Chaque année, à l’occasion de la petite semaine de sports d’hiver helvète réunissant le gratin mondial, un rapport sur les risques globaux est publié. Au delà du côté anxiogène de l’affaire, il reste toujours plus utile de savoir pour anticiper, que de rester dans l’ignorance… A noter cette année, un chapitre important dédié aux risques technologiques dont les « cyber-attaques » et « défaillances de systèmes critiques« .

Voici un court extrait :

Objectives of Cyber Attacks :

Sabotage

• Users may not realize when data has been maliciously, surreptitiously modified and make decisions based on the altered data. In the case of advanced military control systems, effects could be catastrophic. National critical infrastructures are increasingly connected to the Internet, often using bandwidth leased from private companies, outside of government protection and oversight.

Espionage

• Sufficiently skilled hackers can steal vast quantities of information remotely, including highly sensitive corporate, political and military communications.

Subversion

• The Internet can spread false information as easily as true. This can be achieved by hacking websites or by simply designing misinformation that spreads virally. Denial-of-service attacks can prevent people from accessing data, most commonly by using “botnets” to drown the target in requests for data, which leaves no spare capacity to respond to legitimate users.

Voici un des schémas associés :

Le mini-site en cliquant sur l’image :

Et le site du WORLD ECONOMIC FORUM en lui-même : http://www.weforum.org/issues/global-risks

Car après Stuxnet, clairement classé dans la catégorie cyber-sabotage, compte tenu de son fonctionnement et ceci quelque fut la cible, la question des cyber-attaques à motivation politique ou idéologique se pose quand même (Cassandre sort de ce corps !). Notamment sur la manière et les moyens d’aborder ce type de risque, dont je rappelle les types de traitement génériques : Prévention, Acceptation, Réduction, Transfert.

Donc, un « MUST SEE » absolu si le sujet vous intéresse, même 30 minutes et en anglais, si si, j’insiste…:

Par chez nous, on appelle cela plutôt LID (Lutte Informatique Défensive) et LIO (Lutte Informatique Offensive), sujet qui semble moins souvent faire la une de nos médias…bien que des initiatives sérieuses ont été prises depuis la publication du Livre Blanc sur la Défense et la Securité Nationale à travers notamment la création de l’Agence Nationale de la Sécurité des Systèmes d’information – ANSSI. D’ailleurs, en septembre dernier, la France a participé pour la première fois à l’exercice CYBERSTORM, pendant international de notre PIRANET, pour faire court.

Si vis Pacem, Para bellum…ou pas.

Un romain.

Certains en font déjà un business, mais pas forcément comme on l’attend : ATTENTION, vous avez été vérifié !

Récemment aux Etat-Unis, j’ai été frappé par un spot de pub passant très régulièrement sur différents chaînes de télé. Il vente les mérites du site www.beenverified.com. On y propose de vérifier le passé de n’importe qui d’après de nombreuses sources publiques (!) et permettant ainsi de :

1. Rechercher des amis perdus de vue…(mouais…)
2. Faire des recherches dans les réseaux sociaux (plus de 40…)
3. utiliser un annuaire inversé
4. obtenir des informations judiciaires
5. Savoir si un délinquant sexuel habite près de chez vous !

Rassurez-vous, c’est uniquement aux USA, mais voyez plutôt :

Et ce n’est pas tout, car concernant la recherche de délinquants sexuels, une application Android et  iPhone est également disponible en réalité augmentée…(rien que ça !); le Sex Offender Tracker, voici le clip :

______________________________________________________________________________________________________

Pour finir cet article et commencer le week-end sur une note plus légère, le type étrange qui présente le clip, Antoine Dodson, a récement fait le « buzz » sur le net à la suite d’une tentative d’agression sexuelle envers sa soeur, qu’il commente de manière très personnelle et virulente sur les actualités locales, MAIS SURTOUT, parce que repris par les Gregory Brothers, champion de l’auto-tune et du « Songify » sur le net.

L’extrait du JT local :

La version des Gregory Brothers, visionnée plus de 41 millions de fois :

Mais jusqu’ou s’arrêteront-ils ?

Coluche.

C’est ce que l’on nomme la double authentification; pas récent, mais simple, efficace et surtout pratique et gratuit via l’utilisation de son mobile.

Alors, comment renforcer de manière très significative la sécurité d’accès à votre compte avec un second mot de passe, qui change toute les 30 secondes ?

1) télécharger le module VIP de Verisign sur votre mobile (modèles supportés) depuis le site http://m.verisign.com ou iTunes puis suivez les instructions. Vous possédez désormais un « credential ID » qui restera le même (à conserver précieusement !!!), et un « security code » qui est modifié toutes les 30 secondes.

2) rendez-vous sur http://www.ebay.com/securitykey puis Activate it now! Visiblement, il faut passer par le site US…

(Au fait, vous n’avez pas besoin du petit bidule gris, le « token »…)

D’abord on entre le SECURITY KEY (ou Credential ID)

Puis, le code à 6 chiffres…

Enfin un second, dès que le précédent a changé.

Voilà, votre mot de passe est protégé par un autre mot de passe !

Lors de la prochaine connexion à votre compte eBay, vous rentrez votre identifiant, puis votre mot de passe suivi de celui fourni à ce moment par l’application VIP sur votre Smartphone (sans espace entre les 2, genre « motdepasse123456« ).

Quasiment impossible dès lors de se faire pirater son compte…mais, comme toujours, la vraie sécurité a un prix.

• En effet, lors d’une perte ou d’un vol du mobile, il faudra passer par une procédure spéciale et se faire appeler (sur un autre numéro of course…) par l’assistance commerciale eBay pour réactiver le tout (je n’ai pas testé la réactivité…)
• Dans le cas d’un changement de mobile, pensez à désactiver la double authentification AVANT, car vous aurez besoin du code une dernière fois. Ceci se fait dans la section « My ebay/Account/Personal information/Security information« , disponible UNIQUEMENT sur le site US, www.ebay.com (testé avec succès !) Puis redémarrez à l’étape 1 !

Au passage, c’est une vraie solution pour stopper le phishing, dont plus de 70% cible les activités financières…..alors j’aimerais que ma banque s’y mette !

Il est évident que l’utilisation du simple couple « identifiant/mot de passe » a vécu.

La protection des identités sera le prochain « BIG THING » de l’internet, et ce à très court terme.

Difficile à dire sans essayer…et surtout lorsqu’il s’agit d‘URL raccourcies comme dans Twitter…

Il existe maintenant une réponse (en bêta et gratuite) avec la version Facebook de Norton SafeWeb.

Tous les liens postés par des « Amis » ou des applications sont scannés en temps-réel :

Que vous trouverez ici : http://www.facebook.com/apps/application.php?id=310877173418

Avoir beaucoup d’amis, c’est n’avoir point d’amis.

Aristote.

CITIUS, ALTIUS, FORTIUS !!! comme on dit à Fort Boyard…

En (très) résumé :

Plus vite : à la limite de l’excès de vitesse…

• des scans plus rapides car seuls les fichiers potentiellement risqués sont sélectionnés
• des alertes concernant les problèmes de performance et des infos sur les applications qui ralentissent (vraiment) la machine
• des mises à jour légères et très fréquentes

Plus haut : niveau de protection de l’identité et des données personnelles accru.

• le renforcement de SafeWeb pour un blocage pro-actif des sites malveillants
• l’extension de la protection des téléchargements

Plus fort : rempart contre les maliciels et facticiels en tous genre

• l’utilisation systématique des technologies de réputation
• un moteur de détection comportementale plus puissant
• des outils de nettoyage et de récupération avancés

Et plein d’autres trucs dont nous parlerons en détail bientôt…

Pour mémoire, le forum de la communauté Norton est là :

]]> http://www.helloblog.fr/index.php/norton-internet-security-2011-en-beta-fonctionne-aussi-pour-les-gauchers/feed/ 0 http://www.helloblog.fr/index.php/internet-nest-pas-un-parc-dattraction/ http://www.helloblog.fr/index.php/internet-nest-pas-un-parc-dattraction/#comments Fri, 13 Feb 2009 11:50:26 +0000 Laurent http://www.helloblog.fr/?p=130 Ni même une cour de récréation.

La triste actualité nous le rappelle de plus en plus fréquemment. La protection des plus vulnérables reste un impératif alors même qu’aujourd’hui les plus jeunes sont connectés de plus en plus tôt, de plus en plus longtemps. Le manque de connaissance ou d’intérêt des parents (ou enseignants) autour de l’internet, ses usages et ses dangers renforce indubitablement les risques.

J’ai eu l’occasion d’assister il y a une dizaine de jours à un colloque à l’Assemblée Nationale sur le thème :

« La protection de l’enfance sur internet : Prévenir l’accès aux contenus à risque »

Journée placée sous le haut patronage de Nadine MORANO, secrétaire d’Etat chargée de la Famille auprès du ministre du Travail, des Relations sociales, de la Famille et de la Solidarité, et présidée par Pierre LASBORDES, Député de l’Essonne, auteur en 2005 de l’excellent (et toujours d’actualité) rapport  » La sécurité des systèmes d’information : un véritable enjeu pour la France ». Il est d’ailleurs à mon sens un des trop rares  »politiques » à avoir réellement pris conscience de l’ampleur du problème. (Contredisez-moi !)

Une dizaine d’intervenants d’horizons divers (Politique, Police, Justice, ONG, Médecins, Editeurs de logiciels…) se sont succédés pour réaffirmer l’urgence de la situation et présenter les pistes à suivre, à savoir : EDUCATION, TECHNOLOGIE et REGLEMENTATION.

- Education : Sortir de la confiance implicite accordée à l’internet, par manque de connaissance.

Il faut une éducation adaptée au différentes cibles : enfants, pré-ados, ados, parents, enseignants, officiels…, pour réduire la fracture générationnelle qui rompt souvent le dialogue, pourtant incontournable en la matière.

- Technologie : Vers un contrôle parental « 2.0″

Les solutions de contrôle parental actuelles ne sont pas adaptées au problème; je le sais, j’en ai testé plusieurs…ou alors c’est tellement contraignant que l’on finit par les supprimer. Une nouvelle génération d’outils de protection impliquant parents et enfants est nécessaire.

- Règlementation : Des lois, des droits, des devoirs adaptés à la nouvelle donne, et à un rythme correspondant.

Le monde en ligne ne doit pas devenir une zone de non-droit. Les législations doivent évoluer rapidement et s’accorder au niveau international pour garantir leur efficacité.

Voici l’introduction de Pierre Lasbordes :

Parmi les intervenants, Michel Bensadoun, Vice-président Symantec Europe de l’ouest, présente le rôle que doit jouer la technologie dans la protection de l’enfance sur internet :

Et les réponses à la question : Quelle est selon vous la priorité en matière de protection de l’enfance sur internet ?

Par Christian Aghroum, Commissaire Divisionaire, Chef de l’OCLCTIC, Direction Centrale de la Police Judiciaire :

Par Myriam Quemener, Magistrat, Parquet général de la gour d’appel de Versailles :

Par Véronique Fima-Fromager, Directice de l’association Action Innocence France :

A propos, j’adore le terme « Haut patronage »

Et le rapport Lasbordes est là : http://www.lasbordes.fr/IMG/pdf/rapport_Pierre_Lasbordes.pdf

Ce clip fait vraiment froid dans le dos.

Bon, pour ne pas rester sur une note si juste mais si sombre, un autre clip, disons plus léger…

Comment dire…..