La Sûreté du Québec ne semble pas peu fière de son coup de filet qui a abouti au démantèlement d'un vaste réseau de piratage informatique; une première pour le Canada, argue l'organisation policière.
   
Suite à des centaines de plaintes de particuliers, d'entreprises et d'institutions gouvernementales, l'enquête initiée à l'été 2006 a permis d'identifier 17 individus résidant dans la Belle Province. Agés de 17 à 26 ans (trois mineurs), ils vont devoir répondre devant les tribunaux des chefs d'inculpation suivants : obtention illégale des services d'ordinateurs, utilisation d'un ordinateur pour commettre des méfaits sur des données informatiques et possession de mot de passe pour commettre ces infractions. La peine maximale encourue est de 10 ans d'emprisonnement mais l'analyse du matériel informatique perquisitionné pourrait l'aggraver.
   
   Via des chevaux de Troie, les pirates ont infecté à l'insu des utilisateurs plus d'un million de machines. Ce vaste réseau d'ordinateurs zombies sous contrôle, a par la suite trouvé moyen d'expression dans le vol de données informatiques sur des sites Web ou dans la diffusion de spams. Plus de 100 pays ont été touchés et les dommages causés aux infrastructures informatiques sont estimés à plus de 45 millions de dollars.
   
Petit conseil de la Sûreté du Québec en matière de sécurité informatique : utiliser des pares-feux et des anti-virus mis à jour régulièrement pour limiter les possibilités d'intrusion.

Source

Aux États-Unis, deux frères et leurs deux complices viennent d'être condamnés à purger des peines d'emprisonnement pour piratage informatique, rapporte l'agence de presse IDG.

Depuis quatre ans, l'agence américaine aurait violé ses propres règles à plusieurs reprises.

Le FBI a reconnu avoir violé ses propres règles à plusieurs reprises en espionnant des communications sur Internet. Le directeur du FBI Robert Mueller a confirmé que son agence avait collecté, pour la quatrième année consécutive, des informations sur les e-mails et les habitudes de navigation des citoyens en outrepassant son autorité légale.

Selon Robert Mueller, ces pratiques sont en partie imputables aux opérateurs de télécommunications qui ont fourni au FBI "trop d’informations". "Nous nous engageons non seulement à agir correctement, mais également à maintenir la confiance vitale du peuple américain", a-t-il déclaré.

Le problème est né de l’utilisation des lettres de demande d’informations par le FBI, considérablement simplifiée depuis le vote de la loi Patriot Act. "Tout le monde veut stopper les terroristes. Mais les américains croient dans le respect de la vie privée et nous souhaitons qu’elle soit protégée", a déclaré le responsable de la justice au Sénat Patrick Leahy. "Il doit y avoir une meilleure ligne de commande pour tout ça. Vous ne pouvez pas admettre qu’un agent du FBI décide tout à coup d’obtenir des informations sur un citoyen, ses informations bancaires ou quoi que ce soit d’autre juste parce qu’il le décide."

Patrick Leahy a précisé que le FBI avait modifié ses pratiques depuis mars 2007 et qu’il ne se mettrait plus hors-la-loi.

Source

Forrester Research décrit le RSSI idéal. Celui-ci doit afficher un solide sens moral qui servira d'exemple à toute l'entreprise. Plutôt qu'un technicien hors pair, il doit comprendre les enjeux techniques et évoluer vers la gestion des risques de l'entreprise.

En témoigne la crise récente de la Société Générale, le rôle d'un responsable de la sécurité devient de plus en plus complexe, qu'il s'agisse d'empêcher la fuite de données ou de maîtriser les problématiques de conformité réglementaire. Face à ces défis permanents, certains RSSI (Responsable de la Sécurité des Systèmes d'Information) réussissent mieux que d'autres, selon une étude récente de Forrester Research. Le cabinet d'analystes a identifié sept caractéristiques qui font que certains RSSI réussissent mieux que d'autres. Au-delà des conseils auxquels on pouvait s'attendre (avoir une relation étroite avec son employeur, faire de la sécurité une question omniprésente à l'échelle de l'organisation toute entière), plusieurs caractéristiques inattendues sont apparues lors de l'enquête menée par Forrester.

Une boussole morale est la clé du succès
La découverte majeure est que les responsables sécurité réellement efficaces doivent avoir une solide boussole morale qui leur permette de susciter l'adhésion autant par l'exemple que par le respect qu'inspire leur mandat. « On s'attend à ce qu'un RSSI ait une certaine expertise technique, mais c'est sa personnalité qui fait la réussite, déclare Khalid Kark, analyste chez Forrester et rédacteur de l'étude. « Avoir l'intégrité, la visibilité, et faire en sorte que les gens sachent qu'en tant que personne vous ferez toujours ce qu'il faut faire, est d'une grande importance quand on vous fait confiance pour protéger une grande quantité d'informations sensibles ».

Savoir instinctivement ce qu'il faut faire
D'autres responsables peuvent peut-être se permettre d'agir dans le dos de certaines personnes afin d'accomplir leur tâche, mais les RSSI qui veulent gagner le respect nécessaire afin de mener leur travail le plus efficacement possible, doivent diffuser l'image d'une personne à l'indéniable fiabilité. « C'est la caractéristique que beaucoup de gens valorisent vraiment dans un RSSI. Or, un des problèmes des RSSI est que cela prend du temps de bâtir la confiance, mais si vous avez la bonne boussole morale, et que vous savez instinctivement ce qu'il faut faire, vous irez plus vite, affirme Khalid Kark

Savoir équilibrer les rôles
Afin de gagner cette confiance, il faut aussi travailler avec la « psyché de l'entreprise » tout en équilibrant ses rôles de gendarme et de politique. Autres points clés pour réussir, avoir la flexibilité suffisante pour chercher des solutions créatives, et aller vite d'un projet à l'autre, tout en restant aussi patient que possible, et diriger la sécurité comme si c'était une unité d'affaires. Ce dernier talent réclame la capacité de réunir beaucoup de données sur la sécurité et les réglementations, ainsi que de savoir comment les utiliser afin de défendre les budgets et les projets correspondants.

Aider les autres à prendre des responsabilités
Un des traits les plus importants de n'importe quel RSSI, déclare Khalid Kark, est de se comporter en « faiseur de roi », quelqu'un qui aide les autres à améliorer leurs propres compétences en agissant en mentor, plutôt qu'en régulateur draconien qui donne simplement des ordres et qui s'attend à ce qu'ils soient exécutés. « Les RSSI ont besoin d'aider d'autres personnes à réussir et à prendre des responsabilités. Cela devrait faire partie de leur stratégie de sécurité globale ». Un talent associé consiste à ne pas jouer au jeu de la de critique. « Les RSSI doivent être prêts à assumer une grande partie du blâme lorsque les choses tournent mal, même si c'est la faute de quelqu'un d'autre. Il ne faut pas tout accepter, mais si vous pouvez prendre le blâme sur vous et utiliser cela pour travailler sur des questions qui améliorent la situation globale de l'organisation, c'est une chose à faire ». 

Des compétences techniques très évoluées remises en question
Un aspect que Forrester ne cite pas comme critique est d'avoir un niveau élevé de compétences techniques. "Certains ont dit oui, et d'autres ont dit non. Il s'agit là d'un vieux débat. La clé, je crois, est qu'il faut absolument avoir la capacité de comprendre des données techniques, mais vous n'avez pas forcément besoin des compétences pratiques, résume Khalid Kark. Beaucoup de RSSI qui réussissent dans leurs fonctions, ne se concentrent pas sur des questions opérationnelles telles que la gestion des pare-feu, mais ils ont besoin d'être prêts à définir une politique de sécurité et à élaborer la position de leur société vis-à-vis des risques.

Une approche du haut vers le bas
"En fait, de nombreux RSSI qui ont des compétences techniques soutiennent que leurs connaissances les conduisent souvent à s'embourber dans trop de décisions opérationnelles et de projets ». Indépendamment des capacités techniques d'un RSSI, Khalid Kark estime qu'il va devenir de plus en plus important pour les responsables sécurité de s'éloigner d'une approche « du bas vers le haut » de la sécurité, où l'accent est mis sur les outils à utiliser, pour aller vers une approche « du haut vers le bas » menée par la gestion des risques et les concepts de gouvernance. "Ces cadres doivent évoluer depuis l'expertise opérationnelle vers un rôle de penseur stratégique, du rôle de policier à celui d'un conseiller digne de confiance». «Ils doivent se considérer davantage comme un consultant, par opposition à un auditeur, et évoluer de spécialiste de la sécurité informatique à généraliste des risques de l'entreprise."

Source

Législation - Selon l’ébauche du projet de loi destiné à lutter contre le téléchargement illégal que s’est procuré ZDNet.fr, le gouvernement a fait évoluer son dispositif de riposte graduée contre les pirates : ils recevront un email d’avertissement, une lettre recommandée d’avertissement, puis leur abonnement sera suspendu.

Le gouvernement est en train de peaufiner sa riposte graduée, un dispositif censé mettre en garde puis punir les internautes qui téléchargent illégalement des fichiers sur les réseaux peer-to-peer. ZDNet.fr s'est procuré une des versions les plus récentes de « l'avant-projet de loi relatif à la Haute Autorité pour la diffusion des oeuvres et la protection des droits sur internet » (Hadopi).

Le texte déroule le dispositif prévu par les accords Olivennes, signés en novembre dernier. Une Haute Autorité sera créée, avec pour mission de mettre en oeuvre cette riposte graduée : elle ne pourra agir que sur saisine des ayants droit, qui auront repéré des internautes s'adonnant à des pratiques de téléchargement illicites. Elle disposera d'agents publics, chargés de vérifier les informations transmises par les plaignants.

En cas d'infraction constatée, on savait déjà que la première étape de la riposte graduée sera l'envoi d'un e-mail d'avertissement au titulaire du compte internet identifié, par l'intermédiaire de son fournisseur d'accès.

L'abonné face à une "transaction"

Ce qui est nouveau, c'est l'ajout d'une disposition en cas de récidive dans un délai de six mois. Cette deuxième étape de la riposte graduée prévoit l'envoi par la Haute Autorité d'une lettre recommandée avec accusé de réception, rappelant au titulaire du compte internet ses obligations de sécurisation de son accès pour empêcher le téléchargement illégal et lui rappelant les sanctions en cas de nouveau manquement. « Il convient de réintroduire ici le volet pédagogique, ainsi que la gradation figurant dans [les accords Olivennes] (avertissements et messages répétés avant sanction) », justifie le commentaire accolé au texte.

Si une nouvelle récidive est constatée, la Haute Autorité « peut proposer une transaction à l'abonné ». Ce dernier est placé devant l'alternative suivante : voir son accès suspendu pour une durée d'un mois ou six mois, avec interdiction de souscrire à l'offre d'un opérateur concurrent pendant cette durée. Soit il est cité à comparaître devant un tribunal. L'acceptation de la transaction devra être homologué par un procureur.

Le texte ne mentionne plus la résiliation définitive du contrat ordonnée par la Haute Autorité, une idée à laquelle s'opposaient fortement les fournisseurs d'accès internet. En revanche, l'utilisateur devra continuer à payer son abonnement pendant sa suspension. Et s'il est client d'une offre triple play (internet, téléphonie illimitée et télévision), il risque de perdre la totalité de ces services pendant cette période, « en fonction des contraintes du fournisseur du service ».

Un fichier pour les délits de téléchargement illégal ?

Si l'on en reste à la version actuelle du texte, il est prévu que les pirates soient doublement fichés : la Haute Autorité créera tout d'abord « un répertoire national des personnes dont l'accès [internet] a été suspendu ». Et ce pour permettre aux FAI de vérifier, à chaque nouvelle demande d'abonnement, que le nouveau client n'est pas actuellement sur la liste noire.

Ensuite, la Haute Autorité pourra créer « un traitement automatisé de données à caractère personnel, portant sur les personnes responsables de manquements » à leur obligation. Le texte ne dit pas clairement qui cela vise : tous les signalements remontés par les ayants droit, ou bien les internautes pour qui le dispositif de riposte graduée a été enclenché. Un décret en Conseil d'Etat fixera les catégories de données conservées, leur durée de conservation et les personnes habilitées à recevoir ces informations.

Source

Le bogue affectant Windows Home Server, le serveur domestique de Microsoft, sera bien corrigé par l'éditeur. Mais les utilisateurs devront patienter au minimum jusqu'au mois de juin avant de pouvoir appliquer le précieux correctif. Heureusement, précise le groupe de Redmond sur un blog, « nous croyons que [peu d'entre eux] sont susceptibles d'être affectés » par la défaillance.

Celle-ci, révélée en décembre 2007, provoque la corruption de certaines données stockées sur le serveur. L'éditeur précise désormais que le bogue est lié à une mauvaise gestion des mécanismes de redirection de fichiers des postes clients vers le serveur, lorsque ce dernier est équipé de plus d'un disque dur. Un obstacle délicat à contourner, reconnaît Microsoft : « au stade actuel, nous comprenons très bien le problème, il se situe à un niveau très bas du système d'exploitation et nécessite des tests approfondis pour parvenir à un correctif fonctionnel ». Dans les prochains mois, l'éditeur sortira une rustine en version bêta, qui sera éprouvée par une batterie de testeurs. Puis, en juin, la version définitive du patch pourrait être mise en ligne, même si cette échéance est susceptible d'être modifiée.

Parmi les applications risquant de générer des données corruptibles par WHS, Microsoft cite Office OneNote 2003 et 2007, Outlook 2007, Money 2007 ou uTorrent.

Source

Parmi les 300 nouveautés annoncées pour Mac OS X 10.5, un petit nombre est orienté sécurité. Plusieurs experts en la matière se sont donc jetés sur le Leopard dès sa sortie pour savoir de quoi il en retournait exactement. Apparemment, ils ont été déçus par la réalité des faits et la firme à la pomme d'être parfois vertement critiquée.
   
    Thomas Ptacek de Matasano Security, concède par exemple volontiers que la fonctionnalité de bac à sable et l'intégration de la technologie ASLR sont deux très bonnes idées mais elles sont malheureusement appliquées de manière imparfaite.
   
    La raison d'être du bac à sable ou sandbox, est de faire fonctionner une application dans un environnement protégé, offrant pour les applications soumises à ce régime un accès restreint aux fichiers autorisés, au réseau, ..., ce afin d'éviter qu'elles ne fassent office de vecteurs d'attaques. Gros problème selon Ptacek, les applications justement les plus susceptibles de servir de vecteurs d'attaques à l'instar du navigateur Web Safari, du client mail ou du client de messagerie instantanée iChat ne peuvent prétendre à ce fonctionnement en mode protégé.
   
   La technologie ASLR de randomisation de l'espace d'adressage quant à elle, souffre également d'une mauvaise intégration pour Ptacek et son objectif de prémunir efficacement le système contre les attaques de type buffer overflow n'est pas correctement rempli. La configuration aléatoire des processus en assignant aux éléments de base un emplacement mémoire différent à chaque démarrage, ne s'applique ainsi pas à toutes les composantes du système (dynamic linker library en l'occurrence) et certains malwares peuvent donc retrouver leurs billes en disposant de l'information recherchée à un emplacement précis.
   
    Parmi d'autres problèmes mineurs évoqués, s'il est bien un qui stigmatise les critiques, c'est le pare-feu de Mac OS X 10.5. Heise Security a notamment réalisé un test dont les conclusions sont sans appel. Outre son austérité pour l'utilisateur lambda, le site allemand reproche au pare-feu de Leopard de ne pas être activé par défaut et pire, de ne pas se comporter comme il devrait lorsque il est activé. En mode restreint, les connexions réseaux à des services non autorisés peuvent toujours être établies alors que le paramètre bloquer toutes les connexions entrantes est purement factice puisque sans effet.
   
Certes, le premier bilan semble plutôt contrasté pour Mac OS X 10.5 en termes de sécurité mais il faut bien garder à l'esprit que l'intégration de ces nouvelles fonctionnalités constituent une avancée dans la politique d' Apple en la matière, d'autant que Mac OS X est un système qui fait rarement la une pour des cas avérés de virus et vers.

Source

Avec l'avènement et la démocratisation d'Internet, la cause sécuritaire devient à juste titre cause nationale, et personne ne s'en plaindra, le gouvernement français à décidé d'éduquer et de sensibiliser ses concitoyens à cette problématique. Un portail de la sécurité informatique vient ainsi d'ouvrir ses portes.
   
Ce projet d'un budget de 400 000 euros a été mené par le Secrétariat Général de la Défense Nationale (SGDN) qui s'est entouré de divers partenaires publics et privés. Parmi ces derniers, plusieurs associations à l'instar de l'association des fournisseurs d'accès à Internet ou encore l'APRIL, oeuvrant pour la promotion du logiciel libre, la CNIL, des initiatives comme Signal Spam, le géant du logiciel Microsoft. A noter également deux partenaires d'importance puisqu'il s'agit de deux centres d'alerte et de réaction aux attaques informatiques (les fameux CERT), le Cert-IST et le CERT Renater qui sont respectivement dédiés au secteur de l'industrie et à celui de l'enseignement et de la recherche.
   
   Le tout nouveau portail offre du contenu pédagogique mais également technique avec le souci revendiqué de rester accessible au plus grand nombre. Au programme, des guides de configuration, des questions / réponses pratiques, des modules d'auto-formation, des fiches d'information, un glossaire et des informations sur les menaces actuelles, d'où l'utilité du partenariat avec les CERT.
   
Au registre de la pédagogie par exemple, le portail énumère les bonnes pratiques en matière de sécurité informatique pour le commun des internautes. Dix commandements à connaître et respecter pour surfer sereinement sur la Toile, allant de l'équipement indispensable du poste de l'utilisateur modèle (anti-virus, pare-feu, ...), au choix d'un mot de passe robuste, en passant par le rappel de quelques règles de sécurité élémentaires comme faire preuve de vigilance avant d'ouvrir les pièces jointes d'un mail, le recours à un compte utilisateur pour naviguer ou prendre soin de contrôler la diffusion d'informations personnelles.
   
Le portail est maintenu par la Direction centrale de la sécurité des systèmes d'information (DCSSI) qui tient également à jour un catalogue de produits matériels et logiciels de sécurité qualifiés. Par ailleurs, et pour le coup uniquement orienté grand public, la Direction du développement des médias (DDM) a mis en ligne le site Web, Surfez intelligent : les indispensables.
   
   Un effort en faveur de la sécurité informatique à saluer mais encore faut-il qu'il rencontre son public.

Source

Disponible en France depuis fin novembre 2007, l'outil trois en un d'Apple à la fois téléphone mobile, baladeur multimédia et appareil de communication sur Internet, devrait recevoir très prochainement une mise à jour estampillée 1.1.3. Des pirates n'ont pas tardé à tirer parti de ce qui reste encore du domaine de la rumeur pour mettre en ligne le premier cheval de Troie ciblant l'iPhone.
   
    Les éditeurs de solutions anti-virus F-Secure et Symantec ont ainsi émis des alertes au sujet d'un malware dissimulé sous l'identité d'un package iPhone firmware 1.1.3 prep, à télécharger sur certains sites Web heureusement désormais fermés pour la plupart. Afin de mieux leurrer les utilisateurs, ce package est présenté comme un préambule important à la mise à jour 1.1.3 évoquée précédemment.
   
Pour le commun des possesseurs d'iPhone piégés par cette astucieuse technique de social engineering, le cheval de Troie ne présente aucun danger. Par contre, les utilisateurs qui ont débloqué leur iPhone pour pouvoir y installer des applications tierces, seront un peu plus ennuyés et non pas tant à l'installation, mais plutôt lors d'une tentative de désinstallation du programme incriminé. Symantec avertit ainsi qu'ils encourent le risque de supprimer des applications également tierces comme des utilitaires développés par Erica Sadun et OpenSSH (un moindre mal cependant).
   
   " Techniquement, il s'agit du premier cheval de Troie identifié pour l'iPhone. Toutefois, il faut plus parler de plaisanterie que de menace réelle et les conséquences liées à sa désinstallation sembleraient être un effet secondaire non prémédité ", commente Symantec tout en recommandant la prudence des utilisateurs d'iPhone qui ont fait le nécessaire pour y pouvoir installer des applications optionnelles.
   
Attention cependant, en février l'iPhone s'ouvrira officiellement aux applications tierces avec fourniture d'un SDK ( Software Development Kit ). La menace malware devrait alors monter d'un cran même s'il est évident qu'Apple aura tout mis en oeuvre pour proposer une plate-forme sécurisée.