Probablement mon outil préféré en la matière, et déjà intégré dans les différents produits Norton, mais cette fois en seul « plugin » de vos navigateurs : Internet Explorer, Chrome, Firefox, Safari et Opéra; ainsi que vos smart-trucs car également disponible pour iOS et Android !

Et tout ça, synchronisé dans un cloud sécurisé !

Rien à ajouter, si ce n’est : l’essayer c’est l’adopter !

Chaque année, à l’occasion de la petite semaine de sports d’hiver helvète réunissant le gratin mondial, un rapport sur les risques globaux est publié. Au delà du côté anxiogène de l’affaire, il reste toujours plus utile de savoir pour anticiper, que de rester dans l’ignorance… A noter cette année, un chapitre important dédié aux risques technologiques dont les « cyber-attaques » et « défaillances de systèmes critiques« .

Voici un court extrait :

Objectives of Cyber Attacks :

Sabotage

• Users may not realize when data has been maliciously, surreptitiously modified and make decisions based on the altered data. In the case of advanced military control systems, effects could be catastrophic. National critical infrastructures are increasingly connected to the Internet, often using bandwidth leased from private companies, outside of government protection and oversight.

Espionage

• Sufficiently skilled hackers can steal vast quantities of information remotely, including highly sensitive corporate, political and military communications.

Subversion

• The Internet can spread false information as easily as true. This can be achieved by hacking websites or by simply designing misinformation that spreads virally. Denial-of-service attacks can prevent people from accessing data, most commonly by using “botnets” to drown the target in requests for data, which leaves no spare capacity to respond to legitimate users.

Voici un des schémas associés :

Le mini-site en cliquant sur l’image :

Et le site du WORLD ECONOMIC FORUM en lui-même : http://www.weforum.org/issues/global-risks

Lisez plutôt :

« If we are now in the process of transforming the way we create wealth, from the industrial to the informational … the more knowledge-intensive military action becomes, the more nonlinear it becomes; the more a small input someplace can neutralize an enormous investment. And having the right bit or byte of information at the right place at the right time, in India or in Turkistan or in God knows where, could neutralize an enormous amount of military power somewhere else … Think in terms of families. Think in terms of narco-traffickers. And think in terms of the very, very smart hacker sitting in Tehran. »

- Alvin Toffler

Mais le plus intéressant, me semble-t-il, est que cette citation provient d’un article de Wired, daté de 1993 !!!

Et d’ailleurs, pour en savoir plus sur les prédictions passées, tout est là :

Pour ma part, j’attendrais un peu que le peloton soit passé…mais d’ici là, excellente année 2012 !!!

N’en déplaise au Mayas…

 Le pire n’est jamais certain.

Quelques exemples :

Les OS mobiles sur les 3 dernières années, dans le monde :

Idem, pour la France :

(je suis quand même surpris par les chiffres Symbian et BB en France…)

A noter également des recherches possibles par :

• Navigateur (et version)
• Navigateur mobile
• Système d’exploitation (et sur mobile)
• Moteur de recherche (et mobile)
• Médias sociaux
• …

Et pour tous les pays, y compris l’Antarctique, pour savoir avec quoi téléphonent les pingouins !!!

Des « exploits » ont déjà été identifiés et utilisant notamment la porte dérobée (backdoor) Backdoor.Sykipot, qui dépose le cheval de Troie Trojan.Pidief sur la cible, le tout via des messages de ce type :

En attendant une mise à jour, qui ne saurait tarder :

• éviter d’ouvrir des pdfs de provenance douteuse
• et fermer le plug-in Pdf dans le navigateur

C’est très simple, voilà comment faire :

- Mozilla: tools -> add-ons -> disable adobe acrobat
- Internet Explorer : tools -> manage add-ons

Même genre de manipulation pour les autres navigateurs…

Et pour mémoire, le dernier rapport de mensuel de Symantec November 2011 Symantec Intelligence report (oui, un PDF, mais sans danger !) qui contient des informations complémentaires sur les attaques cibles et autres menaces persistantes avancées (APT).

Egalement disponible depuis 2010, une étude techniquement plus détaillée sur l’utilisation malveillante de fichiers pdf : The Rise of PDF Malware.

En effet, des chercheurs de l’université de Columbia auraient mis en évidence la possibilité de prendre le contrôle d’imprimantes laser à distance (en modifiant le micro-code et via la mise à jour du firmware) et du coup, potentiellement leur faire faire pas mal de choses…pas forcément prévues au catalogue :

• Les utiliser comme radiateurs d’appoints, avec fumée en sus (heureusement, un système de contrôle limite la montée en température…enfin normalement)
• Faxer un document envoyé pour impression
• Infecter des ordinateurs connectés
• Participer à un botnet
• …

Bref, la liste pourrait être longue.

S’il est clair que les fabricants vont se pencher sur le sujet, ceci démontre à quel point les vulnérabilités sont partout, pour peu que l’on se donne la peine de les rechercher. Et en la matière, compte tenu de la croissance explosive du nombre et des types de « trucs » connectés (télévisions, consoles de jeux, lecteurs Blu-Ray, voitures…..) l’espace a explorer est plutôt…..vaste.

Inutile de dire que cela étend les domaines d’analyse et de gestion des risques et de plan de reprise d’activité.

La notion de « terminal » doit aussi être étendue des classiques desktop ou laptop, vers les smartphones ou tablettes évidement, mais également aux autres « devices », notamment lors des sessions de mise à jour, qui au minimum devront utiliser des certificats.

Pour mémoire, un concept sur lequel méditer :

« On ne peut protéger que ce que l’on sait gérer. »

L’article complet de MSNBC (en anglais) ici :

p

Un poil supérieur à la moyenne mondiale quand même…

Mais un bon cran en dessous ici :

Si le coeur vous en dit, le rapport complet est là :

http://www.symanteccloud.com/en/us/mlireport/SYMCINT_2011_10_October_FINAL-en.pdf

Et toujours la « totale » ici : http://www.symantec.com/content/en/us/enterprise/media/security_response/whitepapers/w32_stuxnet_dossier.pdf

Alors, possesseurs d’iPad 2, ATTENTION :

Détails ici : http://9to5mac.com/2011/10/20/anyone-with-a-smart-cover-can-break-into-your-ipad-2/

Correctif à venir, j’imagine…

Cela dit, ça promet dans l’optique ATAP…..

ATAP : « Amène Ton Appareil Personnel » (…euh, je crois que je préfère encore BYOD !)

En bref, un FAI doit dorénavant avertir la CNIL, et le cas échéant l’intéressé, en cas de « disparition » d’informations à caractère personnel.

Les paris sont ouverts : QUI sera le premier à passer au « 20 heures », pour expliquer que, bon, bah, euh, comment dire….on a paumé des trucs !

Les détails du texte : (notez au passage le « susvisée »…j’adore !)

Il est inséré, après l’article 34 de la loi du 6 janvier 1978 susvisée, un article 34 bis ainsi rédigé :

• I. ― Le présent article s’applique au traitement des données à caractère personnel mis en œuvre dans le cadre de la fourniture au public de services de communications électroniques sur les réseaux de communications électroniques ouverts au public, y compris ceux prenant en charge les dispositifs de collecte de données et d’identification. Pour l’application du présent article, on entend par violation de données à caractère personnel toute violation de la sécurité entraînant accidentellement ou de manière illicite la destruction, la perte, l’altération, la divulgation ou l’accès non autorisé à des données à caractère personnel faisant l’objet d’un traitement dans le cadre de la fourniture au public de services de communications électroniques.

• II. ― En cas de violation de données à caractère personnel, le fournisseur de services de communications électroniques accessibles au public avertit, sans délai, la Commission nationale de l’informatique et des libertés. Lorsque cette violation peut porter atteinte aux données à caractère personnel ou à la vie privée d’un abonné ou d’une autre personne physique, le fournisseur avertit également, sans délai, l’intéressé.
  La notification d’une violation des données à caractère personnel à l’intéressé n’est toutefois pas nécessaire si la Commission nationale de l’informatique et des libertés a constaté que des mesures de protection appropriées ont été mises en œuvre par le fournisseur afin de rendre les données incompréhensibles à toute personne non autorisée à y avoir accès et ont été appliquées aux données concernées par ladite violation.
  A défaut, la Commission nationale de l’informatique et des libertés peut, après avoir examiné la gravité de la violation, mettre en demeure le fournisseur d‘informer également les intéressés.

• III. ― Chaque fournisseur de services de communications électroniques tient à jour un inventaire des violations de données à caractère personnel, notamment de leurs modalités, de leur effet et des mesures prises pour y remédier et le conserve à la disposition de la commission.

A ce jour, cette ordonnance impacte essentiellement les fournisseurs d’accès à internet (pas seulement les telcos…), mais il faut s’attendre à un élargissement à d’autres secteurs d’activités (banque, grande distribution, santé…), comme l’annonçait récemment Vivian Reding devant un parterre de banquiers :

Je comprends que l’introduction d’une telle notification systématique serait un fardeau pour certains d’entre vous dans le secteur bancaire. Toutefois, l’obligation de rendre public une perte importante d’informations est nécessaire et améliorerait la confiance des consommateurs.

 

Bon, cela dit tout va bien, des solutions existent, qui doivent prendre en compte les aspects humains, procéduraux et technologiques.

Il faut juste prendre les choses au sérieux et traiter l’information à sa juste valeur…enfin.

Et pour ceux qui aurait oublié (!)…un rappel sur ce qu’est une ordonnance en droit constitutionnel.