OlivierPommeret.com

Une étude récente menée par le cabinet Harris Interactive Survey au sujet de la relation qu'ont les enfants avec Internet révèle une faille de sécurité au niveau de vos informations personnelles là où à priori vous ne le soupçonniez peut-être pas ! En effet, alors que 95% des parents ne peuvent pas imaginer que l'on ait demandé une seule fois à leurs enfants sur Internet de révéler des informations personnelles les concernant et donc vous concernant plus ou moins directement, 25% des enfants interrogés reconnaissent avoir déjà reçus de telles demandes.
Cette étude met en évidence d'autres chiffres qui surprendront certains parents: 94% des parents n'ont jamais surpris leurs enfants en train de consulter des sites illégaux (pour leur age) ou de télécharger illégalement de la musique par exemple alors que 16% avouent utiliser Internet pour faire des choses que leurs parents désapprouveraient. Dans le même ordre de grandeur, 99% des parents pensent que leurs enfants n'ont jamais vu de contenus inappropriés (ne serait-ce que pour leur age) sur Internet alors que 14% des enfants indiquent que c'est pourtant le cas ! (voir les liens pour en savoir plus).

Si des systèmes de protection et de filtres existent pour protéger les enfants vis à vis d'Internet (encore faut-il que les parents, souvent dépassés par les nouvelles technologies sachent les paramétrer correctement), ces derniers ne sont bien évidemment installés que sur les ordinateurs personnels. Or, même si le chiffre est surement minime, je suis convaincu que certains chefs d'entreprises qui liront ce billet se rappelleront d'un mercredi après midi où leur enfant est venu au bureau pour consulter Internet sans réelle surveillance sur un ordinateur de la société notamment pour jouer sur un jeux en ligne dont la sécurité du code reste à démontrer... Combien encore ont laissé sans surveillance leurs enfants utiliser le portable de la société, amené au domicile pour finir un travail dans le week-end, car "c'était juste pour aller sur Internet" ?
Non seulement le contenu consulté peut-être choquant pour l'enfant mais des programmes se connectant à Internet et fournissant des informations vous concernant, voire ouvrant les portes de votre ordinateur pour une utilisation à distance, peuvent être installés sans que vous ne le remarquiez immédiatement. La plupart du temps d'ailleurs qu'un ami fait appel à moi pour réparer son ordinateur à cause de ces fameuses pop-up sur leur navigateur Internet, c'est à cause d'un programme co-installé avec un jeu ou un service proposé sur Internet.

Comme je le disais plus haut, des solutions de blocage (outils dédiés, création d'un compte utilisateur avec droits restreints, etc.) ou de surveillance (suivi de l'historique de navigation, etc.) existent mais les plus efficaces sont vraiment à mon avis trop restrictives pour l'enfant. J'ai par exemple constaté dans la bibliothèque d'un lycée qu'il était impossible d'obtenir via Internet toutes les informations qui pourraient être communiquées sur des sujets concernant le sexe dans le cadre d'un cours de Biologie.

Malheureusement, dans ces conditions seule la prévention et la surveillance réelle de la navigation par un adulte est efficace ... encore faut-il que l'adulte en question ait bien connaissance de tous les dangers du web ...

Sources et liens

• Micro Hebdo N°517. Je vous recommande l'achat de ce numéro, disponible en kiosque jusqu'au mercredi 19 mars, sur lequel vous trouverez plus d'information concernant l'étude du cabinet Harris Interactive Survey ainsi qu'un dossier "Comment protéger vos enfants" avec tests de logiciels de contrôle parental, sites Internet à consulter, etc. Dans ce même numéro, un court mais intéressant article sur l'Insomni'Hack, rencontre de "hacking éthique" (=légal) en Suisse. Quelques informations ici et là.
• "1 enfant sur 5 admet faire des choses en ligne que ses parents désapprouveraient" sur www.symantec.com
• "Parents, éduquez vos enfants à Internet" sur www.pelerin.info
• "Réseaux sociaux : les Français "relativement prudents", estime Symantec" sur www.vnunet.fr

D'après ce que j'ai pu lire sur Internet ou dans les magazines spécialisés, la tendance pour 2008 est aux logiciels gratuits en ligne. On connaissait entre autres media-convert, pour convertir en ligne les fichiers de presque n'importe quelle extension vers n'importe quelle autre extension du même type, Google Documents, suite bureautique avec fonctionnalités collaboratives, etc., voici maintenant Ulteo.
Ulteo propose d'utiliser en ligne l'excellente suite bureautique Open Office (version 2.3) et comme Google Documents, permet l'utilisation de fonctionnalités d'édition collaborative. Un espace de stockage de 1 Go est par ailleurs proposé aux utilisateurs (nécessite un enregistrement). Autre détail, qui a son importance, Ulteo signale qu'il redistribuera une partie de ses bénéfices à des organismes humanitaires et écologiques. Une mesure pas très courante qui méritait d'être signalée.

Si l'idée de ces logiciels en ligne d'une manière générale est vraiment bonne, je me pose de plus en plus de questions quant à la sécurité/confidentialité des informations que l'on y dépose, sans parler du fait que dans un contexte professionnel il ne me paraitrait pas très sûr de stocker via ces services des informations importantes s'il s'agit de services gérés par des sociétés étrangères. Bien évidemment, pour chacun des logiciels, je suppose qu'une charte de confidentialité a été rédigée et que la sécurité doit être au maximum (concernant Ulteo, au moment où j'écris ce billet, la charte de confidentialité n'est pas encore accessible). D'ailleurs, il suffirait qu'un seul utilisateur se plaigne de la fuite avérée de certaines informations déposées pour que ces services aient de sérieux problèmes, ne serait-ce que de crédibilité.

Pour le moment, ces services, tels quels, sont à mon avis surtout pratiques pour "dépanner" lorsqu'on est sur un ordinateur "public/partagé" et qu'on ne manipule pas des données stratégiques. Dans le cadre d'une utilisation personnelle, chacun pourra estimer l'importance des données qu'il manipule. Quoiqu'il en soit, quitte à utiliser une suite bureautique en ligne, je ferai plutôt confiance à Ulteo (à confirmer lors de la mise en ligne de la charte de confidentialité) plutôt qu'à Google.
Ces outils deviendraient vraiment très intéressants en termes de travail collaboratif pour une grande entreprise s'ils étaient installés sur un Intranet coupé de l'extérieur.

Si vous souhaitez avoir une suite bureautique toujours à disposition et fonctionnant même lorsque vous êtes coupés d'Internet, je ne saurai trop recommander d'utiliser la version portable d'Open Office sur une clé USB ou autres supports amovibles et de stocker sur cette clé les documents sur une partition cryptée, créée par exemple avec TrueCrypt (penser à transporter le programme d'installation de TrueCrypt sur votre clé).

Liens

• Ulteo:
  • Site officiel
  • Communiqué de presse
  • Au sujet d'Alteo
  • Confidentialité
• Google Documents
• Media-Convert
• Description de TrueCrypt sur ce blog
• Version portable d'Open Office

D'après la société McAfee, qui produit le célèbre antivirus du même nom, une des cibles majeures en termes d'attaques pour 2008 concernera les sites de réseaux sociaux comme Facebook ou Myspace par exemple pour ne citer que eux. Ces derniers sont en effet non seulement de plus en plus utilisés (web 2.0 ...) mais se livrent surtout une "guerre" à l'innovation, pour apporter de nouveaux services aux Internautes, souvent au détriment de la sécurité.
Autre cible de choix: Windows Vista, dont le nombre d'utilisateurs va inévitablement augmenter avec la vente d'ordinateurs à Noël (pour rappel, à part quelques marques comme Dell, il est quasiment impossible de trouver un seul ordinateur PC en vente sans Windows Vista).
D'autres types d'attaques sont également mises en avant, comme celles concernant les MMORPG ("Massively Multiplayer Online Role Playing Game" soit en français les jeux de rôle en ligne avec un très grand nombre de joueurs), par exemple World Of Warcraft pour lequel est redouté le vol de "logins" et "passwords" pour la revente (!) ou encore l'attaque des bases de données.

Dans les sources et liens ci-dessous, je vous recommande vivement la lecture du "Rapport de Criminologie Virtuelle" de McAfee notamment les 3 premiers chapitres: "Une menace informatique grandissante pour la sécurité nationale", "Une menace croissante pour les particuliers et les entreprises" et "La technologie au service de la criminalité: une économie prospère".

Source et liens

• Rapport de Criminologie Virtuelle de McAfee (pdf) via le site Les Echos
• "Rapport McAfee : les menaces du net en 2008" sur pcinpact.com
• "Les 10 principales menaces pour 2008, selon McAfee Avert Labs" sur programmez.com
• "Sécurité : les menaces qui nous guettent en 2008" sur 01net.com

Voilà une nouvelle qui devrait faire réagir Mael le Hir de Vedocci: Francis Ford Coppola (FFC) s'est fait voler la semaine dernière dans les bureaux argentins de sa société son ordinateur portable ainsi que son disque dur externe de sauvegarde. Résultat, de l'avis de son propriétaire, près de 15 ans de travail et des scripts/scenarii inédits, notamment celui de son prochain film "Tetro", ainsi que de nombreuses photos de famille.
Il semblerait que ces jours-ci le vol d'ordinateurs et donc d'informations touche d'autres réalisateurs de cinéma comme Steven Spielberg par exemple le week-end dernier sur le tournage du 4ème volet d'Indiana Jones !

Tout ceci est l'occasion de faire un rappel de base en termes d'IE, surtout avec l'évolution de la technologie et la disponibilité de disques durs de capacités de plus en plus importantes: toujours faire un backup régulier de ces données, certes, mais surtout ne pas conserver ces backups au même endroit ! Pour cela, diverses solutions: copier sur un disque dur externe, graver sur un CD/DVD ou stocker sur un serveur externe sécurisé. Bien entendu, pour ces trois opérations, toujours crypter au préalable les données, par exemple avec les outils open source gratuits TrueCrypt ou Cryptonit. Et surtout, lorsqu'il s'agit d'un support amovible, le placer en sécurité dans un endroit éloigné afin d'éviter toutes pertes par vol, mais également incendie, etc. Alternativement, imprimer les documents les plus sensibles et les déposer dans un coffre.

Sources et liens:

• "Cambriolage fâcheux pour Francis Ford Coppola" sur www.lecinema.ca
• "Stars dérobées" sur cine.bluewin.ch
• "Vol du dernier scénario de Coppola..." sur www.lepost.fr
• "Indiana Jones : objet de recel..." sur montreal.24heures.ca
• "Argentine: vol du scénario du prochain film de Coppola qui se dit "embêté"" sur www.lemonde.fr
• "Francis Ford Coppola victime d’un vol de données" sur www.vnunet.fr
• Présentation de "Tetro"
• Présentation de Trucrypt sur ce blog
• Vedocci

La sécurité économique au niveau des pôles de compétitivité, c'est la question qui était soulevée par M. Louis Souvet, sénateur du Doubs, publiée dans le JO Sénat du 2 novembre dernier (page 2746):

"...l'intelligence économique faisait partie des postes budgétaires dédiés aux pôles de compétitivité, soit 2 millions d'euros. Il n'est pas utile de faire état de tous les faits, de tous les dysfonctionnements mis en lumière tant par les services publics compétents dans ces domaines que par les spécialistes privés. Il demande si, d'une part, un guide des bonnes pratiques va être diffusé prochainement et si, d'autre part, les pouvoirs publics vont inviter les pôles de compétitivité à tous se doter d'un correspondant en sécurité économique ; cette sécurité économique qui, au final représente de très nombreux emplois, compte tenu des concurrences déloyales qu'elle engendre en cas de méconnaissance des règles de base."
source: senat.fr

Depuis, un appel d'offre en janvier 2007 avait été lancé avec pour intitulé "Etude sur les bonnes pratiques dans les pôles de compétitivité" (version pdf - version html) et pour objet "...d’identifier les méthodes mises en œuvre dans certains pôles de compétitivité pour adapter leur organisation et leur management à leurs spécificités en matière de travail collaboratif entre acteurs de nature variée.(...) Elle permettra de diffuser auprès de l’ensemble des structures de gouvernance des pôles (...) des exemples de bonnes pratiques et de dysfonctionnement à éviter en matière de qualité dans l’organisation et la gouvernance des pôles." Même si le travail collaboratif est principalement visé dans cet appel d'offre, je suppose que la protection des échanges d'informations a dû être abordée. Je suis vraiment curieux de pouvoir consulter les résultats de cette étude.

Pour information, il existe déjà différents guides de bonnes pratiques en termes d'intelligence économique, comme par exemple celui de la CCI de Lorraine (pdf), ou encore celui du MEDEF de mars 2005 (pdf) ou de décembre 2006 (pdf) (voir aussi ce billet) pour ne citer que eux. Ces guides sont orientés PME mais en termes de bonnes pratiques en intelligence économique, les pratiques suggérées sont tout à fait extrapolables à tous les domaines, y compris les pôles de compétitivité.
Concernant la mise en place d'un correspondant en sécurité économique, je ne sais pas si ça s'est réalisé et démocratisé, mais je sais par contre que certains pôles de compétitivité s'intéressent de très près à l'intelligence économique.

Nicolas Sarkozy rappellait le 20 juin dernier dans son discours aux parlementaires toute l'importance d'investir pour l'application de l'intelligence économique: "...Pour qu'il y ait de la croissance, il faut investir. L'effort d'investissement est énorme, révolution numérique, biotechnologies, (...) intelligence économique..." (voir flux mms, format wma - à 33 min 18 sec) . Nous sommes sur la bonne voie.

Sources et liens:

• Question de M. Louis Souvet
• Appel d'offre "Etude sur les bonnes pratiques dans les pôles de compétitivité" (pdf)
• Guides de bonnes pratiques en termes d'intelligence économique
  • CCI Lorraine (pdf)
  • MEDEF mars 2005 (pdf)
  • MEDEF décembre 2006 (pdf)
• Discours Nicolas Sarkozy du 20 juin 2007 - en "streaming" (flux mms/wma)

3ème billet sur les outils open source gratuits pour l'IE et le KM.

Cette fois-ci, un outil indispensable concernant la gestion des noms d'utilisateurs (logins) et des mots de passe, et ceci à trois niveaux:

• 1/ Aide pour le choix d'un mot de passe complexe
• 2/ Gestion des "logins" et des mots de passe
• 3/ Sauvegarde cryptée

Il s'agit de KeePass.

Source image: keepass.sourceforge.net

1/ KeePass peut vous aider à choisir un mot de passe. Pour cela, une option permet de générer de manière aléatoire un mot de passe en fonction de différents paramètres que vous aurez indiqué: prise en compte des majuscules, des minuscules, des caractères spéciaux, de la ponctuation, etc. Est indiquée après génération du mot de passe sa compléxité en bits. Vous pouvez également choisir manuellement ce mot de passe et contrôler en temps réel sa compléxité. Un indicateur visuel passant du rouge au vert permet de vous informer quand la sécurité du mot de passe choisi est "suffisante". Cette fonctionnalité justifie à elle seule l'utilisation de KeePass, mais ce n'est pas ce qui rend cet outil indispensable ...

2/ KeePass devient indispensable pour la gestion des "logins" et mots de passe. Ces derniers sont classés par fiches avec les renseignements suivants: titre, adresse Internet, nom d'utilisateur (login), mot de passe, notes. Ces fiches sont classées par thème: windows, Internet, réseau, etc. Vous pouvez créer autant de thèmes que vous voulez (une banque d'icônes permet de personnaliser chaque thème), à classer dans les dossiers que vous voulez (perso, travail, etc.). Différentes options sont disponibles pour l'affichage, vous pouvez par exemple masquer les "logins" et les mots de passe afin d'éviter qu'un oeil indiscret ne les visualise par dessus votre épaule si vous utilisez KeePass dans un espace ouvert. Pour utiliser les "logins" et les mots de passe, il suffit alors de faire un copier/coller, le contenu de votre copier/coller étant conservé en mémoire pendant 10 secondes (paramètrable) dans le presse-papiers. L'accès aux différents sites se fait simplement en cliquant sur leurs adresses.
Les mots de passe stockés peuvent être générés manuellement ou choisis par KeePass. Dans ce deuxième cas, vous augmentez la sécurité de vos connexions via l'utilisation d'un mot de passe très complexe, qui peut se permettre de l'être puisque vous n'avez plus besoin de le retenir.


Source image: keepass.sourceforge.net

3/ Toutes les informations sont stockées dans une base de données cryptée (AES ou Twofish avec clé de 256 bits !). Pour accéder à cette base de données, il suffit de rentrer ... un mot de passe. Ainsi, vous n'avez grâce à KeePass qu'à retenir un seul mot de passe pour accéder à tous les autres. L'extension utilisée (.kdb) peut être associée à KeePass, un simple clic sur la base de données permettant d'accéder au logiciel. Cryptée, vous pouvez copier cette base de données en toute sécurité sur un lecteur amovible, etc.


Différentes extensions peuvent être ajoutées à KeePass, comme par exemple un module de "backup" ou un module permettant de remplir automatiquement les champs "login" et "password" des sites Internet en cliquant sur leurs adresses via KeePass.

L'interface de KeePass peut être traduite en français (voir liens ci-dessous). L'installation des fichiers langue est simple, il suffit de les décompresser dans le répertoire d'installation de KeePass puis de sélectionner dans les options de langue le Français.

Vous pouvez exporter votre base de données dans différents formats (texte, base de données CSV, HTML, XML, etc.), par exemple pour vous imprimer une version papier. Une extension permet de réimporter dans KeePass les informations exportées dans ces formats. Pour stocker votre fichier en toute sécurité, vous pouvez par exemple utiliser TrueCrypt (voir billet précédent) ou Cryptonit (détaillé prochainement sur ce blog).

Cerise sur le gâteau, KeePass est disponible sur windows, linux, pocket PC, Palm et ... Mac OS X.

Source et Liens:

• Site officiel de KeePass
• Télécharger KeePass pour windows
• Télécharger KeePass (différents OS)
• Pack pour changer la langue
• Les différentes extensions (attention: prendre en compte l'avertissement sur la sécurité concernant les extensions sur cette page).
• Outils open source pour l'intelligence économique #1 - TrueCrypt

Beaucoup de personnes pensent encore qu'en jettant un fichier celui-ci est complétement détruit ... en vidant la corbeille ! D'autres se disent qu'un formatage du disque dur retire toutes traces de fichiers confidentiels.
En fait, il n'en est rien. Ces fichiers peuvent être retrouvés très facilement, sans forcément être un expert, grâce à différents logiciels accessibles au grand public.

La solution est d'utiliser un utilitaire pour effacer définitivement vos fichiers tout en rendant leurs traces illisibles. Eraser fait parti de ces logiciels.

Source image: www.heidi.ie/eraser/

Eraser permet d'effacer les fichiers choisis de votre ordinateur mais également de les déplacer sans laisser la moindre trace. Son installation est très facile, ainsi que son fonctionnement: soit vous faites glisser les dossiers ou les documents à effacer dans la fenêtre principale de Eraser, soit vous faites un clic droit de la souris sur le fichier à effacer et choisissez l'option "eraser".

Avec un clic droit, vous pouvez également choisir l'option "eraser move", pour déplacer votre fichier sur votre ordinateur sans traces.

Cet outil est très utile pour effacer par exemple l'intégralité de votre clé USB avant de la prêter à quelqu'un ou encore dans le cadre d'une entreprise pour effacer l'intégralité des données sur un portable entre deux déplacements.

Sur la page "téléchargements" (voir liens ci-dessous), choisir le fichier en rapport avec votre matériel: i386 pour les processeurs Intel, et AMD64 pour les processeurs AMD. Pas de version sur Mac.

Une dernière chose, comme la plupart des logiciels open source dont je parle sur ce blog, Eraser est totalement gratuit !

Liens

• Site officiel d'Eraser
• Télécharger Eraser
• Autre outil pour sécuriser vos données

Premier billet consacré aux outils open source comme indiqué précédement ici.
L'objectif n'est pas de proposer un tutorial pas à pas pour utiliser ces outils mais d'en signaler l'existence. Pour toutes questions relatives à leurs fonctionnements, je renverrai à la consultation des sites officiels. Bien entendu, utilisant ces outils je pourrai répondre très volontier à vos questions dans les commentaires de chaque billet.

Certains outils seront sûrement connus par la plupart de ceux qui s'intéressent à l'intelligence économique (IE) ou au knowledge management (KM) depuis un moment. En les signalant, je pense surtout aux autres, ceux qui voudraient avoir accès à des outils efficaces et la plupart du temps gratuits pour les aider dans la mise en place et la poursuite d'une démarche d'IE et/ou de KM.

Premier outil inaugurant cette rubrique: "TrueCrypt".

Source: TrueCrypt.org

TrueCrypt est un logiciel monoposte permettant de crypter vos données à la volée, les rendant inaccessibles à tout utilisateur n'en ayant pas le code d'accès.
Avec TrueCrypt, vous pouvez rendre sécurisés (différents algorythmes disponibles) toute une partition, un disque dur externe (par exemple une clé USB) ou même créer une partition virtuelle sur laquelle tous les fichiers que vous déposerez seront cryptés. Dans le cas d'une clé USB, vous devrez installer TrueCrypt sur l'ordinateur sur lequel vous branchez votre clé ... ce qui n'est pas gênant puisque TrueCrypt est facilement téléchargeable et gratuit.
L'accès à la partition se fait avec un mot de passe (que vous aurez défini). Lors de l'installation vous pouvez réaliser un test qui déterminera en fonction des caractéristiques techniques de votre ordinateur la vitesse d'écriture et de lecture des fichiers que vous allez déposer dans votre partition cryptée en fonction de l'algorythme choisi. L'AES en 256 bit étant à mon avis le meilleur compromis.

De nombreuses options sont configurables, vous pouvez même demander à créer une partition cryptée au sein d'une partition cryptée !!! Attention cependant à bien suivre les instructions pour l'installation, car selon les choix que vous allez faire lors de l'installation vous pouvez effacer des données de votre disque dur ! C'est le cas par exemple si vous choisissez de rendre cryptée toute une partition de votre disque dur déjà existante et abritant des données. Un message d'avertissement vous est de toute manière indiqué pour éviter toute mauvaise manipulation.
Sur les partitions cryptées, vous pouvez très bien installer des programmes. TrueCrypt ne peut cependant pas crypter la partition "C" sur laquelle est généralement installé windows.
TrueCrypt est disponible sur Linux et Windows. Gratuit pour une utilisation privée ou commerciale.

En conclusion, un outil indispensable pour toutes personnes ayant par exemple à se déplacer avec un ordinateur portable abritant des données de son entreprise.

Liens:

• Site officiel de TrueCrypt
• Télécharger TrueCrypt
• Documentation en ligne
• La licence de TrueCrypt
• Attention à vos données numérisées ... sur ce blog