Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Bernard Montel, RSA : Photos volées, « s’ils veulent nos données, les fournisseurs de services vont devoir faire mieux »

septembre 2014 par Bernard Montel, spécialiste de la sécurité chez RSA (division sécurité d’EMC)

Hier, le Web a été secoué par la mise en ligne des photos volées de plusieurs célébrités nues, qui auraient été piratées à partir de l’iCloud d’Apple. Si l’affaire semble être l’œuvre d’un hackeur, beaucoup s’interrogent sur la responsabilité des fournisseurs de Cloud, et celles des utilisateurs qui mettent leurs données privées en ligne sans la moindre protection.

Pour Bernard Montel, spécialiste de la sécurité chez RSA (division sécurité d’EMC), la question ne se pose pas : « Les conditions dans lesquelles ont été volées les photos de différentes célébrités restent floues, mais relancent le débat sur la protection de nos données lorsqu’elles sont hébergées par des entreprises tierces. Les Apple, Android et autres Dropbox veulent tous que nous stockions de plus en plus de données chez eux mais cela a un prix. Tant que l’utilisateur choisira de protéger ses informations avec un mot de passe de type « 123456 », les fournisseurs de services n’auront pas d’autre choix que de prendre en charge à 100% la sécurité, sous peine d’être délaissés par le public. En bref, s’ils veulent nos données, les fournisseurs de services vont devoir faire mieux.

Les schémas d’attaques sont connus aujourd’hui. Un cybercriminel récupère un mot de passe en pénétrant sur des serveurs, ou en passant par l’utilisateur, cette dernière méthode étant beaucoup plus simple. Ensuite, il y a deux cas de figure possibles. Soit le système n’est pas « intelligent » et le cybercriminel, une fois le mot de passe en poche, accède à toutes les données de l’utilisateur. Soit le système est « intelligent » et dans ce cas, il analyse le risque en repérant les différences de comportement – comme un appareil, un lieu ou un opérateur différents – ce qui l’entraînera à interdire la connexion.

Aujourd’hui, la plupart des entreprises continuent d’utiliser des systèmes simples, qui repèrent au mieux les différences de matériel au moment de la connexion mais n’intègrent pas d’analyse comportementale. Ils sont donc incapables de s’assurer que la connexion est demandée par l’utilisateur légitime. C’est pourtant la prochaine étape pour proposer une sécurité renforcée sans dégrader l’expérience utilisateur, qui doit rester la plus simple possible.

Pour autant, nos données courent-elles actuellement un risque sur le Cloud ? Une chose est sûre, les entreprises offrent un environnement bien plus sécurisé que la grande majorité des installations domestiques. Malheureusement, le niveau réel de sécurité reste flou d’un service à l’autre et les pillages successifs qui ont rythmé ces derniers mois ne font qu’aggraver la confusion. »


Voir les articles précédents

    

Voir les articles suivants