KranF.com – Le Blogue

Technologies, Médias Sociaux et Marketing Internet
Écrit par Francis Bilodeau @ 5:21 pm le 22 October 2008
Filed under: Entreprise,Fraude,Piratage,Sécurité

Vous vous rappelez peut-être le billet que j’ai écrit cet été concernant la moitié des employés des services TI qui consultaient des fichiers d’entreprises confidentiels. Sans vouloir remettre de l’huile sur le feu, une nouvelle étude de Compuware supporte l’étude publiée à l’époque, mais indique que les employés TI font un excellent travail pour arrêter les pirates informatiques extérieurs qui tentaient de voler de l’information privilégiés dans l’entreprise. En effet, selon l’étude, seulement 1% des données volés l’année dernière seraient la cause de pirates informatique. Le reste serait la négligence des employés qui agiraient de façon soit malveillante ou inconsciente ce qui aurait comme effet de cause une perte d’information importante en entreprise. Ceci inclut également les anciens employés.

Selon le sondage réalisé lors de cette étude, 1,112 professionnels de l’industrie des TI ont indiqué à 79% que l’organisation dans laquelle ils travaillaient ont subi au moins une infiltration. C’est un nombre assez élevé qui s’expliquerait par plusieurs facteurs:

  • Le terme infiltration lors de l’étude n’est pas clairement défini. Selon Compuware, il s’agit de la perte ou le vol de données importantes tel que l’information des individus, tel que les clients et les employés. Il y demeure certainement certaines nuances à savoir jusqu’à quel point l’information perdue est importante.
  • La magnitude d’une attaque n’est pas défini et est traité de la même manière. Par exemple, une attaque qui affecte 2 millions de personnes est traitée comme une attaque qui touche 2 personnes.
  • Aucune nuance sur la gravité des pertes n’a été faite. On prend donc simplement en considération qu’une perte a eu lieu, point à la ligne.

Cependant, en général, l’analyse de Compuware semble bien fondée et couvre un certain nombre de sujets intéressants. Par exemple, suite à une attaque, 41% des répondants ont indiqués participer à des enquêtes afin de vérifier les détails de l’incident. 18% des répondants indiquent qu’ils ont été impliqués dans les activités de restauration. 16% ont été chargés d’éducation et de formation du personnel. 11% a procédé à une analyse de cause, et 10% ont mis sur pied un équipe de réponse aux incidents.

Ensuite, nous avons ce que je considère personnellement comme les informations les plus intéressantes du rapport. Compuware a demandé au répondants comment ils sont confiants dans leur propre entreprise de la capacité de répondre à un tel événement.

Sondage 1

31% des employés ne sont donc pas confiants de pouvoir répondre à une attaque… même s’ils font probablement parti de l’équipe qui en est souvent responsable… Intéressant, mais surtout pourquoi?

Les répondants, questionné sur le nom des principales causes de violations de données, indique que la cause de négligence en est la principale. Combinez cela avec le fait que la plupart des travailleurs ne font pas confiance à leur entreprise pour surveiller l’apparition de vol de données et le fait que relativement peu d’employés de TI sont chargés de la formation des employés, cela n’est pas surprenant. La majorité des professionnels interrogés ne croient pas que leur employeur peut surveiller correctement les ressources de l’entreprise en ce qui concerne la violation de données ou la prévention d’une violation. Compte tenu de ces faits, on pourrait s’attendre à voir le nombre de personnel impliqué dans la formation des travailleurs de monter en flèche suite à une l’infraction, mais là encore, il semble ce n’est pas le cas.

Sondage 2

Le rapport suggère en fin de compte que la grande majorité des entreprises ont des modèles de sécurité qui sont à demi-fonctionnel au mieux. Pas plus optimiste que mon dernier billet qui portait sur le sujet, je vais l’admettre, mais en même temps, je pense que ces résultats ne sont pas surprenant.

Écrit par Francis Bilodeau @ 6:03 pm le 5 August 2008
Filed under: Entreprise,Fraude,Internet,Piratage,Sécurité

C’est via une étude datant de 2006 faite par l’Université du Michigan que l’on apprend que plus de 75% des sites bancaires ne sont pas sur la coche en ce qui attrait la sécurité. On espère que les choses ont évolués depuis, l’étude étant publié au début de Août 2008.

Cette étude a évalué 214 institutions financières et à mis l’accent sur les défauts de conceptions et les mauvaises pratiques en matières de sécurité. Il n’y a aucune faille catastrophique qui a été trouvé, c’est plutôt des méthodes d’utilisation qui pourrait facilité le vol de votre nom d’utilisateur et mot de passe qui ont été décelés.

L’étude complète est disponible ici. Cette étude ne révèle pas spécifiquement quelles failles de sécurité ont été trouvés pour un site en particulier. Les failles étudiées sont les suivantes:

Mauvais système de connexion

Prêt de la moitié des institutions étudiés ont des pages d’authentifications dites “sécurisés” sur des pages qui sont en faits non-sécurisés puisque les dites pages ne sont pas protégées par un protocole SSL. Un certificat SSL, qui peut être vu par la présence d’un cadenas dans votre navigateur, permet l’encryptage des données lors de l’échange entre votre ordinateur et le serveur du site web que vous visitez. N’ayant pas de certificat de sécurité, un pirate pourrait intercepter l’échange entre votre poste de travail et le serveur, ce qui est communément appelé une attaque “man in the middle”. L’étude indique que la plupart des institutions ont effectivement un certificat SSL valide, mais celui-ci n’est tout simplement pas en place pour la page de connexion. Cet élément est également bon à savoir pour vous, si vous récoltez de l’information personnelles de vos clients, il est fortement conseillé de faire l’acquisition d’un certificat de sécurité.

Informations “contactez-nous” sur une page non-sécurisé.

55% des institutions échouent ce test. Une attaque similaire à la précédente pourrait laisser un hacker changer le numéro de téléphone figurant sur la page d’informations de contact, la réorientation des clients vers un faux centre d’appel pourrait permettre le vol du nom d’utilisateur et le mot de passe.

Rediriger l’utilisateur l’extérieur du site de la banque sans avertissement

Lorsque les utilisateurs sont dirigés vers d’autres services (tels que, par exemple, sites de paiement de factures), la banque n’avise pas les usagers du changement. Un utilisateur ne sais pas si ce qu’il voit est digne de confiance ou non.

En utilisant les numéros de sécurité sociale ou les adresses e-mail pour les identifiants d’utilisateur

Ces choses sont simples à deviner ou à trouver, en particulier les adresses e-mail. Les banques devraient permettre aux utilisateurs de créer un nom d’utilisateur personnalisé, ainsi que de politique sur les mots de passe faibles. Ce que 28% des institutions ne font pas.

Envoi par e-mail d’informations confidentielles

Des éléments importants, tel que les relevés financiers devraient être envoyé de manière sécurisé. Les mot de passe, par exemple, ne devrait jamais être envoyé en texte simple. 31% des institutions ont échoués ce test.

Écrit par Francis Bilodeau @ 2:02 pm le 24 June 2008
Filed under: Entreprise,Fraude,Piratage,Sécurité

C’est via un article de PCWorld que j’apprends le résultat d’un sondage qui me surprend beaucoup. Presque la moitié des travailleurs en informatique ont admis fouiller sur les réseaux de leur entreprise afin de consulter des informations confidentielles, selon la recherche de Cyber-Ark, entreprise de logiciel.

“When it comes down to it, IT has essentially enabled snooping to happen. It’s easy — all you need is access to the right passwords or privileged accounts and you’re privy to everything that’s going on within your company,” said Mark Fullbrook, U.K. director of Cyber-Ark.

Ce sondage a d’ailleurs indiqué que les mots de passe privilèges ne sont changés que très rarement. 30% ont admis que les mots de passe privilèges sont changés chaque trimestre tandis que 9% ont indiqué que les mots de passe ne changeaient jamais, donnant un accès indéfini à ceux qui savent les mots de passe même après une mise à pied.

“As we have seen many use their privileged passwords without having to seek authorization, and if the price is right what’s stopping them from choosing to trade information to the highest bidder,” said Fullbrook.

“Companies need to wake up to the fact that if they don’t introduce layers of security and tighten up who has access to vital information, by managing and controlling privileged passwords, snooping, sabotage and hacking will continue,” he added.

Les entreprises ont donc intérêt à revoir leur sécurité et leur méthode d’accès au réseau ainsi qu’instaurer une procédure de renouvellement des mots de passes. Comme Mr. Fullbrook l’indique, ces informations peuvent être vendues et sabotés. La situation devient alors beaucoup plus difficile à gérer.

Écrit par Francis Bilodeau @ 11:21 am le 13 June 2008
Filed under: Actualité,Internet,Marketing,Piratage

Le projet de loi C-61 a fait son entrée hier en chambre des communes lorsqu’il fût présenté par le ministre de l’industrie M. Jim Prentice. Il n’en fallait pas plus pour qu’un groupe sur Facebook soit crée afin de protester contre cette loi. Déjà, au moment d’écrire ces lignes, plus de 45,000 membres se sont joints au groupe mené par Michael Geist, un professeur en droit à l’Université d’Ottawa. Voici les raisons pour lesquelles les gens protestent contre ce projet de loi.

Tout d’abord, il sème la controverse de plusieurs manières. Ce nouveau projet de loi permet aux clients qui ont achetés un produit, par exemple un CD audio de faire des copies privés. C’est-à-dire copier la musique d’un CD vers un lecteur MP3 par exemple. Cependant, il sera interdit de faire la même chose sur un audio protégé technologiquement de quelques façons que ce soit. Par exemple, il serait interdit de copier une chanson protégé par DRM pour en faire une version “DRM-Free”. Ce faisant, l’utilisateur s’exposerait à des poursuites en justices et des amendes plutôt élevés.

Également, les “uploaders” de fichier audio, mais également les “downloaders” (via Torrents ou autre P2P), pourraient également être poursuivis. Dans le passé, le RMCP avait statué que les “uploaders” ne serait pas poursuivi, mais ce projet de loi renforcirait la loi et ils seraient maintenant tout autant victime de poursuite judiciaire. Le projet de loi parle d’ailleurs d’une pénalité de 500,00$ qui pourrait être revu à la baisse jusqu’à 200,00$ dépendamment de l’infraction.

Limitation:

(1.1) Si le titulaire du droit d’auteur se prévaut du paragraphe (1) à l’égard d’une personne physique qui a commis les violations à des fins privées, le montant des dommages-intérêts préétablis est fixé à 500 $.

Également, les gens qui ont des sites de torrents par exemple seront également punis si le nouveau projet de loi est accepté.

Infraction : contournement de mesure technique

(3.1) Quiconque — à l’exception de la personne qui agit pour le compte d’une bibliothèque, d’un musée, d’un service d’archives ou d’un établissement d’enseignement — contrevient sciemment et à des fins commerciales à l’article 41.1 commet une infraction passible :

a) sur déclaration de culpabilité par mise en accusation, d’une amende maximale de 1 000 000 $ et d’un emprisonnement maximal de cinq ans, ou de l’une de ces peines;

b) sur déclaration de culpabilité par procédure sommaire, d’une amende maximale de 25 000 $ et d’un emprisonnement maximal de six mois, ou de l’une de ces peines.

Personnellement, je trouve que c’est une mauvaise nouvelle de pénaliser les utilisateurs qui paient en ce moment trop cher pour leur musique pour le service qu’ils ont. Les compagnies de musiques commençaient à comprendre que le DRM était une mauvaise idée et il délaissait les fichiers protégés pour avoir des fichiers sans protection. C’est exactement ce que les gens veulent! Ils veulent pouvoir se servir de la musique qu’ils achètent partout. Que ce soit, dans leur voiture, sur leur lecteur MP3, sur leur ordinateur, etc. Tout en ne payant pas trop cher par chanson et en ayant une bonne qualité audio et surtout des fichiers que l’on peu utiliser n’importe où! Je crois sincérement que les gens achèterons leur musique et délaisseront le piratage. Quand c’est plus facile de pirater que d’acheter, on a de sérieuses questions à se poser! Malheureusement, ce genre de projet de loi ne fait qu’encourager les compagnies à conserver les DRM sur leurs musique vendues.

À suivre…

Recevez les billets par courriel!


Add to Netvibes
Add to Google
Subscribe with Bloglines

 TwitterCounter for @fbilodeau


Mon Twitter

Calendrier

December 2017
M T W T F S S
« Sep    
 123
45678910
11121314151617
18192021222324
25262728293031