Présentation

Flux RSS

 Paperblog : Les meilleurs actualités issues des blogs

Add to Jamespot  http://www.wikio.fr Follow jeromebondu on Twitter

W3C

  • Flux RSS des articles

Gestion des risques

Jeudi 20 janvier 2011 4 20 /01 /Jan /2011 14:44

ingenierie-sociale.jpg Dans le cadre de la préparation de la conférence du 3 février au Club IES animée par la CNIL "Internet et la protection des données personnelles ", un mot sur ce que l’on appelle l’Ingénierie sociale (ou Social Engineering en bas breton) dans un contexte de sécurité informationnel :

Le portail de la sécurité informatique du gouvernement nous en donne une définition :
« Manipulation consistant à obtenir un bien ou une information, en exploitant la confiance, l’ignorance ou la crédulité de tierces personnes. Remarques : Il s’agit, pour les personnes malveillantes usant de ces méthodes, d’exploiter le facteur humain, qui peut être considéré dans certains cas comme un maillon faible de la sécurité du système d’information. »

Le forum Comment ça marche va plus loin :
« L'ingénierie sociale est basée sur l'utilisation de la force de persuasion et l'exploitation de la naïveté des utilisateurs en se faisant passer pour une personne de la maison, un technicien, un administrateur, etc. D'une manière générale les méthodes d'ingénierie sociale se déroule selon le schéma suivant :
- Une phase d'approche permettant de mettre l'utilisateur en confiance, en se faisant passer pour une personne de sa hiérarchie, de l'entreprise, de son entourage ou pour un client, un fournisseur, etc.
- Une mise en alerte, afin de le déstabiliser et de s'assurer de la rapidité de sa réaction. Il peut s'agir par exemple d'un prétexte de sécurité ou d'une situation d'urgence ;
- Une diversion, c'est-à-dire une phrase ou une situation permettant de rassurer l'utilisateur et d'éviter qu'il se focalise sur l'alerte. Il peut s'agir par exemple d'un remerciement annonçant que tout est rentré dans l'ordre, d'une phrase anodine ou dans le cas d'un courrier électronique ou d'un site web, d'une redirection vers le site web de l'entreprise. »

Ces méthodes ne sont possibles que parce que le manipulateur a pu récupérer suffisamment d’informations sur sa cible. Or, c’est souvent la cible qui met ces informations à disposition, notamment en alimentant ses profils dans les réseaux sociaux !
A bon entendeur…

JB

NB : Notez que l’ingénierie sociale est aussi le nom donné à un ensemble de compétences tout à fait légales, qui fait d’ailleurs l’objet d’un diplôme d’Etat (voir le site de l’UPEC).

 

Source Image : Crime-cyber

Par Jerome Bondu - Publié dans : Gestion des risques - Communauté : NTIC : Nouvelles technologies
Ecrire un commentaire - Voir les 0 commentaires
Mercredi 19 janvier 2011 3 19 /01 /Jan /2011 22:06


Le 3 février 2011 à 19H15 le Club IES (IAE de Paris Alumni) vous invite à sa prochaine conférence-débat sur le thème :

Internet et la protection des données personnelles.

Problématique :
Internet est composé de milliers de services qui sont autant d’incitations à s’inscrire, et donc à déposer ses informations personnelles. Le phénomène s’est particulièrement accentué avec les réseaux sociaux : un profil professionnel sur Linked In, des contacts sur Viadeo, quelques photos sur Facebook et ce sont beaucoup d’informations souvent très personnelles qui se retrouvent accessibles au plus grand nombre.

Durant cette conférence vous aurez une présentation des problèmes potentiels liés à l’utilisation des nouveaux outils de communication, ainsi que des bonnes pratiques pour se protéger.


Intervenant :
Sophie Vulliet-Tavernier, directrice des affaires juridiques de la Commission informatique et libertés (CNIL) animera cette conférence.
La CNIL est investie d’une mission générale d’information sur les droits qu’offrent la loi Informatique et libertés. Au titre de son expertise, la CNIL propose au gouvernement les mesures législatives ou réglementaires de nature à adapter la protection des libertés et de la vie privée à l'évolution des techniques. Le gouvernement consulte la CNIL avant de transmettre au Parlement un projet de loi relatif à la protection des données (voir une interview vidéo sur TiviPro).


Déroulement :
19h15 - 19h30 : Accueil des participants
19h30 - 20h30 : Présentation
20h30 - 21h00 : Débat avec la salle
21h00 – 21h50 : Cocktail dînatoire

Lieu :
Amphithéâtre de l’IAE de Paris - 21 rue Broca Paris 5ème
M° Censier Daubenton (ligne 7)

Inscription obligatoire :
Inscription uniquement en ligne à partir de l’agenda de l'AAE IAE de Paris.
Tarif 6 euros pour les membres / 12 euros pour les extérieurs

Jérôme Bondu
Président du Club IES

Par Jerome Bondu - Publié dans : Gestion des risques - Communauté : NTIC : Nouvelles technologies
Ecrire un commentaire - Voir les 0 commentaires
Vendredi 5 février 2010 5 05 /02 /Fév /2010 21:22
lointier_club-ies.jpgCompte rendu de la conférence "Réseaux sociaux et web 2.0 - Nouveaux comportements, nouvelles menaces", animée par Pascal Lointier.

Conférence organisée par le Club IES (de l'AAE IAE de Paris) le 15 décember 2009.
Compte-rendu rédigé par Jérôme Bondu


THEME :
Il est indéniable que les réseaux sociaux sont en train de bouleverser notre manière de gérer nos réseaux relationnels, notre rapport à internet, nos modes de travail et plus globalement notre mode de vie.
Ces nouveaux comportements sont riches d’opportunités, mais aussi riches de menaces.
Au seuil de 2010, cette conférence a eu pour objectif de faire le point sur ces questions.

INTERVENANT :
Pa lointier.jpg scal Lointier est Président du Clusif, Club de la Sécurité de l'Information Français, et Conseiller Sécurité de l’Information chez Chartis (ex-AIG Europe).

CONFERENCE:
M. Lointier a introduit le sujet en rappelant que ce que l’on percevait comme « nouveau », était en réalité utilisé depuis longtemps. Ainsi les réseaux sociaux, sous une forme proche de ce que nous connaissons aujourd’hui c.à.d. une infrastructure informatique, ont été créés avec l’Internet. Mais ils étaient jusqu’à présent réservés à des communautés spécifiques, notamment les informaticiens, et s’appuyaient sur des ressources telles que les forums de USENET.

Ces infrastructures de mise en relation ont vu leur essor amplifié du fait de l’opportunité de mise en application de travaux de recherche en sociologie. Notamment la théorie du 6ème degré, la théorie des « small world » dite aussi de Milgram ou encore les études plus récentes sur le « swarm intelligence ».

Internet est un média qui charrie beaucoup d’idées reçues. On a une vision monolithique de l’internet alors qu’il s’agit d’un monde de diversité de ressources et d’acteurs : Internet signifie « Interconnexion of networks » et à l’origine, c’était un projet militaire pour maintenir la capacité de communication dans un contexte de guerre froide (explosion nucléaire en haute atmosphère ou encore Impulsion Electro-Magnétique). Internet n’a donc pas été conçu pour le commerce électronique, ce qui se traduit par une triple problématique d’authentification : l’email reçu (cf. phishing), le site visité (cf. pharming) et le profil et/ou avatar (cf. réseaux sociaux). Pour illustration, voici quelques unes de ces idées qu’il est bon de relever avant de voir les prolongements dans les réseaux sociaux :
- Il n’y a pas de pertinence de l’information sur internet. Tout peut y être dit, le pire comme le meilleur. La qualification de l’information (source, donnée émise) est donc critique voire fondamentale.
- Le droit à l’oubli est difficile à mettre en œuvre d’une part en raison de la résilience intrinsèque d’internet et d’autre part, en raison de la volonté clairement affichée par certains réseaux sociaux d’exploiter les données que vous aurez mis, ou qu’on aura mis en ligne et qui vous concernent : tout ce que vous direz/écrirez pourra être retenu/exploité contre vous... .
- Google est, parait-il, le meilleur des moteurs, mais « le meilleur des moins bons ». De plus, il semble qu’en France nous ayons un tropisme googlien inexplicable. Google est utilisé dans près de 90 % des recherches. Aux Etats-Unis même, il ne dépasse pas 70 %. En outre, il faut garder à l’esprit le modèle économique sous-jacent : faire du commerce, géolocaliser la réponse pour orienter les achats, etc. Pour dire la même chose autrement, l’indexation n’est ni neutre ni exhaustive.
- Google pourrait devenir le pire cauchemar des entreprises. Avec les Google Apps, le service DNS et la dématérialisation, l’entreprise aura bien du mal à maîtriser la disponibilité de ses information (leur accessibilité au moment voulu) et la confidentialité (espionnage économique sur une infrastructure tierce dont vous ne connaissez pas les règles et solutions de sécurité). De plus, comment tracer, historiser, des emplois et justifier ainsi la conformité à vos réglementations (SOX, PCI-DSS, CNIL…) ?
- L’évolution vers la photo-vidéo numérique, la mise en partage des fichiers ont créé un « exhibitionnisme électronique » qui fait que l’on s’affiche sans pudeur ni retenue sur internet, et l’on présente sur la toile (c'est-à-dire à qui veut le voir) ce que nous refuserions de montrer ne serait-ce qu’à un public restreint dans le monde réel.
- Autre évolution détectée, on perd peu à peu la mémoire collective contre une mémoire individuelle virtuelle. On stocke sur internet, dans ses mails, sur son blog, … des choses que l’on ne fait plus l’effort de retenir. On utilise Google pour vérifier « l’ortografe » d’un mot…


Ces problèmes présents sur internet semblent se cristalliser dans les réseaux sociaux :
- Derrière les réseaux sociaux, il n’y a pas de service public, ce sont des sociétés commerciales qui veulent « faire de l’argent » avec votre vie privée et/ou professionnelle. Facebook a changé récemment ses CGU (conditions générales d’utilisation) et a déclaré que les informations lui appartenaient ad vitam aeternam ! De plus, cet acteur interdit le « suicide virtuel », opération également commercialisée ;-) qui consiste à effacer ses traces sur la Toile.
- Les réseaux sociaux sont devenus le support d’actions délictueuses pré-existantes comme le Scam nigérian. Cette arnaque vise à faire croire à la cible qu’une somme très importante peut être débloquée (et partagée) s’il avance un faible montant. Bien sur, ce « faible » montant, s’il est « prêté », est … perdu.
- Les réseaux sociaux sont une incitation au « naturisme numérique » (qui est tendance déjà forte sur internet), renforcé comme on l’a vu par le passage de l’argentique au numérique.
- Ils n’offrent pas de contrôle de la sphère privée : on ne maitrise plus ses informations personnelles. Un tiers, bien intentionné, peut fort bien mettre sur son web/blog/profil/microblog des informations, des photos, qui vous concernent sans que vous en soyez averti et/ou consentant.
- Ils n’offrent pas de droit à l’oubli. Une polémique a surgie récemment sur internet sur le fait que Facebook s’arroge le droit de garder actif le profil de personnes décédées.
- Il y a un « effet de pression normative du groupe », qui fait que l’on est incité à s’y inscrire, surtout quand on est invité par un client, un ami, un collègue de travail. Refuser peut paraitre impoli. Il y a donc une incitation pernicieuse à être présent sur ces outils.
- Ils n’offrent pas de garanti pour authentifier un interlocuteur. Nous l’avons déjà évoqué et de plus, un profil, une identité virtuelle, peut être usurpée. Et la sécurisation en HTTPS ne résout rien. Quand le navigateur sur lequel on « surfe » affiche le cadenas, symbole d’une connexion en HTTPS (sécurisé) cela n’est en rien une assurance que nous sommes sur un site authentique. Cela signifie simplement que les échanges d’informations (entre vous et le site) sont protégés par le chiffrement des échanges. Mais l’on peut avoir des échanges protégé avec un site pirate !
- Les implications dans le monde réel sont … réelles. A titre d’exemple, le Canton Genevois a envisagé il y a quelques semaines de condamner un viol sur un monde virtuel, car les conséquences psychologiques ne sont pas neutres pour l’internaute/avatar.
- Chacun doit trouver la protection qui lui convient. On peut « fuir » ces réseaux sociaux. On peut aussi les utiliser avec réserve et précaution. Qu’est-ce que je mets en ligne ? Qui est susceptible de le lire et avec quelles conséquences ?


En conclusion, Pascal Lointier rappelle que toutes les technologies sans exceptions présentent un risque spécifique et un détournement d’emploi malveillant.
Prenons par exemple une des technologies les plus utiles : l’automobile !
- La voiture coûte très cher en termes de dommages corporels et matériels, … c’est le risque spécifique.
- Quand les membres de la bande à Bonnot ont été les premiers à utiliser une voiture pour un braquage de banque, … ils ont réalisé un détournement d’emploi malveillant !
Les réseaux sociaux n’échappent pas à cette règle, et doivent donc être utilisés avec intelligence. Ce ne sont pas les outils qui sont en cause, mais la manière de les utiliser et la volonté d’exploitation commerciale abusive de certains. Il y a donc un nécessaire effort d’éducation.

Ce texte retranscrit une partie de la présentation de M. Lointier.
Télécharger le support de conférence [PDF 2Mo].

Jérôme Bondu



Par Jerome Bondu - Publié dans : Gestion des risques - Communauté : Veille stratégique
Ecrire un commentaire - Voir les 2 commentaires
Vendredi 5 février 2010 5 05 /02 /Fév /2010 04:00

lehmann.jpg Je suis en train de lire le « Petit traité d’attaques subversives contre les entreprises ». Pour être franc, j’y suis rentré à reculons. Sans doute à cause du volume (plus de 420 pages), de la couverture noire qui fait penser aux sites de hackers, et aussi parce que je ne pense pas avoir besoin de me perfectionner en attaques subversives.

 

Une fois n’est pas coutume, ma première impression m’a guidé loin de la réalité. Cet ouvrage est une mine (sans jeu de mot) d’informations précises et utiles sur le monde de la protection.

 

Après un avant-propos et une introduction (qui valent à eux seuls un tiers du livre), le plan se découpe en trois parties : le pôle humain, le pôle informatique, et le pôle terrain.

 

Les auteurs (Emmanuel Lehmann et Franck Decloquement) font preuve d’une impressionnante agilité pour aller des sciences sociales (les pages sur la manipulation, et les expériences des psychologues comme Milgram devraient être plus connues), jusqu’aux manières de rentrer en effraction dans un bâtiment industriel, en passant par les techniques pour consulter la boite mail d’un individu, ou pour lire un écran à distance… ! De très nombreux encarts illustrent les propos des auteurs et rythme la lecture.

 

Emmanuel Lehmann et Franck Decloquement impressionnent par leurs connaissances. Bien sûr, leur but n’est pas de former les futurs pirates. Mais au contraire de prévenir les entreprises de l’échelle des possibles en matière d’attaque. Avec l’envi de leur dire « vous ne pouvez plus dire que vous ne savez pas ».

 

Cet ouvrage appartient à une école de pensée qu’Infoguerre décrypte bien « Emmanuel Lehmann et Franck Decloquement, tous deux anciens de l’Ecole de Guerre Economique, inscrivent leur ouvrage dans la lignée des différentes publications issues de l’ « école de pensée subversive » au sein du courant qui prône la guerre de l’information dans les stratégies de puissance. Cette école de pensée subversive, initiée par Christian Harbulot …  »

 

On ne sera pas étonné qu’Emmanuel Lehmann soit officier de réserve, en plus d’être diplômé de l’Essec (ce qui ne gâte rien). Il est consultant indépendant sur des problématiques de sécurité et de sureté. Franck Decloquement est ancien journaliste, lui aussi ancien de l’EGE. Il est aujourd’hui consultant spécialiste en business intelligence.

 

Bravo pour cette somme, qui rapproche plus ce livre de l'encyclopédie, que du "petit traité". 

 

Jérôme Bondu

 

Pour en savoir plus :

- Consulter leur site.

- Lire la présentation de l’ouvrage sur le site de l’EGE.

- Voir leur groupe sur Facebook

- Commander sur Amazon 

- Livre publié aux éditions Chiron (pour ceux qui ont oublié qui est Chiron dans la mythologie grecque, il y a wikipedia)



 

Par Jerome Bondu - Publié dans : Gestion des risques - Communauté : Veille stratégique
Ecrire un commentaire - Voir les 1 commentaires
Lundi 1 février 2010 1 01 /02 /Fév /2010 15:10


Interview d’Eric Barbry, avocat, directeur du pôle Internet et Télécom au sein du Cabinet Alain Bensoussan.

Eric, qui est intervenu au sein du Club IES (Compte rendu conférence : Le droit de l’Internet et l’Intelligence Economique), revient dans cette vidéo sur les risques juridiques majeurs pour les SI et projette le droit des nouvelles technologies à horizon 2013. Un aperçu de son intervention les 29 et 30 mars 2010 à Paris à l'occasion de la conférence Horizon Informatique 2013 organisée par Comundi.

 

Par Jerome Bondu - Publié dans : Gestion des risques - Communauté : Veille stratégique
Ecrire un commentaire - Voir les 0 commentaires

Sondage sur les réseaux

Participez au sondage sur la pratique des réseaux humains, mis en place par Inter-Ligere ! Cela ne vous prendra que 5 minutes, et vous recevrez les résultats. Cliquez ici.

Recherche

Créer un blog gratuit sur over-blog.com - Contact - C.G.U. - Signaler un abus - Articles les plus commentés