avril, 2013

Snort 2.9.4.5 est disponible… à télécharger à l’adresse habituelle

Sale temps pour les smartphones : IOS et Android retiennent l’attention des institutions. L’iPhone, tout d’abord, après des années de pratiques douteuses en matière d’atteinte à la vie privée, est parvenu à faire réagir la Cnil qui, en collaboration avec l’Inria, a analysé 189 applications (parmi 1 million recensées fin 2012, soit 2 pour mille). Et de découvrir, nous apprennent nos confrères de PCInpact que 93% des appliquettes accèdent à Internet (un scoop dans le monde de la 3-4 G), que 46% récupèrent les données contenues dans le champ UDID de l’appareil et 8% aux champs du carnet d’adresses. Lors d’un usage normal, la Cnil aurait comptabilisé « près de 41 000 événements de géolocalisation pour 6 personnes en 90 jours, soit une moyenne de 76 événements par volontaire par 24 heures». Chiffres sans véritable signification s’ils ne sont pas accompagnés d’une étude socio-technique d’usage effectuée sur un échantillonnage plus important. L’étude de la Cnil s’est soldée par quelques avis de prudence, le souhait que les acteurs tiers soient moins intrusifs et plus responsables des données susceptibles d’être collectées, et que les développeurs tiennent un peu mieux compte des règles élémentaires de respect de la vie privée numérique des usagers. Sans le moindre pouvoir de contrainte, financière ou légale, ces conseils ont peu de chances d’être entendus, surtout sachant que la majorité des sociétés éditrices sont étrangères.

Côté Google, la levée de boucliers rappelle un peu les débuts du procès anti-trust visant Microsoft. Toute la presse économique en parle (dont le Point par exemple) : Un consortium de 17 plaignants a adressé une plainte pour pratiques anticoncurrentielles devant la Commission Européenne. Au nombre de ces plaignants, on compte notamment Nokia, Microsoft et Oracle. En ligne de mire, Android. C’est donc bel et bien une nouvelle bataille juridique des systèmes d’exploitation qui est en train de se déclarer. Google, fait remarquer notre confrère du Point, est déjà sous le coup d’une enquête sur son quasi-monopole des moteurs de recherche, position qui verrouille le marché de la publicité en ligne.

Ce sont probablement nos confrères du Monde qui ont été parmi les premiers à réagir. Dans la journée du 6 avril, Wikimedia France (association de soutien à Wikipedia) publiait un communiqué dénonçant des pressions exercées par des personnes appartenant à la DCRI. La procédure visant à supprimer des détails litigieux concernant la sûreté de l’Etat semblant ne pas être assez rapide au goût de certains fonctionnaires, l’un des auteurs aurait été, dans la journée du jeudi 4 mars, convoqué au siège de la DCRI et contraint (sous la menace d’une garde à vue et mise en examen) de supprimer le chapitre litigieux de l’encyclopédie en ligne.

L’article en question concernait la base militaire de Pierre sur Haute, article qui n’est pourtant pas très riche en détails techniques. A peine l’épisode musclé était-il rendu public que les articles de Wikipedia rédigés en d’autres langues ont non seulement préservé les informations litigieuses, mais se sont enrichies également d’un chapitre dénonçant les méthodes quelques peu brutales de fonctionnaires se croyant au-dessus des lois et des procédures. Ainsi la contribution en langue anglaise. En l’espace d’une demi-journée, toute l’Europe apprenait l’existence de la riante colline de Pierre sur Haute, jusque-là injustement trop peu médiatisée. La réaction était prévisible, de même que la campagne de presse déchaînée qui s’en est suivie : le « Fig », Rue 89, le Point… Sans oublier nos confrères de la presse technique.

Doit-on ranger l’affaire au rang des ratés monumentaux que collectionnent nos services très spécieux depuis l’affaire du Rainbow Warrior, ou s’agit-il d’une opération d’une extrême subtilité qui aurait pris un article-prétexte pour mieux masquer une autre fuite d’information ? Ou tout cela n’est-il qu’un cafouillage de plus entre justice et police, une confusion entre procédures accélérées décidées par un juge d’instruction et désir de procédures accélérées par des officiers trop zélés ? Toutes les hypothèses sont envisagées par nos confrères.

L’hypothèse d’une opération commandée discrètement par des instances supérieures reste, de loin, la plus improbable. Car quel fonctionnaire ne connaîtrait pas l’article Homme rédigé il y a 243 ans par un certain François-Marie Arouet dans les colonnes de l’Encyclopédie, celle qui s’écrit avec un E majuscule. De tous temps, Pouvoir et savoir encyclopédique n’ont pas toujours su faire bon ménage, au fil des siècles et des civilisations. Moins, d’ailleurs, en raison de prétendus aspects d’accès à une libre information que parce que l’éclairage qui était donné à cette information ne convenait pas aux modes de pensée du pouvoir en place. Qu’est-ce qui est choquant, dans l’article de Pierre sur Haute ? La mention d’un bunker anti-EMP ou le fait qu’un fleuron de la Défense Nationale soit hors de service lorsqu’il tombe un peu de neige ?

Thomas Houdy, du Cert Lexsi, publie un billet très synthétique sur la sécurité industrielle et ses méthodes. Article raisonné et raisonnable traitant de deux réalités : la vulnérabilité endémique des systèmes de contrôle de processus particulièrement depuis leur « windowisation » intensive et l’augmentation des fameuses APT, opération d’espionnage industriel systématique visant toute infrastructure possédant une fenêtre sur Internet. Problème que l’entreprise Lexsi entend bien résoudre d’une manière ou d’une autre en commençant par un diagnostic rapide en 10 points, diagnostic qui reprend les fondamentaux de la sécurité périmétrique physique autant que virtuelle. Le passage le plus intéressant du billet de Thomas Houdy est bien celui qui décrit la tour de babel qu’est une entreprise de production : électroniciens, automaticiens, informaticiens, chimistes, qualiticiens… tout le monde a son mot à dire, dans un langage qui lui est propre, avec des notions de sécurité ou des nécessités de liberté d’action parfois totalement incompatibles d’un corps de métier à l’autre.

S’ajoute également à ce tableau les composantes stratégiques, celles imposées par la Direction Générale ou, plus simplement, par la Direction Financière. Directives que l’on résume généralement par « faites mieux, mais pour moins cher ».

Un ancien spécialiste du contrôle de processus passé analyste expert au sein de Verizon nous confiait « Nous travaillions sur des automates si anciens qu’ils n’étaient plus maintenus par leurs constructeurs. Il m’est arrivé d’aller chercher des pièces détachées sur eBay. Ce qui tient du miracle, c’est que certaines entreprises US continuent de fonctionner, car même en écartant les risques Internet (pirates, hacktivistes, APT etc.), les risques de pannes et d’accidents s’accroissent de jour en jour ».

Risque d’autant plus importants que les budgets alloués à la sécurité ne peuvent trop impacter ceux destinés à la modernisation des infrastructures. Même certaines mesures de protection du périmètre physique sont littéralement abandonnées, ce qui permet parfois à certains militants écologistes d’aller poser des banderoles sans trop de risques sur les cheminées de quelques centrales nucléaires Françaises. De là à estimer qu’il est totalement saugrenu de craindre une cyber-attaque, bien plus coûteuse que l’envoi physique d’un militant-saboteur, il n’y a qu’un pas. Les vieilles méthodes n’ont pas été détrônées par l’informatique, l’informatique et ses risques associés n’ont fait qu’attirer sur eux l’éclairage des médias. Et, en matière de sécurité, on surestime toujours les risques que l’on connaît, on sous-estime souvent ceux que l’on a connu et oublié. La revanche de la pince-coupante contre le virus de 4ième génération ?

Pas du tout !, entend-on clamer de l’autre côté de l’Atlantique. Le terroriste ou l’espion logiciel reste de loin le plus efficace. La preuve, il ne cesse de se moderniser, estime John Mello dans les colonnes de CSO. Les outils utilisés dans les APT intègrent de plus en plus de routines et de tests capables de détecter la présence de honeypot et de machines virtuelles piège, et les concepteurs/utilisateurs de ces mêmes outils deviennent de plus en plus furtifs, discrets, dans le but de demeurer le plus longtemps possible au cœur des machines compromises et ainsi récupérer des documents stratégiques sur de très longues périodes.

Un tout autre article de Network World montre un aspect bien moins subtil et tout aussi efficace du monde du hacking Scada : les campagnes de phishing ciblées visant les sociétés spécialisées dans le domaine de l’énergie seraient en augmentation. Le DHS lance d’ailleurs ces jours-ci une campagne d’information, nous apprend Jaikumar Vijayan, campagne incitant les cadres et employés de ces entreprises à ne pas mélanger activités privées sur les réseaux sociaux et travail quotidien sur les systèmes de l’entreprise. Bref, le « double coup Facebook de l’Elysée » sert de leçon aux DSI de l’industrie US.

17 ans à peine et un « procès du siècle » pour un gamin Australien coupable d’avoir été séduit par la dialectique simpliste et vengeresse des Anonymous. 17 ans à peine et 25 ans maximum de peine d’emprisonnement encourue nous apprend le Reg. Ce Rebel without a cause des temps modernes n’a pourtant que très peu de choses à voir avec les actions conduites ces jours-ci par une toute autre race d’Anonymous combattant sous la bannière Palestinienne. L’affaire remonte aux environs de novembre dernier, avec le lancement d’une opération OpIsrael qui débute avec la divulgation d’un fichier nominatif de 35 000 « responsables Iraéliens » et continue avec une guerre des communiqués. Les éclairages divergent selon les camps, francs succès selon les uns, flop total selon Guyzmodo ou l’Independant.

La vérité se situe probablement entre ces deux extrêmes, Hacker’s news comptant les points et publiant notamment une liste des sites Israéliens tagués ou tombés sous les coups d’une attaque en déni de service. L’éclatement du mouvement Anonymous en une myriade e groupuscules radicaux signe peut-être le déclin du mouvement. Il annonce en revanche avec bien plus de certitude l’intensification des combats des activistes politiques sur le front de la cyber-guérilla.

Parmi les multiples aspects du marché de l’IAM mis en relief par l’étude Computer Associates (voir article « Etude CA : IAM, 30 ans de tergiversations »), il en est un qui risque de faire passer quelques nuits blanches aux administrateurs et RSSI : le BYOID, ou « Bring your own ID », venez avec vos propres identifiants.
Il ne s’agit là pour l’instant que d’une ébauche de mouvement, mais il est pratiquement certain que le phénomène deviendra aussi important que celui du BYOD. Dans les grandes lignes, il s’agit de prendre en compte les identifiants et environnements «personnels et provenant de la vie privée » des administrés afin que ceux-ci puissent être pris en compte dans les multiples mécanismes de gestion des identités et des crédences de l’entreprise. Du point de vue de l’utilisateur, cela revient à dire « j’ai une identité Facebook/Linkedin/MS-Live que j’emploie tous les jours et que je connais, pourquoi ne l’utiliserais-je pas dans le cadre de mon travail ? ». Retenons le « j’ai une identité » et non « j’ai un identifiant ». Car ce qui est important, dans l’idée du BYOID, c’est la notion d’environnement virtuel, de contenu lié à la personne (fichiers dans le cloud, messagerie en ligne, liaison inter-machines via des vpn, carnets d’adresses et liens sociaux, publications de blogs et autres « objets de l’internet »). Plus personne ne se déplace avec un jeu de clefs usb ou de disques durs amovibles. Les informations glanées au fil des jours sont stockées dans des appareils mobiles (les éléments constitutifs du BYOD) puis exportées dans des espaces personnels cloudifiés. Phénomène d’autant mieux rentré dans les mœurs qu’il existe de plus en plus de « réseaux sociaux d’entreprise » qui viennent, sur l’intranet, servir de plaque d’échange. Seuls quelques vieux films de science-fiction genre 2001, Minority Report ou Johnny Mnemonic nous rappelleront que nos arrière-grands-parents liaient la notion de données à celle d’un conteneur statique, se présentant généralement sous la forme d’un cube de plexiglass irradiant une couleur bleutée.
Cet environnement numérique personnel constitue une partie de la richesse de chaque collaborateur d’une entreprise. La nier, c’est amputer ladite entreprise de l’apport potentiel de ces richesses (contacts, connaissances, références), c’est faire preuve d’une attitude relativement schizophrène qui veut absolument réduire le collaborateur au rang de simple rouage n’ayant d’existence binaire qu’au sein de l’entreprise, amputé de tout passé et de tout présent cybernaute. Bien souvent, cette vision autistique de « l’employé numérique modèle » est la source de bien des failles de sécurité qu’exploitent les spécialistes du phishing et du social engineering. Car les escrocs de tous types ont rapidement compris que cette dichotomie de l’individu numérique interdit aux RSSI et CSO de prendre en compte l’existant « civil » de chaque administré. Une vision restreinte qui leur masque une grande partie des vulnérabilités numériques individuelles. Gardons à l’esprit qu’il n’a pas fallu plus qu’un compte Facebook et la candeur d’un haut fonctionnaire d’Etat pour « intruser » l’intranet de l’Elysée.
Le BYOID, c’est aussi, c’est surtout, pour les grandes infrastructures commerciales Internet, la possibilité de voir se fédérer des « clusters d’identités » dont on imagine bien le potentiel d’achat et la richesse en termes de ressources d’analyses comportementales. Derrière le BYOID, il y a aussi des montagnes d’espoirs marketing, des Himalaya de sondages politiques, religieux, consuméristes de tous poils. Tout comme le Byod, le bring your own ID apportera son lot de failles de sécurité et de risques de flicage d’autant plus critiques qu’aucune CNIL au monde n’est préparée à (ou n’a la volonté politique de) veiller aux risques de débordements ou abus d’usage.

Une idée vieille comme la microinformatique
Il faut dire que le BYOID n’a rien d’une génération spontanée. La fédération des identités (et la mainmise sur les techniques de gestion associées) est un rêve longtemps caressé par les éditeurs. L’un des premiers à lancer l’idée s’appelait Eric Schmidt, patron de… Novell à l’époque. Le projet avait pour nom Digital Me, et visait à la création d’une sorte de carte d’identité numérique nationale d’identité, Sésame-Vitale, badge d’ouverture de portes, de ticket de métro et de mécanisme d’ouverture de session réseau. Un melting-pot de clefs binaires ouvrant sur de multiples services, imaginé par quelques ingénieurs vivant dans un pays qui ne connaît pas la CNIL et ne possède pas de carte d’identité nationale. A la même époque, Microsoft également cherche à conquérir le marché d’un IAM global et personnel. Et ceci bien avant l’arrivée du projet Passport, sorte de formidable annuaire destiné aux administrations des Etats-Nation et qui, faute d’acheteur, a dû finir ses jours comme simple moteur d’annuaire de la branche MSN/Microsoft Live. Ces deux projets ont souvent été assimilés, à tort, à de simples plateformes de fédération d’identités, à des super-annuaires destinés à des informatico-informaticiens de grandes entreprises. Non, le but a toujours été de créer un point central où viendraient se confondre les vies numériques publiques, professionnelles et privées. Le cauchemar des administrateurs était inéluctable et fomenté depuis belle lurette par ceux-là même avec lesquels l’administrateur croyait être allié. La seule chose à laquelle personne ne s’attendait, c’est que ce BYOID arrive non pas du fait de ces éditeurs, mais par le biais de fournisseurs de services, d’entreprises généralement très jeunes et dont la pérennité est on ne peut moins sûre. Ce que l’on n’avait pas non plus prévu, c’est que la naissance du BYOID se verrait imposé par un mouvement bottom-up, et non imposé par une hiérarchie en vertu d’une prétendue simplification des mécanismes de gestion. Tout comme le BYOID est la négation même du terminal mobile standardisé imposé par une direction informatique toute puissante, le BYOID est le refus d’une prise en charge de l’espace virtuel personnel par les tenants de la sphère professionnelle ou administrative.

A peine la machine BYOID s’est-elle mise en marche que l’on s’interroge. Que seront, dans 20 ans, les Facebook, Linkedin et autres réseaux Google ? Que deviendront les fonds de commerce de ces grands data brokers lors des inévitables opérations de fusion-croissance externes et autres aléas économiques ? Ces questions ne sont pas nouvelles et prennent, avec l’arrivée du BYOID, une importance jusqu’à présent jamais atteinte. Le BYOID ne joue pas avec de simples numéros de téléphones, adresses postales ou numéros de comptes bancaires. Il regroupe tout ça et bien plus encore, garantissant aux professionnels de sécurité de nombreuses années de prospérité et aux fournisseurs d’équipements et de logiciels de protection des années de projets probablement discutables mais certainement très rémunérateurs …

Début mars, Computer Associates rendait public une enquête réalisée par Quocirca, enquête intitulée « Digital Identities and the open business » (document gratuit mais inscription nécessaire), une analyse du marché de l’IAM, ou Identity Access Management.
Pourquoi maintenant, alors que des années durant, la bataille des annuaires et des SSO a fait rage sans franchement émouvoir la gente informatisée ? Parce que, explique le rapport, la question de la gestion des identités est véritablement sur le point de poser des problèmes insurmontables. Deux raisons à cela : en premier lieu la part croissante de connexions extra muros au S.I. d’entreprise (seulement 8% des personnes interrogées déclarent ne gérer que des connexions strictement internes) et dans cette part de contacts distants, un nombre croissant de personnes étrangères à l’entreprise elle-même. Il s’agit de clients, partenaires, prospects, sous-traitants…. 57 % des DSI ouvrent, affirme l’étude, leurs réseaux au monde extérieur, dont à des annuaires externes gérant des identités dans des formats parfois propriétaires.
L’autre élément de poids militant en faveur d’une explosion du marché IAM, c’est l’intérêt croissant que portent les professionnels aux offres de services virtualisées. Or, qui dit Cloud pense nécessairement gestion stricte des identités de chaque ayant droit d’accès, avec une granularité fine, d’autant plus fine que certaines transactions générées par une identité peut bénéficier de droits variables selon le ou les services distants employés. Services qui ne sont d’ailleurs pas hébergés chez un seul et même prestataire.

Corollaire de tout cela, il semble certain, estiment les analystes de QuoCirca, que l’émergence du marché d’une nouvelle race de prestataires (les vendeurs d’IAM dans le cloud, ou IAMaaS, IAM as a service) ne peut qu’être couronnée de succès. Conclusion logique d’un raisonnement logique, qui pourtant risque fort de faire grincer des dents les responsables sécurité. Déjà, par le passé, la possession et la gestion des annuaires d’entreprise ont fait l’objet de batailles de pouvoir acharnées opposant services informatiques et services généraux. Cette fois, l’affrontement risque d’opposer les responsables des annuaires d’entreprise et les gestionnaires, les uns se voulant défenseurs des joyaux de la couronne, les autres arguant du fait que l’externalisation de ces fonctions purement administratives aurait des conséquences directes sur les économies liées au budget du royaume. Se profile en outre, derrière l’avalanche de chiffres et de statistiques publiées par Computer Associates, une troisième facette du problème posé par ces IAMaaS : celui des garanties apportées par le sous-traitant. Les lois de la concurrence et des appels d’offre pourraient bien empêcher de dormir une troisième catégorie de personnes : les correspondants Informatique et Libertés. 20 pages de certitudes statistiques et de questions prospectives à déguster avec délectation …

Lorsque l’on parle d’une manifestation sécurité issue, il y a quelques années, d’un unique concours de hacking, et qui est devenue, avec le temps, une véritable conférence avec ses guest star et ses « cyber-scoop », on pense immédiatement à deux noms : Hack in Paris et Insomni’Hack. Cette dernière, la seule manifestation sécurité de la région Genevoise, mérite désormais de figurer dans tous les agendas de la gente cyber-sécuritaire. Car il y avait du beau linge, en cette mi-mars, sur les bords du lac Léman. Du beau linge et du monde puisque, pour faire face au nombre croissant de participants et de conventionnaires, les organisateurs (SCRT) ont expatrié la manifestation dans les salons du parc d’exposition de Palexpo, abandonnant le centre de Genève et l’hospitalité toute universitaire mais quelque peu exigüe de l’Hepia.

Parmi les têtes d’affiche, Stephen Ridley et Stephen Lawler donnaient un aperçu de leur séminaire de formation traitant des techniques d’attaque sur les processeurs ARM. Le passage du mode ARM au mode THUMB n’est pas sans rappeler certaines astuces d’exploitation de « crics » inventées il y a quelques décennies par les proto-hackers vivant dans le monde des ordinateurs personnels et des calculatrices programmables. Vieilles recettes et nouvelles soupes, mais assaisonnement relevé garanti. Au même moment (cruel dilemme que le choix posé par les conférences à sessions multiples et parallèles) se déroulait une causerie passionnante animée par Patrick Trinkler et Matthieu Legré sur les boîtes à outil à l’heure des communications par fibre optique. Les décennies d’absolue certitude sur l’inviolabilité des fibres ont masqué au public qu’il n’était pas toujours nécessaire, par exemple, de casser le médium pour y pratiquer une épissure et intercepter les communications… coupleurs 3 dB et capteurs, analyseur réseau et approche hardware, espérons que le tandem Trinkler/Legré frappera à nouveau dans d’autres manifestations du genre.

De l’attaque hardware, encore et toujours, avec un résumé des travaux d’Eloi San Felix sur les technique d’attaques par fault injection et side channel attack. Tout le monde a entendu parler des attaques par mesure des temps de réaction d’un mécanisme de chiffrement face à l’entrée d’un mot de passe partiellement correct. Tout le monde a également entendu parler de l’estimation de ces temps de réaction grâce à la surveillance des appels de courant ou de l’accroissement de l’activité électromagnétique émise par un circuit… ce qui est moins connu, c’est qu’il commence à se vendre des équipements destinés à faciliter l’analyse de ces phénomènes physiques, appareils également capables de faire fonctionner les DUT (devices under test) dans des conditions limites d’alimentation ou de synchronisation d’horloge. Pour l’heure, (http://www.riscure.com/) ces outils sont encore hors de la portée du hacker débutant, voire du chercheur indépendant, mais il n’est pas interdit d’espérer voir se développer des « toolbox » open source espère San Felix.

Ajoutons également que, dans ce domaine, rien n’est véritablement gravé dans des tables d’airain. Si, pour les besoins d’une démonstration, on peut mettre en évidence l’augmentation du niveau de bruit d’un processeur de chiffrement au fur et à mesure qu’évolue le « brute forcing » d’un mot de passe, l’exploitation de cette technique dans la vraie vie est un peu moins évidente. En raison notamment du fait qu’un processeur gère la plupart du temps plusieurs processus ou threads, qui tous génèrent du bruit HF, tous provoquent des appels de courant sur l’unique broche Vdd du circuit analysé, créant ainsi un brouhaha difficilement filtrable avec les moyens classiques. Quelques chercheurs, pour ne citer qu’un exemple, tournent le dos à ces pratiques presque classiques d’analyse temporelle pour ajouter à leurs armes des programmes d’analyse dans le « domaine fréquence ». Probablement le prochain sujet de conférence d’Eloi san Felix

Présentation épicée également de la part de Charly Miller, le vainqueur multirécidiviste de P0wn20wn, le tombeur d’IOS. Miller revenait, avec une foultitude de détails nouveaux, sur une présentation qu’il avait tenu lors de la dernière BlackHat Conference, et qui décrivait par le menu des mois de reverse engineering sur l’architecture des NFC. Ce n’est pas tant le fait qu’il soit aisément possible de « P0wner » ces cartes de payement sans contact (ou clefs d’hôtel) qui constitue en soi une information d’importance. C’est surtout le nombre de points potentiellement vulnérables qu’il reste à analyser et à tester. « Et encore, avouait l’orateur au tout début de sa présentation, ne commencent à être réellement connus qu’environ 60 % de cette architecture, il y a encore des pans entiers à défricher qui sont autant d’aires de jeux pour des chercheurs en sécurité sérieux et persévérants ». Le « malchanceux » qui écopa du créneau parallèle à celui de Miller est un habitué des conférences sécurité, Paul Rascagneres, responsable du projet Malware.lu, un dépôt (un bouillon de culture au sens doctoral du terme) qui recense les données de plus de 5,3 millions de malwares. Le tout « open » et en constante évolution.

Achevons ce trop rapide tour d’Insomni’hack 2013 en mentionnant une dernière conférence mi-hard, mi soft, celle de Bruno Kerouanton (coupablement assisté d’un membre de l’équipe de Cnis Mag) et ayant pour thème la vulgarisation des radios logicielles et leur usage polymorphe dans la surveillance et le décodage des liaisons sans fil. La journée (et la nuit) s’est achevée avec le traditionnel concours de hack qui réunissait plus de 200 participants venus de toute l’Europe.

Le document n’est peut-être pas parfait, mais il peut être utile aux responsables sécurité rencontrant quelques problèmes sémantiques lors des inévitables échanges qui opposent gestionnaires d’entreprise et RSSI/CSO. Pour eux, Microsoft a pondu une série de fiches d’information génériques rédigées en langage stratégique qui, une fois expurgées des paragraphes publicitaires pas du tout subliminaux, peuvent servir à éclaircir et simplifier le dialogue « hommes-sécu » et « responsables des politiques d’entreprise ». Le contenu de ces différentes fiches est parfois d’ailleurs moins intéressant que la typologie utilisée, qui sépare en quatre grandes catégories les bases des politiques sécurité de l’entreprise : sécurité, vie privée, protection, accession à l’outil des personnes handicapées.

Le Web, c’est le mal, surtout s’il n’est pas bien protégé/filtré et qu’il se situe du côté de l’utilisateur, nous explique une récente étude de Webroot, éditeur de solutions de protection périmétrique. Le rapport en question (inscription préalable nécessaire) nous apprend que, sur un échantillonnage d’entreprises US et Britanniques, 8 entreprises sur 10 auraient essuyé au moins une attaque Web durant l’année 2012, que 88 % des administrateurs sécurité des plateforme Web estiment que le premier risque, c’est avant tout la navigation Web (peut-être n’ont-ils pas tous entendu parler de l’Owasp ?) et que la forme la plus couramment rencontrée d’attaque Web était le phishing.

Précisons que plus de 90%des attaques en phishing recensées dans le monde sont d’expression anglaise, ceci expliquant peut-être cela.