Spécial sécurité : le Pentagone et la Marine Française, même "déConfickture"

Aujourd'hui, nos confrères de CNIS, magazine spécialisé en sécurité des systèmes d'information, s'attardent sur les mésaventures des armées des deux côtés de l'Atlantique face au ver Conficker. Et revient sur la lourde amende frappant le groupe d’assurance Zurich pour avoir égaré les données personnelles de plusieurs dizaines de milliers de clients.

Sommaire
1 - Et le Pentagone ? Il vous dit comme la Marine Française 

2 - Le groupe Zurich condamné à 2,3 M£ d’amende 

3 - Adobe bouche 20 trous dans Shockwave 

1) Et le Pentagone ? Il vous dit comme la Marine Française 

Début 2009, le ver Conficker infectait Intramar, le réseau informatique de la Marine Nationale. Les matafs matés par une clef USB, cela fit bisquer plus d’un biffin, tressaillir quelques tringlos et s’esclaffer certains experts. Mais, nous apprend le Washington Post, la Royale n’a pas à rougir de cette déConfickture, puisque quelques mois auparavant, l’US Army essuyait le même genre de revers galonné, provoqué par les mêmes causes : une clef USB infectée. Mais alors que l’infection de la Marine Française était accidentelle, celle de l’armée américaine était orchestrée, et semble constituer un précédent historique : la première intrusion officiellement reconnue d’un réseau de la défense US par un service de renseignement étranger. Une reconnaissance officielle entourée d’un certain nombre de conditionnels afin de respecter les exigences de la diplomatie.

Cette révélation est faite quelques jours avant l’ouverture des « hostilités virtuelles » que sont les grandes manœuvres de cyberguerre Cyberstorm III, auxquelles participent pour la première fois différents pays de la communauté européenne.

2) Le groupe Zurich condamné à 2,3 M£ d’amende 

Pour avoir égaré les données personnelles de près de 46 000 clients, la filiale britannique du groupe d’assurance Zurich (ZFS) s’est vu infliger une amende de 2,28 M£ par la FSA (Financial Services Authority), peut-on lire sur la BBC Online. Le montant de l’amende, précise le quotidien, aurait pu être plus élevé (3,25 M£) si le groupe Zurich n’avait pas accepté une procédure de règlement à l’amiable dès le début des poursuites.

La perte de ces données remonterait au mois d’août 2008, et serait survenue lors d’un transfert d’informations non chiffrées entre l’antenne du Royaume-Uni et un datacenter situé en Afrique du Sud. Datacenter lui-même filiale du groupe financier. La perte de données n’aurait été avouée par les responsables du centre de données qu’un an plus tard, une « distraction » considérée comme une circonstance aggravante par la FSA, justifiant le montant record de l’amende. Les données égarées – dont certaines contiendraient des détails bancaires - n’auraient pas été exploitées de manière malveillante.

En France, puisque l’on n’en parle pas, de telles pertes d’informations n’arrivent jamais.

3) Adobe bouche 20 trous dans Shockwave 

Elles sont classées « critiques », ces quelques 20 vulnérabilités découvertes dans Schockwave Player 11.5.7.609 et versions antérieures. La mise à niveau avec l’édition 11.5.8.612 est vivement conseillée, certaines de ces failles pouvant être exploitées dans le cadre d’un lancement d’exécutable à distance.

Pour approfondir sur Gestion d’identités (IGA, PAM, Bastion, PASM, PEDM)