LMIE: Intelligence économique

2007-09-23T20:22:00.001+02:00

La Caisse d’Epargne met son coffre en ligne

21 sept. 2007

Après Monabanq, la Caisse d’Epargne lance son coffre fort électronique sur internet. Pour l’instant, il est réservé à ses clients

La banque Caisse d’Epargne lance officiellement son « webcoffre », un coffre fort électronique accessible en ligne, cet automne. Dans un premier temps, l’outil sera proposé aux clients de la banque uniquement. Ces derniers seraient très demandeurs de cette solution, d’après l’établissement, qui a réalisé une étude auprès de 8.000 d’entre eux, en juin dernier.

L’outil permet de stocker tout type de documents numérisés, tels des bulletins de salaires, des déclarations fiscales et sociales ou encore des diplômes. Et tous ces éléments peuvent être ordonnés par leur utilisateur, sur la même logique que celle d’un disque dur.

L’espace de stockage proposé va de 1 à 10 Go, suivant trois formules. Outre le stockage, la banque propose un service d’horodatage et de certification des documents.

Techniquement, l’établissement a choisi la solution standard de Atos, standard Worldline Coffre-fort. Mais le prestataire a intégré des fonctionnalités spécifiques pour la banque, tel l’accès restreint aux documents pendant une période de 3 mois après fin de l’abonnement souscrit par le client.

Horodaté et certifié

Pour garantir la certification des documents, l’application joint « aux documents téléchargés un certificat d’intégrité et d’horodatage informant les destinataires auxquels le certificat est présenté de la date de dépôt au Webcoffre des documents en question, ainsi que l'intégrité de ces derniers, une fois déposés. L’empreinte d’intégrité est un hash de 160 bits du contenu du Document concerné. L’algorithme retenu est SHA-1, c’est-à-dire un algorithme robuste et reconnu par les experts en Sécurité. Le système de certification utilisé permet, en l’état actuel de la technique, de démontrer que le document produit est le même que celui qui a été déposé dans un Webcoffe à une date donnée. L’empreinte d’horodatage est scellée avec d'autres données sur des supports inaltérables de type WORM, et indique la date et l’heure de dépôt du document déposé » indique un porte parole de l’établissement.

Si l’abonnement au coffre fort est payant, pour un montant qui peut aller de 0,8 à 2,5 euros par mois, le service de certification est gratuit jusqu’à la fin de l’année seulement. En revanche, les clients pourront toujours conserver leur coffre fort électronique même s’ils quittent la banque.

2007-09-23T20:03:00.000+02:00

Des kits de hacking en vente sur eBay

Tier-3, une société spécialisée dans la veille en matière de sécurité annonce que des boîtes à outils pour hackers sont disponibles sur le site de vente aux enchères

C'est un nouveau signe de la progression rapide du cybercrime. Alors qu'auparavant les outils préfabriqués à destination des hackers amateurs et professionnels étaient uniquement disponibles sur les réseaux "souterrain" de la Toile, les analystes de Tier-3 viennent de lancer une alerte selon laquelle des enchères sont ouvertes sur eBay pour s'offrir des "outils de Hacking".

"C'est inquiétant" précise Geoff Sweeney, CTO de Tier-3, qui estime que ces nouveaux cas de vente de malware montrent que le phénomène du hacking est en train de prendre de l'ampleur sur le Net. D'autant plus qu'il est facile de se procurer des outils efficaces (ndlr : comme MPack qui coûte entre 700 et 1.000 dollars) afin de s'adonner au cybercrime.

"Il suffit donc désormais d'un compte eBay et Paypal pour se procurer des trojans et des outils de piratage de pages Web sur la Toile " poursuit Sweeney.

"Au départ, ce phénomène du partage des outils de hacking était réservé aux professionnels de la sécurité qui luttent contre l'expansion du piratage informatique. Mais de nos jours, même les cybercriminels organisés utilisent ces systèmes de diffusion massive. Les éditeurs de sécurité risquent de connaître une explosion des attaques, car même les internautes lambda peuventt avec ces outils s'essayer au hacking."

La fiabilité d'eBay en question

Cette nouvelle affaire soulève une fois de plus le niveau de fiabilité de la modération sur eBay. Ce n'est en effet pas la première fois que le site se fait épingler par des spécialistes de la sécurité pour la mise en vente d'outils de hacking. Certaines annonces sont extrêmement loufoques, dernière affaire en date qui met en exergue ce problème de gestion des annonces, la vente, lundi 17 septembre, de la Belgique...

Le vendeur est un ancien journaliste, Gerrit Six. Le prix d'achat à l'origine d’un euro est rapidement monté à 10 millions d'euros. L'annonce a depuis été retirée.

cyberespace

2007-09-22T11:54:00.000+02:00

En février 2003, la Maison-Blanche a publié un document de 76 pages intitulé « Stratégie nationale de sécurité du cyberespace, prévoyant l'application d'une approche à plusieurs volets afin de protéger les technologies de communications vitales pour la nation. La stratégie a été élaborée après plusieurs années de consultations intensives auprès de milliers de personnes, de responsables à tous les niveaux du gouvernement, d'experts du secteur privé et de citoyens intéressés. Les extraits présentés ci-après reflètent les moyens que les États-Unis mettent en œuvre pour protéger les réseaux informatiques complexes et interconnectés indispensables à la société actuelle.

Priorités fondamentales pour la sécurité du cyberespace

La Stratégie nationale de sécurité du cyberespace définit cinq grandes priorités nationales :

I. Adopter un mécanisme national d'intervention pour protéger la sécurité du cyberespace ;

II. Mettre en place un programme national visant à atténuer les menaces à la sécurité et la vulnérabilité du cyberespace ;

III. Prévoir un programme national de sensibilisation et de formation à la sécurité du cyberespace ;

IV. Garantir la sécurité du cyberespace des institutions gouvernementales ;

V. Coopérer aux plans national et international en matière de sécurité du cyberespace.

La première priorité vise à améliorer nos ripostes en cas de cyberincidents et à réduire les dommages que ceux-ci sont susceptibles de causer. Les deuxième, troisième et quatrième priorités ont pour but de réduire les menaces et d'atténuer notre vulnérabilité aux cyberattaques. La cinquième priorité consiste à prévenir les cyberattaques pouvant porter atteinte aux éléments de la sécurité nationale et à améliorer la façon dont les pays réagissent à telles attaques.

Priorité I - Adopter un mécanisme national d'intervention pour protéger la sécurité du cyberespace

L'identification rapide d'une menace, l'échange d'informations et l'application de solutions dans les meilleurs délais peuvent souvent limiter les dommages causés par les actions mal intentionnées des cybercriminels. Pour que ces activités soient efficaces au niveau national, il faut établir un partenariat entre le gouvernement des États-Unis et le secteur privé, de façon à procéder à des analyses, publier des avertissements et coordonner les mesures de riposte. La vie privée et les libertés civiles doivent être protégées dans ce processus. Par ailleurs, étant donné qu'aucun plan visant à assurer la sécurité du cyberespace ne peut résister aux attaques menées de façon intelligente et concertée, les systèmes d'information doivent pouvoir continuer à fonctionner au cours de telles attaques et être suffisamment solides pour rétablir rapidement toutes leurs opérations.

La Stratégie nationale de sécurité du cyberespace définit huit importantes mesures et initiatives pour appuyer la sécurité du cyberespace :

Etablir une architecture publique-privée pour réagir face aux cyberincidents de niveau national ;
Prévoir l'analyse tactique et stratégique des cyberattaques et évaluer les éventuelles points faibles ;
Encourager le développement de capacités au sein du secteur privé afin d'apprécier de manière synoptique l'état de santé du cyberespace ;
Etendre le réseau de cyberalerte et d'information pour appuyer les interventions du ministère de la sécurité intérieure lorsqu'il s'agit de coordonner la gestion des crises en matière de cybersécurité ;
Améliorer, au plan national, la gestion des incidents ;
Coordonner les processus sous-tendant une participation volontaire à l'élaboration de plans nationaux impliquant les secteurs public et privé afin d'assurer la continuité et parer à toute éventualité ;
Instituer des plans visant à maintenir la sécurité du cyberespace pour les systèmes fédéraux ;
Améliorer et renforcer la communication d'informations entre le secteur public et le secteur privé concernant les cyberattaques, les menaces et les vulnérabilités.

Priorité II - Mettre en place un programme national visant à atténuer les menaces à la sécurité et la vulnérabilité du cyberespace

Les attaques organisées peuvent, en exploitant les vulnérabilités de nos cybersystèmes, mettre en danger la sécurité des infrastructures essentielles de la nation. Les vulnérabilités les plus graves se situent au niveau des moyens informatiques des entreprises sur lesquelles reposent ces infrastructures et à celui de leurs structures d'appui extérieur, l'internet en étant un exemple. Les sites dont la sécurité est moins rigoureuse présentent aussi des failles significatives et sont exposés aux cyberattaques. On peut imputer les vulnérabilités à des points faibles de la technologie ou à la mauvaise mise en œuvre et vérification des produits technologiques.

La Stratégie nationale de sécurité du cyberespace a mis à jour huit grandes recommandations afin de réduire les menaces et les vulnérabilités correspondantes :

Renforcer les capacités des autorités policières en matière de prévention des cyberattaques et de poursuites judiciaires de leurs auteurs ;
Etablir un processus d'évaluations nationales de la vulnérabilité afin de mieux comprendre les conséquences possibles des menaces et des insuffisances ;
Assurer la sécurité des mécanismes de l'internet en améliorant les protocoles et l'acheminement ;
Encourager l'utilisation de systèmes fiables de contrôle numérique et d'acquisition de données ;
Réduire la vulnérabilité des logiciels et y remédier ;
Comprendre les interdépendances des infrastructures et améliorer la sécurité matérielle des systèmes informatiques et des télécommunications ;
Assigner une priorité aux projets du gouvernement en ce qui concerne la recherche et le développement dans le domaine de la cybersécurité ;
Evaluer les nouveaux systèmes et garantir leur sécurité.

Priorité III - Prévoir un programme national de sensibilisation et de formation à la sécurité du cyberespace ;

Souvent, les vulnérabilités aux cyberattaques sont un fait parce que les utilisateurs d'ordinateurs, les administrateurs de systèmes, les ingénieurs, les responsables des achats, les vérificateurs, les responsables de l'information, les présidents-directeurs généraux et les conseils d'administration des entreprises ne sont pas sensibilisés aux problèmes de sécurité. Ces vulnérabilités dues à un manque de connaissances font toujours courir de graves dangers aux infrastructures critiques. Le manque de personnel qualifié et l'absence de programmes reconnus de certification à divers niveaux de compétences des professionnels de la cybersécurité viennent encore compliquer la tâche lorsqu'il s'agit d'éliminer les vulnérabilités informatiques.

La Stratégie nationale de sécurité du cyberespace recommande quatre lignes d'action visant la sensibilisation, l'éducation et la formation :

Engager une vaste campagne nationale de sensibilisation qui permettra à tous les Américains, les entreprises, les salariés et le grand public, d'assurer eux-mêmes la sécurité des régions du cyberespace où ils évoluent ;
Encourager la création de programmes de formation et d'éducation appropriés pour répondre aux besoins nationaux en matière de cybersécurité ;
Renforcer l'efficacité des programmes fédéraux de formation en matière de cybersécurité ;
Promouvoir un appui du secteur privé pour mettre en place un système bien coordonné et largement reconnu de certification de professionnels de la cybersécurité.

Priorité IV - Garantir la sécurité du cyberespace des institutions gouvernementales.

Bien que les instances gouvernementales n'administrent qu'une petite partie de l'infrastructure informatique critique de la nation, les entités officielles, à tous les niveaux, fournissent par le truchement de l'internet des services essentiels dans de multiples domaines : agriculture, alimentation, eau, santé publique, services d'urgence, défense, services sociaux, information et télécommunications, énergie, transports, banques et finances, produits chimiques, postes et messageries. Les instances gouvernementales peuvent donner l'exemple en matière de sécurité du cyberespace, notamment en encourageant par leurs achats la création d'un marché commercial proposant des technologies plus sûres.

La Stratégie nationale de sécurité du cyberespace identifie cinq lignes d'action pour assurer la sécurité du cyberespace gouvernemental :

Evaluer en continu les menaces pesant sur les systèmes informatiques fédéraux et les vulnérabilités de ces systèmes ;
Authentifier les usagers autorisés des systèmes informatiques fédéraux et vérifier la validité de leur autorisation ;
Assurer la sécurité des réseaux locaux sans fil des organismes fédéraux ;
Améliorer la sécurité des opérations de sous-traitance et de passation de marchés par les instances gouvernementales ;
Encourager les instances gouvernementales des États et les administrations locales à établir des programmes de sécurité informatique et à participer à des activités collectives d'échange et d'analyse des informations avec leurs homologues.

Priorité V - Coopérer aux plans national et international en matière de sécurité du cyberespace.

Le cyberespace américain relie les États-Unis au reste du monde. Un réseau de réseaux couvre toute la planète, ce qui permet à des acteurs malveillants d'un continent de s'attaquer à des systèmes informatiques d'un autre continent à des milliers de kilomètres. Les cyberattaques passent les frontières à la vitesse de la lumière et il est difficile de repérer la source des activités néfastes. L'Amérique doit être capable de protéger et de défendre ses systèmes et ses réseaux critiques. Pour ce faire, il faut un mécanisme de coopération internationale de manière à faciliter le partage de l'information, réduire les vulnérabilités et dissuader les acteurs malveillants.

La Stratégie nationale de sécurité du cyberespace recommande six lignes d'action pour renforcer la sécurité nationale des États-Unis et la coopération internationale :

Intensifier les activités de contre-espionnage liées au cyberespace ;
Accroître les moyens permettant de trouver les auteurs des attaques et de riposter ;
Améliorer la coordination entre les organes fédéraux chargés de la sécurité nationale pour riposter aux cyberattaques ;
Œuvrer avec l'industrie et par l'entremise des organisations internationales pour faciliter, au niveau international, l'instauration entre le secteur public et le secteur privé de dialogues et de partenariats axés sur la protection des infrastructures de l'information et la promotion d'une « culture de la sécurité » mondiale ;
Encourager l'établissement de réseaux nationaux et internationaux de veille et d'avertissement pour détecter et bloquer les cyberattaques dès qu'elles se font jour ;
Encourager les autres nations à adhérer à la Convention du Conseil de l'Europe sur la cybercriminalité, ou à faire en sorte que leurs dispositions juridiques et procédurales soient au moins équivalentes.