacts associés à la perte ou au vol.
• Tenir à jour un inventaire des appareils mobiles connectés au réseau de l’entreprise.
• Disposer d’un processus complet à suivre en cas de perte ou de vol, et pas uniquement la commande du nouveau..
• Considérer les smartphones et autres tablettes comme les terminaux à part entière qu’ils sont devenus

Tous les détails du projet dans ce document “Smartphone Honey Stick Project“, ou l’on ne parle pas d’étude, car très difficile de tirer des conclusions globales sur un si petit “échantillon”…

Maintenant, si vous avez une idée pour “perdre” quelques milliers de smartphones, je suis preneur !

 Toute généralisation est une hypothèse.

Henri Poincaré.

Une étude intéressante menée par l’IT Policy Compliance Group présente les éléments différenciateurs entre CISO/RSSI et Business Risk Managers.

En l’occurrence :

• 69% ont recours à l’automatisation des évaluations dans leur environnement IT
• 61% collectent et communiquent les informations au moins 2 fois par semaine
• 75% utilisent leurs tableaux de bords et “scorecard” pour visualiser les risques

Cela se révèle payant, d’après l’étude, les organisations des “BRM” dépensent 1,7 fois plus en protection de l’information.

Tous les détails en cliquant sur l’image :

Et hop, un nouveau terme dans le grand dictionnaire des attaques et autres maliciels :

ATTACK + TAGGING = ATTAGGING !

L’idée est donc d’utiliser les QR Codes comme vecteur d’attaque des smartphones et de leur utilisateur, et de la même manière qu’avec les URL raccourcis, diriger automatiquement vers un site malveillant, dans le but classique de nuire.

Rappelons au passage, que la lecture d’un QR Code permet directement de :

• naviguer vers un site internet, ou mettre l’adresse d’un site dans les favoris
• faire un paiement direct via son smartphone
• ajouter une carte de visite virtuelle dans les contacts, ou un événement dans l’agenda
• déclencher un appel vers un numéro de téléphone ou envoyer un SMS
• fournir des données de geo-localisation
• télécharger une application mobile
• …..

Et rien n’arrêtera la progression des QR Codes tant l’intérêt est évident, à la fois pour les émetteurs sur un plan commercial ou de communication et les utilisateurs compte tenu de la simplicité d’emploi.

Il s’est même vendu des “décalcomanies” QR Codes, tatouages parlants éphémères, lors de la Saint-Valentin, pour déclarer sa flamme !

Mais attention, des auto-collants permettant de remplacer de vrais QR codes seraient déjà en circulation…

Alors, si vous avez un doute, et comment pourrait-il en être autrement, voici un outil gratuit et semble-t-il très apprécié, pour vérifier l’innocuité d’un QR Code AVANT de le “flasher” : NORTON SNAP.

Disponible pour iOS via iTunes ou Android sur le marché Android.

Parmi les centaines de millions d’applications disponibles pour nos smartphones et tablettes, on trouve “Dog Wars“, un jeu de combat de chiens !

Comment dire…..

Mais l’association PETA (People for Ethical Treatment of Animals) a choisi un moyen de réagir, en publiant une version modifiée (…) qui, dès l’installation, envoie un SMS à tous les contacts enregistrés, dévoilant de se fait son goût particulier à tout son répertoire !!!

Par ailleurs, le joueur sera ajouté aux listes de distributions de PETA, et recevra ainsi leur messages d’informations…

Ce genre de technique avait déjà été utilisé il y a quelque temps, rappellez-vous d’Android Walk&Text.

Le monde de la réalité a ses limites; le monde de l’imagination est sans frontières.

Jean-Jacques Rousseau