Spécial sécurité : La Cnil aboie, la Googlecar passe
Aujourd'hui, nos confrères de CNIS, magazine spécialisé dans la sécurité des systèmes d'information, reviennent sur l’étonnant contrôle-surprise de la Googlecar par les agents de Cnil. Déclaration de guerre ? Démonstration zélée ? Puis, ils se sont intéressés au dernier rapport X-Force sur l’état de la sécurité informatique. Résultat, un taux de vulnérabilité en hausse et 20% de trous sans rustine. Un brin pessimiste. Ils abordent ensuite le second rachat d’Intel après McAfee, la division mobile d’Infineon. Ils terminent enfin sur une étude Harris Interactive qui rappelle combien les employés sont prêts à voler leurs entreprises en cas de départ.
1 - La Cnil aboie, la Googlecar passe
2 - 20 % des trous connus ne sont pas bouchés
3- Intel : après McAfee, Infineon pour 1,4 milliard de $
4 - Le retour de l’employé-truand
1 - La Cnil aboie, la Googlecar passe
C’est le journal Le Point qui révèle l’affaire : le 25 août dernier, la Cnil aurait contrôlé une GoogleCar en France, principalement pour vérifier si la fonction de collecte d’informations sur les points d’accès WiFi était bien supprimée. Information initialement dénichée par Bloomberg. Ce contrôle-surprise serait, estiment nos confrères du Point, une réaction à la reprise trop rapide des activités de cartographie et de photogrammétrie routière par Google. Cette rapidité avait d’ailleurs fait l’objet d’un communiqué de la Cnil le 20 août dernier.
Peut-on alors parler d’une « entrée en guerre » de la Cnil contre Google, d’un « durcissement des relations » entre cette administration et cette entreprise ? C’est peu probable. Car même sans se prétendre expert en radiocommunication, les agents de la Cnil comprennent certainement qu’il est plus rapide de débrancher un routeur WiFi et de supprimer un champ dans une base de données que de clore un dossier administratif en France. En avril dernier, la levée de boucliers quasi mondiale provoquée par le « flicage insupportable » des bornes WiFi privées a vite fait réagir Eric Schmidt… et pas seulement en France. Surtout en cette période de diabolisation de Google par les médias. Alors, les inspecteurs de la Cnil espéraient-ils vraiment constater la présence d’un sniffer WiFi dans une GoogleCar plus de cinq mois après le scandale du « wardriving planétaire » ? C’est peu probable. Mais cette démonstration de force en l’absence de toute menace permettra peut-être à la Commission de raviver son image de marque face à une opinion publique de plus en plus méfiante, après la légalisation des collectes d’adresses IP pour protéger l’édition de musique de variété, ou après le « découpage sans suppression » du fichier de police informatisé Edvige …
2 - 20 % des trous connus ne sont pas bouchés
Deux fois par an, la X-Force publie un rapport détaillé sur l’état de la sécurité informatique et l’évolution des menaces. Celui de ce semestre n’est pas débordant d’optimisme. Les vulnérabilités officiellement déclarées sont, par rapport aux 6 premiers mois de l’an passé, en hausse de 36% (soit 4396 trous faisant l’objet d’un CVE). Croissance, disent certains éditeurs, reflétant le souci de la profession de mieux « chasser le bug ». Mais près de 55% de ces nouveaux défauts découverts ne sont pas accompagnés de rustines colmatant la faille. Sur les 10 plus gros publieurs de failles, l’on estime aux environs de 20 % le nombre de trous laissés sans correctif : Sun 24%; Microsoft 23.2%; Mozilla 21.3%; Apple 12.9%; IBM 10.3%; Google 8.6%; Linux 8.2%; Oracle 6.8%; Cisco 6%; Adobe 2.9%. Ces chiffres sont fournis sans analyse complémentaire, et notamment sans pondération en fonction d’un éventuel indice de dangerosité ou de possibilité d’exploitation.
Tout comme l’an passé, ce sont les imperfections situées dans les applications Web qui constituent la part la plus importante des découvertes : 55% des vulnérabilités, tous types confondus. Soit, en volume, un peu plus de 20 000 déclarations CVE effectuées durant les 6 premiers mois de cette année. Presque aussi populaires chez les pirates, les failles Adobe réalisent d’excellents scores dans la course à l’exploitation. En avril dernier, notamment, un brusque sursaut d’activité dû à un exploit du format .pdf a dépassé de 37 % la moyenne des exploits recensés depuis le début de l’année. Le phishing, enfin, connaît une baisse notable d’activité et chute de 82 % par rapport à l’an dernier. Reste que 49% des attaques de ce type le font sous les couleurs d’organismes bancaires.
3 - Intel : après McAfee, Infineon pour 1,4 milliard de $
Quelques jours après l’officialisation de l’OPA McAfee, Intel serait en train de finaliser la reprise de la division « sans fil » d’Infineon, producteur de jeux de composants dans le secteur de la téléphonie mobile. Cette révélation, faite par le groupe Bloomberg, a eu pour conséquence une nette augmentation de l’action Infineon. Les premières rumeurs parlaient d’une transaction frisant les 2 milliards de dollars, le communiqué final parle de 1,4 milliard de dollars.
Cette opération de croissance externe semble donc donner raison aux futurologues qui voyaient en la récente reprise de McAfee un premier pas vers la production de composants à sécurité intégrés destinés au monde GSM. Jusqu’à présent, Intel, bien que présent sur le marché du sans-fil et plus particulièrement sur les créneaux Wimax et du futur 4G, n’avait pas de branche spécialisée dans la 2G/3G. Cette acquisition donne à ce géant de l’industrie des CPU une arme contre son concurrent ARM, qui règne en maître sur le secteur de l’embarqué. Notons au passage que, paradoxalement, cette absorption contraindra Intel à assurer la maintenance des anciens équipements produits par la division sans fil d’Infineon… y compris ceux intégrant un processeur ARM, précise le communiqué.
Si l’on pouvait s’étonner du mariage avec McAfee, compte tenu du manque de savoir-faire d’Intel en matière de logiciel, celui avec Infineon « téléphonie » est bien plus logique… et plus économique. Reste à savoir comment ces quelques 9 milliards de dollars dépensés en moins de 2 semaines se transformeront en unités de production homogènes dans les mois à venir.
4 - Le retour de l’employé-truand
Harris Interactive vient de concocter une étude « bien dans l’air du temps », désignant l’employé d’une entreprise comme l’un des acteurs très probables des vols et abus de bien sociaux. Selon cette étude, réalisée aux USA et en Grande Bretagne, après de 1600 personnes environ :
• 49% des américains et 52% des Britanniques reconnaissent qu’ils prendraient bien volontiers des biens appartenant à l’entreprise qui les emploie s’ils devaient quitter leur emploi.
• 29% (USA) et 23% (GB) se serviraient bien dans la base de données clients, y compris les coordonnées
• 23% aux USA et 22% aux Royaume-Uni se prendraient des fichiers électroniques
• 15% (USA) et 17% (GB) fileraient avec des informations produits, des dessins et plans compris
• 13% (USA) et 22% (GB) se serviraient dans les stocks de fourniture de bureau
Paradoxalement,continue l’étude, 45% et 48% (USA/UK) des personnes interrogées pensaient que les propensions de leur collègue à commettre de tels vols n’avaient pas de rapport avec les restrictions économiques liées à la crise actuelle. Crise ou pas, une telle étude prouve au moins que les relations entre entreprise et employés reposent sur une totale absence de confiance mutuelle, situation que de telles études n’arrangent pas franchement.
Ces « menus larcins » connaissent toutefois des limites lorsque le « crime » paraît trop osé. Ainsi, 1 % des sujets de Sa Gracieuse Majesté et 0,5% des habitants du nouveau monde affirment qu’ils tenteraient de vendre des données confidentielles si celles-ci se trouvaient dans des fichiers insuffisamment protégés. 3% des Grands Bretons et 2 % des américains se contenteraient de lire lesdits documents et le signaleraient à leurs collègues.
Précisons que ce sondage ne fait que mesurer des « intentions » et des « avis personnels ». Ce n’est en aucun cas un rapport sérieux et scientifique sur l’état de la sinistralité « interne » et des malversations « volontaires ». Tout au plus peut-on en conclure que plus les employés des grandes entreprises se sentiront stigmatisés par des affirmations anxiogènes et des sondages orientés, plus le climat sécuritaire se dégradera. Au plus grand bonheur des vendeurs de DLP.