Sécurité des réseaux et des SI - Orange Business Services

Selon ScanSafe, le téléchargement illégal en entreprise serait en plein essor.

La raison évoquée serait liée à une certaine prise de conscience des personnes concernant la récente législation dans le domaine : Au lieu de télécharger ces contenus depuis leur domicile, les personnes le feraient depuis leur lieu de travail.

Les raisons à ce "transfert" seraient un sentiment de relative impunité (l'accès Internet utilisé étant dans ce cas lié à l'identité de l'entreprise et non plus de la personne), pouvant être renforcé par le fait que d'autres collègues se livrent aussi à ce "sport" depuis leur lieu de travail (dans ce cas, par quels moyens l'employeur pourra-t-il identifier précisément et de façon fiable quel employé associer à une plainte reçue ?).

Surveillance des réseaux P2P par des sociétés spécialisées
La surveillance des réseaux P2P est en place depuis quelques années maintenant : Les sociétés privées proposant leurs services sont assez nombreuses et connues.

Lorsque l'une de ces sociétés identifient un téléchargement d'un contenu (film, musique, ...) pour lequel elle a reçu un mandat de la part des ayants droits, elle envoie une notification vers le fournisseur d'accès Internet (FAI) de l'Internaute. Par défaut ces notifications sont envoyées vers la cellule en charge de traiter les abus (la fameuse cellule "Abuse").

Plaintes pour du téléchargement illégale depuis des entreprises
Afin d'éviter de rester dans les généralités et d'illustrer en quoi cela consiste et quelles sont les entreprises touchées par ce problème, je vous propose de détailler quelques plaintes
reçues au niveau de la cellule Abuse d'Orange Business Services.

Nota: Toutes les informations pouvant amener à l'identification de l'accès Internet (ou plus globalement du client concerné) ont été masquées. Cela reste néanmoins instructif.

Quels contenus et fichiers sont téléchargés ?
C'est simple, les plaintes pour des contenus vidéo (Films, séries TV, ...) sont majoritaires. Quelques plaintes pour des contenus audio mais aucune plainte concernant des logiciels. Cependant, il conviendra de ne pas conclure trop vite : L'échantillon étudié est très limité (Une dizaine de plaintes, sélectionnée "au hasard") et sur une période de temps elle aussi assez courte.

Dans les contenus reportés comme étant téléchargés de façon illégale, on retrouve :
- Plusieurs films : 2012 , District 13: Ultimatum, Legion
- Un épisode d'une série télévisée : CSI: New-York
- Un livre audio: Harry Potter
- ...

Dans les logiciels utilisés pour ces téléchargements ces contenus :
- BitTorrent
- Areswarez
- eDonkey
- Gnutella


Les plaintes reçues se présentent sous la forme suivante :

Sur un ordinateur professionnel, les fichiers et répertoire identifiés comme personnels ne doivent pas être ouverts par un employeur.

Ce n'est pas une grande surprise mais cela fait du bien de le rappeler. Cela a été rappelé par la cour de cassation des affaires sociales qui a cassé un arrêt de la cour d'appel d'Orléans.

Les données en elles-mêmes étaient accablantes: Présence d'un dossier contenant des informations visant à mettre en place une structure concurrente en démantelant la société dans laquelle la personne en poste était responsable commercial marketing.
Tout cela avait été fait (à priori) dans les règles avec constats d'huissier et tout et tout...

Sauf que non.... La personne avait stocké ses fichiers dans un répertoire nommé selon les initiales de son prénom ("JM" pour Jean-Michel) contenant lui-même deux sous-répertoire "Marteau" (le nom de la structure concurrente) et un autre sous-répertoire nommé "personnel". Les fichiers était dans le répertoire "Marteau" : L'huissier a accédé au contenu de ce répertoire "Marteau" en l'absence de la personne.

La cour de cassation a donc jugé la preuve irrecevable, le licenciement pour faute lourde jugé et donc sans cause réelle et sérieuse, et a donc requis le paiement des indemnités de licenciement.

... Pas mal pour un répertoire nommé selon les initiales du prénom de la personne.

C&esar SSI 2009 et le métro belge via RFID

http://www.cesar-conference.fr/

 

250 participants, traduction simultanée en Anglais, 25 communications, 3 jours de débats sur la sécurité des communications sans fil, avec en clôture le Directeur de l'ANSSI (http://www.ssi.gouv.fr).  Le tout pour une centaine d'euros de frais d'inscription.

Bref un excellent cru 2009 pour les ex-journées SSI patronnées par le CELAR (DGA). Tant pis pour les absents.

Après le contrôle technique automobile, voici venir le contrôle de conformité CNIL des systèmes d'information des entreprises. Lors des dernières Assises de la Sécurité, Alex Türk (Président de la Commission nationale de l'informatique et des libertés) a évoqué son projet de labellisation des systèmes d'information. L'idée est assez simple : Le système d'information de l'entreprise serait audité par la CNIL en regard des principes de traitement des données personnelles : proportionnalité, protection, droit de consultation et de rectification... 

Ca y est, à coup de bélier, le texte Hadopi a fini par être adopté. Mais en réalité, faut-il se méfier de la Loi qui en découlera ? On ne sait pas encore comment la détection des pratiques illégales va se faire, mais cela semble très mal parti car la collecte de la preuve est soumise à des règles très stricte, et le fait doit être caractérisé sinon il s'agira d'une pratique abusive...punie par la Loi...

Contrairement à ce que l'on pourrait croire la loi Hadopi touche aussi les entreprises. Et cela sans ambiguïté possible. Le chef d'entreprise devra empêcher une utilisation illicite de l'accès Internet de l'entreprise. Texte de la loi : « La personne titulaire de l'accès à des services de communication au public en ligne a l'obligation de veiller à ce que cet accès ne fasse pas l'objet d'une utilisation à des fins de reproduction, de représentation, de mise à disposition ou de communication au public d'œuvres ou d'objets protégés par un droit d'auteur ou par un droit voisin ». C'est clair...

La crise, la crise, tout le monde en parle. Pour le premier reportage de l'année dans ces colonnes, nous sommes allés au mépris du danger à quelques kilomètres au Nord de Paris rencontrer un des responsables de cette industrie. Veuillez noter que pour la compréhension, cette interview a été traduite dans un français à peu près normal. La version originale est disponible sur demande dûment justifiée.

Que nous parlions de SCAMs (soit disant héritages demandant une assistance pour sortir les fonds illégalement dans le but d'obtenir des informations bancaires), ou autres lotteries dont nous sommes tous les gagnents, voire escroqueries sous toutes leurs formes (billets noircis...), les arnaques ne manquent pas sur le net.

Si souvent il suffit d'un peu de jugeotte pour détecter le risque, avec le phishing par exemple, les personnes inexpérimentées peuvent tomber dans le piège et ainsi divulguer leurs données d'accès de leurs comptes bancaires ou les informations liées à leur carte de paiement.

Afin de lutter contre ces mauvaises pratiques, notre Ministre de l'Intérieur, Michèle Alliot-Marie, a annoncé ce mercredi 7 janvier 2009 le lancement d'un vaste plan anti-escroqueries du net en partenariat avec eBay et la Fédération Bancaire Française.

Ce plan, dont le contenu est disponible ici, permet même à tout un chacun d'effectuer des signalements par l'intémédiaire du formulaire en bonne et due forme, ou d'un numéro de téléphone (0 811 02 02 17).

Ce plan explique aussi, par des exemples concrets, comment se présentent ou se passent ses cas classiques d'arnaques afin que nous puissions tous mieux comprendre et éviter ces situations.

C'est assez inhabituel : La CNIL vient de mettre au pilori un site web permettant à des particuliers de vendre et d'acheter en direct des biens immobiliers.

Il est reproché au site de ne pas faire le "minimum syndical" pour sécuriser les informations de ces clients/membres, on retrouve aussi des défauts portants sur l'information des personnes et à l'utilisation abusive des coordonnées à des fins de prospections commerciales.

Cela met en regard, que les failles de sécurité de niveau applicatives (Bypass d'authentification, vol de cookies, injection SQL, Cross-Site Scripting, Cross-Site Request Forgery, etc...) sont enncore très méconnues. La multitude de sites qualifiés de "Web 2.0" développés et opérés parfois de façon "artisanale" ou tout du moins pourrait être considérée comme une petite bombe à mêche lente...

Attention, la CNIL veille au grain. Sécurisez vos sites web !

Le Ministère de l'Intérieur vient de lancer le portail Pharos via lequel un internaute peut signaler tout type de contenu illicite trouvé sur Internet.
Ces informations seront utilisées par les enquêteurs spécialisés de la Plateforme d'Harmonisation, d'Analyse, de Recoupement et d'Orientation des Signalements (PHAROS). Un internaute utilisant ce système peut décider de le faire de façon anonyme (dans la limite de l'enregistrement de son adresse IP bien sur) ou alors en s'identifiant.
Le système n'est pas destiné à régler les problèmes online entre parties se connaissant comme des différents entre personnes ou des problèmes avec un site de vente en ligne. De la même façon, il ne remplace pas les numéros d'urgence pour les problèmes de violence, santé ou autres urgences vitales.

Curieux, je me suis pris au jeu de regarder un peu plus en détail le fonctionnement du site :