Billets classés sous la catégorie « Sécurité »

Depuis plusieurs semaines, on voit Apple monter au front pour protéger nos données. En effet, vous avez sûrement entendu parler de cette demande du FBI qui souhaite qu’Apple mette au point un logiciel capable de déverrouiller les iPhone. La requête a été formulée pour accéder aux données contenues dans l’iPhone du tueur de San Bernardino. Maintenant, on apprend que le FBI pourrait accéder aux données sans passer par Apple.

Edward Snowden n’est pas surpris.

Every credible expert knew there were alternative means. That #FBI went so far on so little demonstrated a disregard of facts: bad faith.

— Edward Snowden (@Snowden) 22 mars 2016

Il semble donc que Tim Cook se soit battu pour rien. Pas seulement parce que le FBI n’avait finalement pas vraiment besoin de lui pour arriver à ses fins, mais surtout parce que la sécurité de nos données ne nous importe pas tant que ça, au fond.

La sécurité? Bof.

Un sondage Reuters et Ipsos, mené entre le 11 et le 16 mars auprès de 1703 Américains, indique qu’un seul Américain sur 10 estime que des questions de sécurité, comme le chiffrement des données ou la protection des mots de passe, sont le critère le plus important à l’achat d’un téléphone. C’est plutôt la performance et le prix qui intéressent les consommateurs.

Quand on leur pose la question de la confiance qu’ils accordent aux diverses grosses entreprises qui gèrent leurs données, Apple ne bénéficie pas d’une vague de sympathie, contrairement à ce qu’on aurait pu penser. Environ 60 % des répondants au sondage ont indiqué faire confiance à Apple pour la protection de leurs données. C’est le même résultat quand on pose la question à propos de Google, d’Amazon ou de Microsoft.

People gather at a small rally in support of Apple's refusal to help the FBI access the cell phone of a gunman involved in the killings of 14 people in San Bernardino, in Santa Monica

 

Les cancres : Facebook et Yahoo

Les deux entreprises auxquelles on semble accorder moins de confiance sont Facebook et Yahoo. Respectivement 39 % et 44 % des répondants font confiance à ces plateformes tentaculaires pour protéger leurs données. Il faut dire que, malgré le discours officiel de ces entreprises axé sur la sécurité, de nouvelles failles de sécurité font toujours surface. Voici la dernière en liste sur Facebook, trouvée par Anand Prakash, un chercheur en cybersécurité, qu’il a dévoilée dans un billet de blogue intitulé « Comment j’aurais pu pirater tous les comptes Facebook ».

Ce genre de publicité négative semble avoir des conséquences. Mais l’inverse n’est pas forcément vrai. La levée de boucliers d’Apple n’aura finalement pas eu un réel effet positif sur l’image de l’entreprise. La bataille médiatisée autour de la demande du FBI n’en aura pas fait une compagnie exemplaire à ce chapitre, aux yeux des consommateurs.

C’est Snowden qui doit être bien découragé qu’on accorde si peu d’importance à la sécurité de nos téléphones. La surveillance? Oui, et après?

Depuis les révélations de Snowden en 2013, la surveillance en ligne est devenue une préoccupation pour beaucoup d’utilisateurs d’Internet. Dans ce billet de novembre 2015, je faisais la liste des principaux outils qu’il privilégie pour protéger notre identité en ligne. Au premier rang, Snowden vantait les mérites du navigateur Tor, qui permet d’anonymiser nos activités en ligne. C’est d’ailleurs ce qu’il utilise chaque fois qu’il va sur Internet.

Or, les observations du chercheur indépendant Jose Carlos Norte, spécialiste en sécurité, viennent jeter un pavé dans la marre. Selon lui, le navigateur Tor présente une faille qui pourrait relier les mouvements de votre souris à votre identité.

L’empreinte digitale d’un utilisateur

Cette méthode d’identification implique la lecture des mouvements de l’utilisateur, c’est ce qui devient un genre d’empreinte digitale. Un site web est en mesure de générer un profil de chaque utilisateur avec cette empreinte, qui repère les détails de ses activités sur la page.

digital_fingerprint_small

Ce genre de méthode de traçabilité n’est pas nouveau. Plusieurs types d’empreintes ont déjà tenté d’identifier des utilisateurs de Tor. Par exemple, la taille du texte, l’heure locale, l’information de votre système d’exploitation, etc. sont autant de façons d’en savoir un peu plus sur vous quand un navigateur comme Tor ne permet pas de le faire via des méthodes plus traditionnelles comme l’adresse IP ou les témoins. Chaque fois, des mesures ont été mises en place pour déjouer la méthode, selon Norte.

Ce que la souris dit de vous

Le problème avec l’empreinte de la souris, c’est que le profil généré pourrait être corrélé avec celui produit quand vous allez sur Internet avec un navigateur ordinaire comme Chrome ou Firefox. Comme sur ces derniers votre identité n’est pas protégée, une corrélation entre les empreintes permettrait de vous identifier, même sur Tor.

mousehweel

Tout ça parce que, malgré vous, vous bougez votre souris d’une manière toute personnelle. De quelle façon? Il existe plusieurs variables qui aident à déterminer votre empreinte à l’aide de la souris : la vitesse avec laquelle vous faites défiler la page, la façon dont vous bougez votre souris sur la page, le nombre de fois où vous retournez voir une information, etc. La vitesse, à elle seule, en dit beaucoup sur vous parce qu’elle dépend de votre système d’exploitation et de l’appareil utilisé. Ces informations sont précieuses pour dévoiler votre identité.

Les données récoltées par cette méthode ne sont pas fiables à 100 %, mais elles constituent une brèche dans la sécurité des utilisateurs puisqu’elles fournissent un point de départ pour démarrer une enquête sur quelqu’un.

Catherine MathysLes pires mots de passe de 2015

par

 publié le 22 janvier 2016 à 12 h 45

Avertissement! Vous aurez une impression de déjà vu en lisant ce billet. L’art de créer un bon mot de passe semble encore bien mystérieux pour beaucoup d’utilisateurs d’Internet. Il y a ceux qui utilisent un gestionnaire de mots de passe (et qui dorment bien la nuit) et il y a tous les autres.

Screen-Shot-2016-01-19-at-8.57.36-AM

Chaque début d’année depuis 2011, un sondage de l’entreprise Splashdata vient confirmer non seulement que nous sommes plusieurs à manquer cruellement d’imagination, mais surtout que les bases de la sécurité en ligne nous échappent toujours. Oui, en 2015, les deux mots de passe les plus utilisés sur Internet étaient « 123456″ et « password »… pour une quatrième année de suite.

La fatigue du mot de passe

C’est bien connu (ou pas), un bon mot de passe contient des signes de ponctuation, des chiffres et des lettres majuscules et minuscules en alternance.

images (21)

Si l’on ne prend pas le temps de se doter d’un gestionnaire de mots de passe ou de créer un mot de passe efficace, c’est peut-être parce qu’on ne comprend pas comment fonctionnent les pirates qui cherchent à le trouver. Cet article peut vous éclairer sur la question.

Le problème avec les mots de passe simples (un mot du dictionnaire, une date de naissance, le nom du chien, etc.), c’est qu’on utilise souvent le même partout (sur Facebook, au travail, sur le site de notre banque, alouette). Un sondage révélait récemment que la moitié des travailleurs américains interrogés utilisaient le même mot de passe pour plusieurs appareils liés au travail et que les deux tiers d’entre eux les réutilisaient pour leurs comptes de réseaux sociaux personnels.

Parfois, même ceux qui connaissent les risques décident de tenter le diable avec un mot de passe simple et universel. Pourquoi? Des chercheurs pensent qu’on pourrait souffrir d’une forme de fatigue du mot de passe. On finit par avoir tellement de comptes qui en nécessitent un qu’on en perd le fil. Ce sondage d’Inlet Digital indique que la moitié des répondants ont quatre mots de passe ou plus, et plus d’un quart des gens en ont sept ou plus. Ça commence à faire beaucoup pour notre mémoire surchargée.

119_alibaba.1305924212

À quand la disparition du mot de passe?

Avouons que devant tout ça, on se dit que la meilleure chose qui pourrait nous arriver, ce serait que le mot de passe disparaisse une fois pour toutes de nos vies. Sachez qu’il y a de l’espoir. Une étude menée l’an dernier auprès de 308 experts en sécurité informatique confirmait que 91 % d’entre eux pensaient que le mot de passe n’existerait plus dans 10 ans.

En attendant, trouvez le gestionnaire de mot de passe qui vous convient ou tentez à tout le moins d’avoir un peu plus d’imagination que les utilisateurs des mots de passe trouvés dans cette liste. On semble penser qu’en rajoutant des chiffres, on ajoute une couche de sécurité. Comment expliquer autrement le progrès de « 12345678″?

facepalmst

D’autres sont inspirés par la culture populaire. Si Game of Thrones avait la cote en 2014 avec « Dragon », il perd sept places en 2015, tandis qu’on voit « starwars » apparaître. Et ne soyez pas épatés trop rapidement par le numéro 15. Quand vous voyez « 1qaz2wsx », sachez qu’il ne s’agit que des deux premières colonnes de votre clavier. Bel essai!

  1. 123456 (inchangé)
  2. password (inchangé)
  3. 12345678 (+1 place)
  4. qwerty (+1 place)
  5. 12345 (-2 places)
  6. 123456789 (inchangé)
  7. football (+3 places)
  8. 1234 (-1 place)
  9. 1234567 (+2 places)
  10. baseball (-2 places)
  11. welcome (nouveau)
  12. 1234567890 (nouveau)
  13. abc123 (+1 place)
  14. 111111 (+1 place)
  15. 1qaz2wsx (nouveau)
  16. dragon (-7 places)
  17. master (+2 places)
  18. monkey (+6 places)
  19. letmein (-6 places)
  20. login (nouveau)
  21. princess (nouveau)
  22. qwertyuiop (nouveau)
  23. solo (nouveau)
  24. passw0rd (avec un zéro- nouveau)
  25. starwars (nouveau)

 

muji 540

On a volé mon nom, mon adresse, mon numéro de carte de crédit, sa date d’expiration et son code de sécurité. C’est ce que MUJI, une enseigne de magasins japonais victime d’une longue attaque informatique pendant la première moitié de 2015, m’a appris dans une lettre reçue cette semaine. Voici quelques observations sur une situation malheureusement beaucoup trop fréquente.

La lettre reçue par la poste et signée par le président de la branche américaine de la compagnie donne peu de détails par rapport à l’attaque elle-même. MUJI nous informe seulement que les informations sur les cartes de crédit ont été obtenues par une « tierce partie », qui aurait utilisé un logiciel malveillant pour s’attaquer aux serveurs de l’entreprise.

On apprend aussi que les attaques se sont déroulées de janvier à juillet 2015, et que MUJI a ensuite fermé son site transactionnel, le temps de faire une enquête, qui vient tout juste de se conclure. Les achats sur le site n’ont toutefois toujours pas été réactivés.

Une attaque de six mois, c’est long, mais ce n’est pas surprenant
Ce qui frappe le plus dans cette histoire, c’est la durée de l’attaque, qui s’est déroulée du 22 janvier au 20 juillet 2015.

« Moi, je trouve ça excessivement long. Mais est-ce normal? Malheureusement, oui, car les gens ne s’occupent pas de la sécurité », se désole Patrick Boucher, président de l’entreprise spécialisée dans le domaine de la sécurité des TI Gardien Virtuel, avec qui je me suis entretenu sur le sujet.

« Si tu rentres chez toi et que tes meubles ont changé de place, tu vas t’en rendre compte, car tu connais l’état normal de ta maison. Il faudrait que ce soit la même chose pour les entreprises. Mais trop souvent, elles ne surveillent pas leur réseau », ajoute-t-il.

Ce qui explique comment un pirate a pu installer un logiciel et espionner chaque transaction effectuée sur le site pendant près de six mois.

Une réponse en apparence correcte
muji store

S’il paraît évident que la situation était loin d’être parfaite à MUJI avant l’attaque, est-ce que l’entreprise a au moins bien géré les choses par la suite?

Il est difficile de porter un jugement sans connaître tous les détails de l’histoire, mais il semble que ce soit le cas, estime Patrick Boucher. « Beaucoup d’entreprises, quand elles ont un problème, essaient de le balayer sous le tapis. Elles attendent de ne plus avoir le choix avant de l’annoncer, et même là, elles continuent de faire des affaires en se disant que les consommateurs ne lisent pas les nouvelles », explique le fondateur de Gardien Virtuel.

Ici, MUJI semble avoir patienté quelques jours avant de fermer son site après avoir colmaté temporairement la brèche, mais le fait de l’avoir complètement fermé par la suite montre une certaine volonté de bien faire (ou que la situation était particulièrement difficile à corriger).

Et qu’en est-il de la lettre d’avertissement et de l’abonnement à Equifax? Pour la lettre, ceux-ci sont tenus par la loi d’informer leurs clients, il n’y a donc ici rien d’exceptionnel. Pour l’abonnement, Patrick Boucher estime que « c’est gentil, mais c’est aussi normal. Ça fait partie des bonnes pratiques ».

Détail intéressant, par contre, la lettre est adaptée aux victimes canadiennes, avec notamment des indications sur ce qu’il faut faire au Canada en cas de doute de fraude. L’entreprise japonaise indique aussi les coordonnées de la Commission d’accès à l’information du Québec, en ajoutant qu’il est possible de les contacter pour « en savoir plus à propos de vos droits, y compris le droit de déposer une plainte ».

Un risque limité pour les consommateurs (cette fois-ci)
Une attaque du genre représente toujours un certain risque pour les consommateurs, mais force est de reconnaître que celui-ci est plutôt limité dans le cas de l’attaque sur MUJI.

Les compagnies de cartes de crédit remboursent, après tout, les fraudes à 100 %. Et les pirates ont obtenu très peu d’informations personnelles (seulement le nom des clients et leur adresse), ce qui limite grandement le risque de vol d’identité dans ce cas précis.

Le fait que l’annonce arrive aussi longtemps après l’attaque – j’ai acheté une valise au MUJI en février 2015 – complique toutefois certainement la vérification, et remplacer sa carte de crédit est loin d’être un processus de tout repos, surtout pour ceux qui possèdent plusieurs comptes en ligne.

Un coût énorme pour l’entreprise
L’effet de l’attaque sera toutefois beaucoup plus grand sur l’entreprise elle-même.

Le forfait annuel d’Equifax, pour notamment surveiller de plus près s’il y a un changement à son crédit, vaut à lui seul plus de 200 $. Combien de milliers de personnes ont acheté au MUJI de janvier à juillet? MUJI peut avoir obtenu un rabais, mais la facture peut, dans tous les cas, monter rapidement.

L’entreprise a aussi probablement déboursé dans les dizaines ou centaines de milliers de dollars pour la création d’un rapport par une firme de sécurité informatique, et la fermeture de son site transactionnel depuis quatre mois entraîne aussi une baisse importante de ses revenus.

Comment les entreprises en général peuvent-elles éviter des attaques du genre? Une bonne façon de prévenir le problème est avant tout d’embaucher un chef de la sécurité, juge Patrick Boucher. « Trop souvent, personne n’est directement responsable de la sécurité », remarque le président de Gardien Virtuel.

Pour ce dernier, un chef de la sécurité peut, comme tout autre employé, avoir des indicateurs de performance, le forçant notamment à adopter des pratiques plus sécuritaires.

Un chef de la sécurité n’empêchera pas magiquement la prochaine attaque, mais son embauche est certainement un pas dans la bonne direction pour éviter une future crise.

En 2008, des études ont démontré que dans les endroits densément peuplés par les humains, le chant des oiseaux est modifié. En fonction de l’environnement urbain, les oiseaux chantent dans des fréquences plus basses ou plus hautes.

Dans les endroits couverts d’asphalte ou là où il y a beaucoup de bâtiments, les oiseaux réduisent la fréquence du son de leur chant pour qu’il soit plus sourd et éviter ainsi la réverbération.

À l’inverse, dans les lieux très fréquentés, les oiseaux montent la fréquence afin que la pollution sonore ne couvre pas certaines portions de leur chant.

Le chant des oiseaux des villes s’est donc adapté à l’environnement urbain.

Source usager ZeroOne (Flickr)

Source cc ZeroOne (Flickr)

Mine de rien, une série de sons se sont modifiés ou ajoutés au fil des années dans nos villes, en partie à cause de la technologie.

On pense au signal de recul des véhicules lourds, à l’ouverture et à la fermeture des portières de voiture (avec leur bip-bip caractéristique), et évidemment au désormais classique système d’alarme de voiture qui se déclenche pour un rien.

De nouveaux sons sont apparus ou vont apparaître strictement à cause des nouvelles technologies.

Le son des voitures d’urgence

Depuis quelques années, dans nos villes nord-américaines, les sirènes des voitures de police et des ambulances émettent des fréquences plus basses.

La raison? En partie pour attirer l’attention de ceux qui portent des écouteurs.

Avec la popularité grandissante des téléphones intelligents, de plus en plus de gens se promènent les oreilles bouchées (par des écouteurs intraauriculaires ou des casques d’écoute de luxe) ou sont simplement distraits par leur écran.

Le nouveau son de la sirène transperce le corps plus que les oreilles.

Que vous soyez coiffés de votre casque d’écoute antibruit (contrôle actif du bruit ou noise cancellation) ou dans votre voiture à l’acoustique feutrée à écouter votre musique dans le tapis, cette sirène attirera automatiquement votre attention.

Le son artificiel des voitures silencieuses

Le prochain son à apparaître dans notre environnement urbain sera celui des voitures électriques.

Non, le moteur électrique ne fait pas bruit. Et c’est un point positif pour contrer la pollution sonore. Mais c’est un danger pour les piétons et les cyclistes.

En effet, ces derniers sont habitués à reconnaître la direction dans laquelle roule un véhicule par l’intensité des bruits que génère son moteur à explosion. Retirez ces bruits et la voiture devient un bolide silencieux des plus dangereux.

Des tests démontrent que, simplement par le son, une personne peut distinguer à quelle distance d’elle se trouve un véhicule en mouvement. S’il s’agit d’une voiture équipée d’un moteur à explosion, roulant à 8 km/h, on peut la repérer quand elle est à 11 mètres. S’il s’agit d’une voiture électrique, cette distance n’est que de 3,4 mètres.

Cela signifie qu’on remarque la voiture électrique quand elle n’est qu’à deux secondes de soi.

Source cc Elvert Barnes (Flickr)

Source cc Elvert Barnes (Flickr)

Voilà pourquoi il est actuellement question d’imposer un son précis sur les véhicules électriques, de façon à ce que les passants aient conscience de leur présence.

Ce son sera en quelque sorte une alerte pour le piéton ou le cycliste — et probablement aussi pour les autres conducteurs. Par contre, ce sont surtout les non-voyants qui en profiteront le plus.

Le son s’activera automatiquement en basse vitesse et à l’approche d’un obstacle. Et pourquoi en basse vitesse seulement? Parce qu’au-delà de 30 km/h, le bruit des pneus et du vent sur la carrosserie est suffisant pour alerter les piétons et les cyclistes.

Un nouveau son dans la ville

La technologie existe et elle est prête, mais elle n’est pas mise en place ni obligatoire partout.

Le gouvernement américain a repoussé hier de quelques mois l’introduction de sa loi sur les « voitures silencieuses », le temps de « trouver une entente » avec les constructeurs.

Les gouvernements européens et japonais ont aussi des projets de loi en ce sens. La mise en application est imminente partout.

Avec la disparition annoncée des voitures polluantes, et la montée inéluctable des voitures électriques, le son de nos villes passera d’un vrombissement incessant à un autre type de son qu’on découvrira très bientôt.