Tsion Gonen, en charge de la stratégie chez Safenet, était de passage à Paris à l’occasion du trentième anniversaire de l’entreprise. Il a rencontré quelques journalistes de la presse informatique pour dévoiler les priorités stratégiques de l’entreprise et sa vision actuelle de la sécurité.

Cela fait 30 ans que Safenet s’ingénie à protéger les données des entreprises et a leur fournir des outils pour le faire. Tsion Gonen ne se cache pas derrière son petit doigt. Globalement l'offre de l'industrie de la sécurité fait que « cela ne marche pas » !

Il indique plusieurs raisons. Avec ironie, il constate que pendant des années, le monde de la sécurité a déployé ses talents à faire peur pour justifier les investissements.

Les soupçons concernant l’installation de bretelles sur les câbles Internet des grands opérateurs se confirment. Level3, premier fournisseur mondial de dorsales Internet et fournisseur de Yahoo et Google pourrait être concerné.

Depuis les premières révélations d’Edward Snowden et tout de suite après les démentis des grands acteurs de l’Internet, nombreuses ont été les interrogations quant à savoir qui disait la vérité dans cette gigantesque partie de poker menteur. En effet, quelques heures après que M. Snowden ait dévoilé les tenants et les aboutissants des programmes Prism ou Bullrun, les sociétés impliquées, notamment Google, Yahoo, Microsoft, Apple et quelques autres, ont publié de fermes démentis expliquant qu’ils ne donnaient accès aux informations de leurs clients que dans le cadre de la loi les y obligeant et encore après étude de leurs conseils juridiques respectifs.

Qualcomm a des difficultés en Chine… à cause des révélations autour des écoutes illégitimes de la NSA. C’est en tout cas ce qu’estime Paul Jacobs, le PDG de Qualcomm.

Récemment, le PDG de Cisco John Chambers mettait sur le dos des révélations d’Edward Snowden ses résultats moyens et ses perspectives de croissance molles. Une critique facile au premier abord, pourrait-on se dire. Le commandant en chef de Cisco admettait encore que le business devenait de plus en plus complexe en Amérique du Sud et en Chine, où le regard sur l’équipementier américain est désormais suspicieux.

Paul Jacobs, PDG de Qualcomm

Attention, pour utiliser le terme de « coffre-fort numérique ou électronique », les fournisseurs de ce type de services devront désormais apporter de réelles garanties en termes de sécurité, explique la CNIL.

Prenant acte de la démocratisation des services de stockage en ligne pour les professionnels et les particuliers, la CNIL a publié une recommandation sur les usages des coffres-forts numériques. Pour proposer un tel service aux particuliers, il faudra donc répondre à certains critères, principalement en termes de sécurité informatique donc… et elles sont nombreuses !

La recommandation publiée par la CNIL a surtout pour but de mieux informer les consommateurs.

Un hacker raconte comment il s'est introduit dans les messageries de quelques eurodéputés. Le piratage s'est effectué vie une application pour smartphone signée Microsoft.

Mails professionnels et privées, documents confidentiels, carnets d’adresse, agenda… les messageries de nos responsables politiques regorgent d’informations qui doivent faire l’objet d’une sécurisation soutenue. Un hacker s’est amusé à pirater les mails de quelques eurodéputés (français, allemands, portugais, italiens), de quatre assistants parlementaires, d’une collaboratrice d’un groupe politique ainsi que de deux employés du Parlement travaillant pour le service informatique, rapporte Médiapart, qui a recueilli le témoignage de l’auteur du piratage. Ce dernier affirme que « c’était un jeu d’enfant ! » et qu’il lui a suffi de se munir d’un « ordinateur portable bas de gamme équipé du wifi et quelques connaissances que tout le monde est capable de trouver sur internet ».

La première version baptisée 0.5 aurait été beaucoup plus dangereuse et plus performante mais elle n'a pas été exploitée. Selon un expert, la raison de ce renoncement serait politique.

Notre confrère Dark Reading, publie les travaux d’un expert en sécurité Ralph Langner, lequel affirme qu’une première version de Stuxnet, baptisée 0.5 par un chercheur de Symantec, était beaucoup plus puissante et aurait pu provoquer l’anéantissement de la centrale nucléaire de Natanz. M. Langner arrive à ses conclusions après avoir réalisé des opérations de « reverse engineering » sur les différentes versions du malware qu’il a eu en sa possession.

Dans sa première version, supposément indétectable et ne contenant ni failles zero day ni certificats numériques, le malware devait causer des dommages aux centrifugeuses installées à Natanz.

Suite à la décision rendue par la Cour de cassation d’obliger les policiers à s’en référer à un juge pour utiliser la géolocalisation au cours de leurs enquêtes préliminaires, les policiers ne décolèrent pas. Le législateur pourrait nuancer l’application de ce principe.

Voilà quinze jours que les policiers ne décolèrent pas. Ils n’acceptent toujours pas l’interdiction émise par la Chancellerie d’utiliser la géolocalisation dans les enquêtes préliminaires. En effet, la Cour de cassation a estimé, dans un arrêt daté du 22 octobre, que l’utilisation de données d’un téléphone portable, même pour retracer l’itinéraire d’une personne préparant des actes terroristes ou suspectée d’un trafic de stupéfiants, ne pouvait se faire que sur décision du juge car cette géolocalisation constitue une ingérence dans la vie privée : « La géolocalisation et le suivi dynamique en temps réel d'une ligne téléphonique à l'insu de son utilisateur constituent une ingérence dans la vie privée et familiale qui n'est compatible avec les exigences de l'article 8 de la Convention européenne des droits de l'homme qu'à la condition d'être prévue par une loi suffisamment claire et précise.

Les ingénieurs de l’IETF (Internet Engineering Task Force) estiment que la meilleure solution pour déjouer les programmes de surveillance de la NSA serait de chiffrer le trafic internet.

L’IETF a publié une communication la semaine dernière pour expliquer sa proposition. L’idée n’est autre qu’un chiffrement global des données circulant sur Internet, en commençant notamment par le trafic HTTP, notamment dans le cadre de la future normalisation 2.0 du protocole HTTP. Le chiffrement deviendrait ainsi une norme, pour le trafic entre utilisateurs et serveurs. Selon Ars Technica, les éditeurs et navigateurs soutiennent le projet.

Choisir entre trois options

Le groupe de travail HTTPbis, chargé de concevoir la spécification HTTP 2.0, envisage plusieurs possibilités :

Le « Microsoft Cybercrime Center », centre de lutte contre la cybercriminalité, vient d’ouvrir, sur le campus de Redmond.

Le Microsoft Cybercrime Center s’étend sur 1500 mètres carrés et se concentre sur trois principaux types de cybercriminalité : la pédopornographie et tous les crimes permis par la technologie et touchant les enfants, sur internet, le vol d’identité et le piratage, notamment les attaques via des botnets ou des malwares. Le Microsoft Cybercrime Center dispose, par exemple, d’un laboratoire d’analyse d’échantillons de malwares.

Composée d’experts juridiques et techniques internationaux (techniciens réseaux, enquêteurs, avocats, hackers…), l’équipe de 100 personnes de cette unité est dotée d’une technologie permettant par exemple de surveiller en temps réel le développement des organisations criminelles.

Il aura fallu près de 10 ans pour corriger un article de loi défaillant mais c'est enfin réalisé par le Sénat Français.

Qui n’a pas entendu en 2004 les protestations de nombreux professionnels de la sécurité informatique lors de la publication de la Loi pour le Confiance en l’Economie Numérique. On pouvait y lire, dans son article 46, qu’il est interdit « sans motif légitime, d'importer, de détenir, d’offrir, de céder ou de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions prévues par les articles 323-1 à 323-3 du code pénal » : http://www.legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000000801164&dateTexte=&categorieLien=id

Les chercheurs en sécurité, les experts en tests d’intrusion avaient alors considéré que l’expression « sans motif légitime

Le CDSE a publié un petit fascicule résumant le colloque organisé l'année dernière sur les cybermenaces en entreprise. Acteurs privés et publics s'allient pour lutter contre une cyberbercriminalité « protéiforme et imprévisible ».

Il y a un peu moins d’un an, le CDSE (Club des directeurs de sécurité des entreprises), en partenariat avec Europol, organisait un grand colloque au siège de l’OCDE, à Paris, intitulé « Les entreprises et l’État face aux cybermenaces ». Cet événement se veut comme une caisse de résonance des diverses difficultés rencontrées par les acteurs participants, tout au long de l'année.

Les éditions L’Harmattan ont publié un petit livret reprenant les grandes lignes de ce colloque.

Profitant des Assises de la Sécurité à Monaco, Bull a présenté un smartphone sécurisé à destination des entreprises et administrations. Le Hoox m2 bénéficie des technologies les plus avancées de sécurisation et de cryptage des données.

La sécurité dans l’entreprise est naturellement devenue un enjeu majeur ces derniers mois, et Bull semble décidé à ne pas laisser passer sa chance. La marque française dévoile donc son Hoox m2, un smartphone sécurisé conçu pour équiper les entreprises et administrations qui craignent pour la confidentialité de leurs données.

Le système fonctionne à partir d’un noyau Android, mais les équipes de Bull ont complètement revu le système d’exploitation pour s’assurer de sa fiabilité.

Issue de l’accélérateur du Silicon Sentier cette jeune pousse française a émigré aux Etats-Unis pour assurer son développement. L’entreprise « américaine » vient de remporter le prix de l’innovation des Assises de la Sécurité pour son application de sécurisation des documents Office et PDF. En attendant mieux.

A la fin de l’année 2010, Alex Négrea et Clément Cazalot quittent leurs jobs au sein du groupe Gemalto. Ils rejoignent l’entité le Camping située à Paris dans le Silicon Sentier. Cet accélérateur de business aide les jeunes start-ups à démarrer et pour DocTrackr les choses se passent vite et bien puisque la SNCF passe commande en 2011 de leur produit de sécurisation des documents.

Douze spécialistes de la sécurité informatique se sont rassemblés en un club baptisé HexaTrust : ils souhaitent ensemble donner un nouvel élan aux sociétés françaises, dans ce domaine, en réponse à l'affaire Snowden. De son côté, l'éditeur américain McAfee pourrait sortir dans quelques mois un petit gadget avec un système de chiffrement embarqué que la NSA ne devrait pas pouvoir déchiffrer.

L’Union (française) fait la force ! Douze PME et ETI (Wallix, Olfeo, Brainwave, Vade Retro, Arismore, Bertin Technologies, DenyAll, The GreenBow, Ilex, InWebo, Netheos, Olfeo, Opentrust) du secteur de la sécurité informatique et de la confiance numérique, l’ont bien compris.

Le Club 27001 a organisé le 18 septembre dernier une présentation des changements apportés par la version 2013 de la norme ISO 27001.

Quelques points clés à retenir de la présentation de Béatrice Joucreau du cabinet HSC :

- L'expression "at least once a year" pour la revue de direction dans la norme ISO 27001:2005 disparaît. Il doit y avoir un audit interne et une revue de direction, mais plus aucune périodicité n'est imposée. C'était déjà le cas pour la revue de l'appréciation des risques, mais pas pour la revue de direction et donc l'audit interne. L'ISO 27001 rejoint donc l'ISO 9001.