Posts mit dem Label Intelligence économique werden angezeigt. Alle Posts anzeigen
Posts mit dem Label Intelligence économique werden angezeigt. Alle Posts anzeigen

Samstag, 31. August 2013

Ne vous trompez pas

«C'est en ordre, tout selon la loi…»
Une collègue autrichienne a eu la gentillesse de réunir sur son blog une liste d'erreurs courrants concernant l'espionage des services secrets américains et autres. Si je me penche ici surtout sur les États Unis, c'est parceque en Europe, des lois pour la protection des données existent et sont appliqués. Aux États Unis par contre, une autre loi force même des entreprises de violer la vie privée de ses clients.

Voici les erreurs courrants
  • «Notre hébergeur a en tout cas une succursale en Allemagne/France/Sénégal/votre pays. Qui se soucie où ce trouvent les quartiers généraux.»
  • «Nos serveurs sont situés en Allemagne. Qui se soucie où est le siège de notre hébergeur.»
Faux. En réalité, si le quartier général ou la société mère se trouve aux États Unis, selon l'interprétation jurdique américaine, un juge américain peut forcer l'entreprise de livrer tous les donnés et les informations sur les connexions. Entre temps, les États Unis menacent aussi des hébergeur qui ont seulement une succursale dans leur pays. Drôle d'interprétation du droit — mais à prendre au sérieu.

La conséquence: Changer l'hébergeur, choisir un hébergeur qui n'a pas de bureau en Amérique. En Europe, éviter l'Irlande et en Allemagne l'entreprise Telekom, qui a signé un contract avec le FBI et le ministère de la justice américaine. La même conséquence doit être prise pour la virtualisation (l'informatique en nuage). En Europe, certains fournisseurs américains ont 10% de contrats résilliés par leur clients… et 56% veulent suivre l'exemple. Si vous êtes un professionel, c'est urgent. L'entreprise Xing, qui a déclaré que tout est en toute sécurité et hébérgé en Allemand se retrouve ces jours devant le juge, car un soutraitant a un bureau aux États Unis et les clients se fachent contre Xing.

Pour le cryptage, il faut absolument choisir le cértificat d'un fournisseur non-américain.

  • «Dans ce vaste flot de données, mais ne trouve plus rien.»
Faux. Au contraire, ce vaste flot de données est pratiquement le paradis des espions. Avec des logiciels respectifs, on peut chercher ce que l'on veut avec und précision de plus de 90%. En réalité, c'est le plus grand cas d'espionage industriel jamais vu. L'entreprise Axciom par exemple s'est spécialisé dans la domaine des profiles. Ces logiciels peuvent reconnaitre des personnes sur des photos et aussi de faux photos.

  • «Je savais cela déjà, car je ne suis pas sur Facebook les choses ne me touche pas vraiment.»
Faux. Si vous utilisez internet ou les courriels ou un téléphone mobile, soit le service SMS, vous êtes retracés. Les traces sont liées entre eux pour ainsi créer un profile sur vous, vos préférences, vos liens, vos amis, votre vie privée.

À propos Facebook: Cette entreprise a déclaré que dans la deuzième moitié de 2012, ils ont fourni entre 9000 et 10 000 fois des informations à des services de l'état. Rassurant?
Eingestellt von um Keine Kommentare:
Labels: , ,

Montag, 18. Oktober 2010

Sécurité: Le maillon le plus faible?

La rumeur dit que les professionnels piratent les gens, les amateurs piratent les ordinateurs.

Kevin Mitnick, un criminel informatique converti de grande notoriété, qui a popularisé le terme de l’«ingénierie sociale», souligne qu’il est beaucoup plus simple de piéger quelqu’un pour qu’il donne un mot de passe pour accéder à un réseau informatique ou à une application que de faire l’effort de le pirater pour obtenir l’entrée.

L’ingénierie sociale est un terme utilisé parmi les pirates pour décrire les techniques employées pour obtenir l’accès aux systèmes informatiques; ces dernières reposent sur la faiblesse humaine davantage que sur des outils logiciels. Son but est d'entraîner les gens à révéler leurs mots de passe et d'autres informations dont un pirate peut ensuite se servir pour compromettre la sécurité d’un système informatique. On peut le décrire comme: «l’art et la science de réussir à faire en sorte que les gens se soumettent à vos désirs.»

Dans un article du Washington Post, Mitnick explique qu’il a utilisé l’ingénierie sociale pour obtenir des informations sur un réseau – et parfois même réussir à accéder au réseau – pour plus de la moitié des exploitations de réseaux qu’il a réussi à effectuer.

Dans son livre, L’art de la supercherie, il explique avec précision:

«…par nature, les gens ont envie d’aider et par conséquent, ils se laissent facilement avoir.»
«Ils acceptent un niveau de confiance afin d'éviter le conflit.»
«Tout résulte du fait que les gens pensent que l’accès à l’information est anodin alors que ça ne l’est pas.»
«Vous pouvez dépenser des fortunes dans l’achat de technologies et services…et votre infrastructure de réseau reste vulnérable à la manipulation ancienne.»
«Le maillon le plus faible de la chaîne de sécurité est l’élément humain…»

Comment est-ce que j’ai pu être attaqué?

Le type le plus courant d'attaque d’ingénierie sociale est réalisé par téléphone. Un pirate vous appelle et imite une personne, souvent quelqu’un à un poste supérieur - qui, peu à peu, recueille le plus possible d'informations sur vous. Par exemple, l’un des moyens le plus efficace et le plus simple d’entraîner les utilisateurs informatiques à divulguer des informations est d’appeler et de se faire passer pour quelqu’un de l’help desk ou du support informatique et de demander les mots de passe de l’utilisateur.

Les ingénieurs sociaux obtiennent également des informations en prétendant qu’ils sont les administrateurs du réseau. Un criminel de ce genre vous enverra un message e-mail par le réseau, déclarant qu’il a besoin de votre nom d’utilisateur et de votre mot de passe pour corriger un problème technique. Dans un autre scam, il se peut que vous receviez un message électronique contenant un lien vers un site web d’un concours. On vous demande de remplir un formulaire et d’indiquer notamment les noms de collègues et responsables, les numéros de téléphone et autres informations importantes. Ces données – si elles sont recoupées – peuvent aider le pirate à étendre son réseau d’ingénierie sociale et à compromettre éventuellement votre réseau informatique.

Comment puis-je me protéger moi et mon entreprise d’une attaque d’ingénierie sociale?

Ne révélez jamais votre mot de passe à quiconque (sauf si vous y êtes autorisé). Tous les utilisateurs officiels du réseau ont leurs propres comptes, les administrateurs qui ont besoin d'effectuer une tâche peuvent le faire avec leurs propres comptes. L’administrateur n’a pas besoin de connaître votre mot de passe. La réinitialisation de votre mot de passe ou le déverrouillage de votre compte ne nécessite pas l’utilisation de votre mot de passe.

Voici d’autres conseils à suivre pour éviter les attaques d’ingénierie sociale:

  • Vérifiez l’identité de tous ceux qui vous appellent.
  • Assurez-vous à chaque fois que tous les visiteurs respectent les procédures locales d’enregistrement des visiteurs et disposent de l’identification visiteur correcte.
  • Ne dévoilez jamais d’informations confidentielles de l’entreprise. Soyez prudent si quelqu’un vous appelle et vous interroge sur d'autres collaborateurs, notamment sur leurs noms et leurs positions.
  • Si une personne qui vous appelle ou un visiteur inconnu vous demande de taper quelque chose sur votre ordinateur – ne le faites pas - sauf si vous êtes sûr qu'ils sont autorisés à agir ainsi.
  • Faites attention aux personnes qui regardent par-dessus votre épaule lorsque vous entrez votre mot de passe.
  • Ne donnez les numéros d'appels en interne sur votre réseau informatique ou sur tout autre système qu’aux utilisateurs valides.
  • Ne répondez jamais aux questions posées pour des sondages externes par téléphone.

Que puis-je faire si je pense que je suis attaqué?

Si vous recevez un appel que vous croyez provenir d’un ingénieur social:

  • Écrivez le numéro s'il s'affiche sur le téléphone.
  • Prenez des notes détaillées de la conversation, y compris la date et l'heure de l'appel.
  • Demandez le nom et le numéro de la personne qui appelle.
  • Contactez immédiatement votre équipe locale de sécurité informatique et suivez les procédures locales de réponse aux incidents.
  • Alertez les membres de votre équipe.
Source: inconnu

Eingestellt von um Keine Kommentare:
Labels: ,

Sonntag, 1. August 2010

Hameçonnage via Facebook

Une fraude récente rapportée par USA Today en mars illustre comment Facebook est désormais utilisé pour accéder aux données des entreprises et les voler. Il s’est passé la chose suivante.

L'incident concerne deux personnes, que nous allons appeler Alice et Bob, qui travaillent pour une entreprise fournissant des services financiers et qui possèdent tous deux des comptes Facebook. A l'automne dernier, Alice reçoit le message suivant sur Facebook: «Salut Alice, jette un coup d'œil aux photos que j'ai prises de nous le week-end dernier pendant le pique-nique. Bob». Le message contenait un lien censé pointer vers les photos.

Un pique-nique avait bien eu lieu le week-end précédent, mais le message ne provenait pas de Bob et le lien ne pointait pas vers des photos. Le compte de Bob avait été piraté et lorsqu'Alice a cliqué sur le lien, elle a involontairement téléchargé un logiciel sur l'ordinateur portable de son entreprise. Ce logiciel a ensuite volé son nom d'utilisateur et son mot de passe lorsqu'elle s'est connectée à son compte par la suite.

Cybervoleurs fouillent réseau de l'entreprise
Les cybervoleurs ont fouillé le réseau de l'entreprise financière afin de rechercher des machines dont ils pouvaient prendre le contrôle et de voler des données. Les agresseurs ont finalement été détectés après avoir pu accéder au réseau de l'entreprise pendant deux semaines par l'intermédiaire du compte d'Alice à l'aide du lien de Bob dans Facebook.
Que recherchaient-ils?

En général, les voleurs recherchent des identifiants de connexion qui peuvent être vendus sur des forums clandestins similaires à eBay où un lot de 1 000 paires nom d'utilisateur-mot de passe se vend entre 75 et 200 dollars en fonction du nombre d'amis associés aux comptes (plus il y a d'amis, plus les occasions de «photos de pique-nique» sont nombreuses).

Attention danger
Facebook reste une cible privilégiée pour les agresseurs puisqu'il compte actuellement 400 millions de membres et que des projections tablent sur 600 millions d'ici la fin de l'année. C'est deux fois la population américaine et en fait, seules la Chine et l'Inde ont une population plus élevée. Grâce aux liens malveillants qui circulent sur Facebook, les agresseurs font des affaires. L'histoire d'Alice et de Bob montre que les attaques Facebook peuvent servir de tremplin pour infiltrer les réseaux des entreprises, comme celui de votre employeur.

Que pouvez-vous faire?
En fait, rien de plus que ce que nous avons déjà mentionné auparavant. Un rappel général toutefois:

  • choisissez un mot de passe résistant pour tous vos comptes sur les réseaux sociaux;
  • rappelez à vos amis de choisir des mots de passe résistants pour leurs comptes sur les réseaux sociaux;
  • ne réutilisez pas vos mots de passe du travail pour un compte sur un réseau social;
  • réfléchissez bien lorsque vous cliquez sur un lien que vous recevez de la part de vos amis des réseaux sociaux.
Source: Zurich Assurances
Eingestellt von um Keine Kommentare:
Labels: , , , , ,

Samstag, 20. Februar 2010

Recherches numériques aux frontières: recommandations pour les voyageurs d’affaires internationaux.

Si vous voyagez au niveau international, un douanier pourrait vous demander d’examiner le contenu d’un dispositif numérique que vous portez avec vous, tel que votre ordinateur portable, votre téléphone mobile, votre Blackberry ou votre clé USB. Récemment, la presse a publié plusieurs articles concernant le nombre croissant de recherches numériques aux frontières des États-Unis. Ne croyez pourtant pas que cette procédure soit limitée aux États-Unis. D’autres pays ont également des lois et des procédures sévères concernant les types d’informations en entrée et en sortie de leurs frontières.

Les pouvoirs des douaniers ne se limitent pas simplement à examiner vos informations numériques. Ils peuvent utiliser des instruments juridiques pour effectuer une recherche détaillée et automatisée de votre dispositif, ou même décider de copier vos données pour une analyse et un archivage ultérieurs. Dans le pire des cas, les douaniers peuvent confisquer votre dispositif, sans être obligés de vous le restituer.

L’Association of Corporate Travel Executives (ACTE) a récemment prévenu ses membres, afin qu’ils limitent la quantité d’informations commerciales de propriété, transportées dans les ordinateurs portables et d’autres dispositifs électroniques. L’ACTE est préoccupée par le fait que les données des entreprises pourraient être téléchargées par les douaniers, ce qui porterait à de possibles atteintes à la sécurité et à la divulgation d’informations supposées privées.

Dans ce contexte, sont formulés les recommandations suivantes pour les voyageurs d’affaires internationaux:

  • effacez de votre dispositif tout matériel qui pourrait être interprété comme offensif ou illégal par un douanier.
  • évitez de porter avec vous toute information personnelle que vous considérez privées sur vos dispositifs.
  • limitez la quantité d’informations commerciales sensibles sur votre dispositif au minimum, nécessaire pour accomplir le but commercial de votre voyage.
  • envoyez électroniquement autant d’informations sensibles que possible à votre destination avant de partir en voyage.
  • Si un douanier vous demande d’expliquer quelles informations sont présentes sur votre dispositif, veuillez déclarer que vos informations ont uniquement des buts commerciaux et que les informations sont confidentielles pour l’entreprise.
  • Même après avoir donné cette explication, un douanier pourrait encore vous demander de voir les informations présentes sur vos dispositifs (ordinateur portable, Blackberry, clé USB), et vous serez obligé de satisfaire sa demande. Cela pourrait vous obliger de divulguer certains de vos mots de passe ou d’autres références de sécurité et de fournir ces informations pour satisfaire la demande.
  • Ne vous opposez pas si l’un de vos dispositifs est saisi et confisqué par un douanier.

Au cas où l’un de vos dispositifs est examiné, copié ou saisi par un douanier, informez à la première occasion Legal & Compliance de votre entreprise de l’incident, soit dans le pays local soit dans votre pays d’appartenance.

Eingestellt von um Keine Kommentare:
Labels: ,

Dienstag, 28. Oktober 2008

Guide pratique en intelligence économique

La Haute École de Gestion de Genève a mis en ligne un guide pratique en intelligence économique pour les PME de Suisse romande.

Préfacé par M. Unger, Conseiller d'État en charge de l'économie et de la santé de Genève, ce guide méthodologique est le résultat d'un projet de démarche globale en intelligence économique. Il doit permettre d'accompagner le responsable de PME dans une première démarche en intelligence économique. Il est composé d'explications théoriques et de fiches pratiques détaillant chaque aspect de la démarche d'intelligence économique.

Ce guide est accessible directement depuis l'annuaire de ressources économiques de Suisse occidentale (ARESO) à cette adresse : http://campus.hesge.ch/areso/files/guide.pdf La Haute École de Gestion de Genève espère qu'il sera utile aux professionnels de l'information travaillant dans le domaine de la veille stratégique et de l'intelligence économique.

Source: Haute École de Gestion, Filière Information documentaire
Eingestellt von um Keine Kommentare:
Labels: , , , ,
Abonnieren Kommentare (Atom)