dijous, 1 d’abril de 2010

El perill de les anomenades xarxes "SOCIALS"

La red social Facebook sigue suscitando polémica por sus problemas de privacidad. Algunos investigadores han advertido de que la plataforma puede ser susceptible a ciertos ataques que podrían permitir a alguien secuestrar una cuenta mientras un usuario interactúa con otro sitio web. Esto implicaría también cierta peligrosidad en las aplicaciones de terceros, las cuales “tienen un defecto de diseño”, según señala el investigador Nitesch Dhanjani.
Esta brecha se habría abierto aún más con la nueva filosofía de privacidad de la compañía de Mark Zuckerberg. Facebook suele avisar con un pop up de que la aplicación que se quiere añadir podría obtener acceso a los datos de los usuarios, algo que sirve como disuasor para no añadirla. Sin embargo, con la nueva política algunas aplicaciones pueden optar por no mostrar este mensaje de advertencia, con lo que muchos usuarios desconocen que su información personal están siendo cedida.
“Esto permite a Facebook obtener una mayor adopción de apps de terceros, lo cual puede traducirse en ingresos” al no haber barreras disuasorias, señala  Dhanjani.
El experto comparte con otro especialista israelí, Shlomi Narkolayev, la preocupación por esta brecha. Según ambos, los atacantes podrían secuestrar fácilmente las cuentas de Facebook engañando a los usuarios al llevarles a páginas web que alberguen código malicioso, según recoge Cnet.
El año pasado se dieron varios ataques contra la red social y esta privacidad más laxa podría hacer que la vulnerabilidad de Facebook creciera. No obstante, para tranquilizar a los usuarios, desde la firma señalan que simplemente fueron ataques ordinarios y que también ocurrieron en otras plataformas como Twitter.
"Si nos enteramos de un sitio que está usando clickjacking contra nuestros usuarios, lo añadimos a nuestra lista negra para que no se pueda transmitir a través de la red", asegura el portavoz de Facebook, Simon Axten."Trabajamos también con terceros para descubrir esos sitios maliciosos y sumarlos a las listas negras del navegador o eliminarlos por completo”.

Article de seguretat

Sécuriser Internet : doit-on laisser place au fatalisme ?
mars 2010  par Emmanuelle Lamandé
L’Epita organisait la semaine dernière une conférence sur le thème « TIC : une arme à part entière ? ». Nicolas Arpagian, Rédacteur en Chef de la revue Prospective Stratégique, orchestrait le débat sur les enjeux et conséquences inhérents à la cyberguerre. Malgré un champ d’action limité en la matière, doit-on pour autant renoncer à sécuriser Internet ?
Pour Patrick Pailloux, Directeur Général de l’ANSSI, l’analyse stratégique dans le domaine de la SSI s’avère complexe pour différentes raisons :
- Les mécanismes classiques de sécurité/défense ne s’appliquent pas à la cyber-sécurité. On ne peut pas cantonner la SSI à un domaine précis, d’où la difficulté.
- Le problème d’attribution des attaques : on ne sait généralement pas attribuer une attaque informatique, car dans la plupart des cas, on a du mal à remonter jusqu’au bout de la chaîne.
- Les notions de territoire, pays, zone, frontière,…, ne fonctionnent absolument pas dans ce domaine.
- Au niveau des cyber-attaques, la prolifération a déjà eu lieu. Les états ne maîtrisent pas ce qui se passe, et doivent se contenter de suivre, ce qui est exceptionnel en matière de défense.
- Il n’existe pas vraiment d’organisations clairement structurées.
Internet n’est pas sécurisable. Mais, doit-on pour autant limiter les efforts et renoncer à la sécurité ? Non. Les experts sont unanimes. Pour Patrick Pailloux, la seule solution serait de faire table rase et de reconstruire quelque chose de nouveau. Des travaux de recherche existent d’ores et déjà aux Etats-Unis en la matière. La France devrait également travailler sur ce type de perspective.
Aujourd’hui, le seul moyen de se défendre est d’être extrêmement branché sur la menace. De plus, la sécurité du système doit être vérifiée en permanence ; il faut donc la tester régulièrement. Pour parer à une éventuelle attaque, il est également important de prévoir un plan d’action : que faire en cas d’attaque, comment communiquer en cas de coupure du réseau (Internet, téléphonie,…), quel type de message faire passer à la population,… Pour Jean-Pierre Vuillerme, ADIT, ancien Directeur Sécurité de Michelin, il faut partir en continu à la recherche des signaux faibles. Il conseille également de bien séparer en entreprise l’aspect maîtrise d’ouvrage et maîtrise d’œuvre.

Le niveau de sécurité, c’est le niveau de confiance qu’on accorde au moment où on donne une information à quelqu’un

Mais ces mesures ne sont rien sans une sensibilisation des utilisateurs, souligne Patrick Pailloux. Leur éducation est primordiale en la matière, surtout à notre époque où les frontières sont de plus en plus minces entre les sphères personnelles et professionnelles. En matière de sécurité informatique, chacun a son rôle à jouer. Pour Maître Etienne Drouard, Avocat Cabinet Morgan Lewis, le niveau de sécurité, c’est le niveau de confiance qu’on accorde au moment où on donne une information à quelqu’un. Protéger sa vie privée, c’est être conscient de ce que les autres peuvent faire de cette information. « Il faut arrêter de faire croire aux gens qu’ils sont protégés et qu’ils ont une vie privée. Sur Internet, les gens parlent à tort et à travers. Le sentiment d’ « anonymat » désinhibe les individus sur la toile, et ce sentiment de vie privée et de sécurité laisse croire aux gens qu’ils ne sont pas en danger. On travaille sur l’illusion. Ca ne sert à rien de dépenser des mille et des cents en sécurité, si on ne fait pas de prévention, de sensibilisation et d’éducation ».
Dans ce débat, Olivier Ricou, Enseignant Chercheur et Directeur du LRDE (Laboratoire de Recherche) Epita, met en exergue trois éléments :
- la protection de la vie privée : les entreprises qui gèrent les données privées ne devraient-elles pas être contrôlées ?
- le libre accès au service : quel intérêt d’utiliser Internet si on ne peut pas communiquer ?
- la garantie du bon correspondant, via la signature électronique. Les solutions techniques (cryptographie,…) existent, et sont déjà utilisées sur le Web. Cependant, l’adaptation de la crypto aux mails pose des problèmes de mise en œuvre, notamment en raison du coût. Seules les grandes entreprises achètent aujourd’hui des certificats.

Qui veut vraiment d’une police de l’Internet ?

Pour Gérard Leymarie, RSSI Accor, et les autres experts, différentes pistes de réflexion sont à envisager :
- L’éducation Internet devrait être un passage obligatoire à l’école, comme l’éducation civique.
- Il faut se doter d’une architecture parallèle.
- La peur du gendarme ; il faut faire quelque chose au niveau mondial. Personne n’a aujourd’hui pour mission de sécuriser Internet. Il n’existe pas de police de l’Internet.
La question est de savoir qui a vraiment besoin d’une police de l’Internet ? D’un côté, personne car nous souhaitons malgré tout garder notre liberté. D’ailleurs, il semblerait plus qu’incertain que tous les pays dans le monde souhaitent mettre en place un tel dispositif. De plus, à partir du moment où il y aura limitation, il y aura contournement (Hadopi en est l’exemple, avec l’utilisation du chiffrement et de proxy pour contourner cette loi). Plus on fera de communication sur les mesures coercitives d’Internet, plus les personnes réfléchiront aux moyens d’y échapper. Le problème majeur dans ce débat est que les moyens de lutte et de répression ont en moyenne 20 ans de retard.
Font: http://www.globalsecuritymag.fr/Securiser-Internet-doit-on-laisser,20100331,16840.html