Biométrie, la clé pour empêcher les terroristes de voyager

L’amélioration des systèmes de validation de l’identité et l’utilisation de la biométrie sont des éléments clés de la nouvelle stratégie de la Maison-Blanche visant à empêcher les terroristes de voyager et à aider les partenaires étrangers à adopter cette technologie.

Le 20 février, la Maison-Blanche a publié la “Stratégie nationale de lutte contre les déplacements à des fins terroristes” (PDF-National Strategy to Combat Terrorist Travel) qui énonce trois objectifs pour réduire la capacité des terroristes de voyager entre les pays et à l’intérieur de ceux-ci. Le premier objectif est d’identifier et de dissuader les terroristes avant qu’ils ne voyagent, le second est de détecter et d’intercepter les terroristes pendant leur voyage, et le troisième est de renforcer les capacités de sécurité des voyages et des partenaires étrangers.

Les sous-sections expliquant les objectifs stratégiques des trois buts font spécifiquement référence à la biométrie.

L’objectif stratégique 1.2, qui vise à améliorer la collecte et l’analyse de l’information par les services de renseignement et les organismes de maintien de l’ordre public, comprend un appel à “améliorer la fonctionnalité des systèmes de gestion de l’identité et à accroître la collecte et l’utilisation des données biométriques, biographiques et dérogatoires pour le contrôle et la vérification”.

L’objectif stratégique 2.1 accorde la priorité à l’utilisation accrue des équipements et des technologies biométriques pour identifier les terroristes parmi les passagers.

L’objectif stratégique 3.2, qui vise à renforcer les capacités de filtrage et d’identification des partenaires étrangers, appelle à encourager et à soutenir les efforts des partenaires étrangers visant à accroître le partage de données biométriques et d’autres données relatives aux voyageurs.

Le filtrage est défini comme un contrôle “biographique et/ou biométrique” par rapport aux listes de surveillance et aux renseignements sur les menaces, et est mentionné à de nombreuses reprises dans le document de 21 pages.

Le Biometrics Institute travaille avec les agences antiterroristes de l’ONU sur la façon d’appliquer de manière responsable la force de l’identification biométrique à leurs efforts, et le programme biométrique d’entrée-sortie des voyageurs des États-Unis pour la douane et la protection des frontières (Customs and Border Protection-CBP), continue de se développer malgré les difficultés. La biométrie est également vantée pour la fluidité des déplacements alors que les aéroports sont de plus en plus encombrés.

La Maison Blanche a publié le même jour un autre document sur la sécurité de l’aviation intitulé “National Strategy for Aviation Security“, qui propose de nouvelles approches permettant de créer un écosystème d’aviation sécurisé à plusieurs niveaux qui s’adapte de manière adéquate aux menaces en mutation exponentielle découlant des nouvelles cyber-technologies perturbatrices, ainsi qu’à la prévalence croissante des systèmes d’aviation sans pilote (UAS).

La Stratégie nationale pour la sûreté de l’aviation, met davantage l’accent sur l’ensemble des menaces qui pèsent sur l’écosystème des transports des États-Unis et détaille les nouvelles contre-mesures et politiques. Parmi les menaces spécifiques abordées dans le rapport figurent les terroristes, les États-nations hostiles, les criminels, les insiders et les services de renseignement étrangers qui pourraient tenter de bombarder un avion ou d’introduire clandestinement du matériel ou du personnel aux États-Unis, entre autres préoccupations. En outre, le rapport tient également compte du risque de propagation de maladies infectieuses pendant les voyages en avion.

Il est important de noter que ces documents anticipent une augmentation des dépenses publiques consacrées à l’intégration de technologies préventives sophistiquées, notamment la biométrie.

HSDL, The White House, Biometricupdate

Actualités concernant la sécurité informatique

Les principales cybermenaces

Au niveau des menaces les plus courantes actuellement, ce sont toujours les attaques de botnets qui restent persistantes. Un tout récent rapport du Centre de Recherche sur les Menaces de CenturyLink, Inc. révèle avoir détecté, au cours de l’année 2017, 195 000 menaces/jour en moyenne touchant environ 104 millions de cibles uniques par le biais de botnets. La France fait partie des 5 pays européens au plus fort volume de trafic Internet malveillant. Les cibles touchées sont des serveurs, des ordinateurs, des appareils mobiles et tout appareil connecté à Internet. Le Centre recommande plus de vigilance aux entreprises, gouvernements et consommateurs face aux risques découlant de ce style d’attaques. Les botnets peuvent servir au spam, au hameçonnage pour voler des données sensibles, aux virus informatiques, aux attaques informatiques par déni de service (DDoS) ou aux BruteForcing (trouver des mots de passe d’utilisateurs).

Cylance Inc. a également publié son rapport sur les principales cybermenaces mondiales sur la base des expériences de ses clients en 2017. Les attaques à grande échelle continuent de croître, particulièrement les ransomwares dont le nombre s’est multiplié par 3 l’année dernière. Ils ciblent principalement le secteur de la santé et l’industrie alimentaire. Les vecteurs d’attaques les plus courants restent le phishing et le téléchargement de pièces infectées. Une croissance exponentielle des variantes de malware avec une courte durée de vie et des changements très réguliers rendent également la lutte difficile. À noter que 50 à 70 % des attaques de 2017 ont exploité des vulnérabilités connues et signalées plus de neuf mois auparavant. Les menaces les plus fréquentes basées sur DNS (Domain Name System) ont changé en 2018 par rapport à l’année précédente. Les malwares exploitant le DNS sont les menaces les plus courantes avec le phishing (36 %), suivis par les attaques par déni de service (20 %), la saturation (lockup) de domaine (20 %), et le DNS tunneling (20 %).

En 2017, le secteur financier est désormais le secteur le plus attaqué à l’échelle mondiale, selon le rapport annuel GTIR (Global Threat Intelligence Report) de NTT Security. Les offensives sont passées de 14 % à 26 % en un an (2016-2017). Le secteur technologique a également connu une recrudescence de problèmes avec une augmentation d’environ 25 % des atteintes par rapport à 2016, ce qui représente 19 % des agressions cyber dans le monde. À l’inverse, le secteur gouvernemental est bien moins touché (-5 %). Notons une fois de plus, une fulgurante croissance des ransomwares, avec une augmentation de 350 % des détections.

Selon de récents rapports, le nombre de failles logicielles documentées a atteint un niveau record en 2017, avec 14 % d’augmentation par rapport à l’année précédente (19 954 contre 17 147 en 2016). L’exploitation de vulnérabilités connues du public est une cause majeure de problèmes de sécurité, comme dans le cas du piratage d’Equifax ou du ransomware WannaCry. Selon le cabinet PwC, ce genre d’incidents de cybersécurité génèrent des coûts de 2,5 M$ en moyenne en 2015.

Les résultats du rapport trimestriel de sécurité (le Global Threat Landscape Report) de Fortinet sont plus nuancés. L’étude note que si les ransomwares sont toujours une réelle menace pour les entreprises (de plus en plus nombreux et sophistiqués), il semble que certains cybercriminels préfèrent largement utiliser les systèmes à des fins de minage de cryptomonnaies plutôt que de rançonnage. Les malwares de minage de crypto ont plus que doublé sur le trimestre, passant de 13 % à 28 %. Le cryptojacking (détournement de ressources de systèmes à des fins de minage de bitcoin et monero notamment) s’est particulièrement bien imposé au Moyen-Orient, en Amérique latine et en Afrique. Le ransomware GandCrab découvert en janvier 2018 fait la synthèse en utilisant le cryptoactif dash pour le paiement des rançons. De même que BlackRuby et SamSam sont deux variantes de logiciels de rançon des plus actives au premier trimestre 2018.

La France est particulièrement sous la menace de cyberattaques. Un accroissement notable d’outils d’attaques sophistiqués aux effets de plus en plus ravageurs a sévi en 2017. Selon l’Agence nationale de la sécurité des systèmes d’information (ANSSI), cette même année, la France a totalisé « 2 435 signalements d’événement de sécurité numérique (1 621 traités), 20 incidents majeurs de sécurité, 12 opérations de cyberdéfense face à des menaces et compromettant les opérations liées [à] l’activité d’une organisation d’importance vitale (OIV) ou fortement sensible, et enfin, trois crises publiques majeures (menace sur l’élection présidentielle, rançongiciel Wannacry et attaque à des fins de sabotage NotPetya) ». Les résultats de l’enquête de Bessé & PwC montrent que les dirigeants français d’entreprises de taille intermédiaire (ETI) sont mieux informés et sensibilisés au risque cyber, car 76 % des sondés déclarent avoir subi au moins un incident cyber en 2017.

Les malwares les plus prolifiques du mois d’avril dernier en France sont Coinhive (cheval de Troie pour extraire de la cryptomonnaie Monero), Roughted (publicité malveillante à grande échelle, escroqueries, kits d’exploitation de vulnérabilité et ransomwares), Cryptoloot (cryptomining exploitant tous types de monnaies virtuelles), Necurs (botnet le plus actif au monde avec 6 millions de bots estimés en 2016 propageant surtout des chevaux de Troie bancaires et des ransomwares), JSEcoin (mineur JavaScript intégré à n’importe quel site Web), Conficker (ver informatique qui cible le système d’exploitation Windows pour récupérer des données comme les mots de passe), Fireball (logiciel publicitaire détourneur de navigateur qui change le moteur de recherche par défaut, installe des pixels de suivis ou télécharge des logiciels malveillants), Nivdort (cheval de Troie ciblant l’OS Windows pour subtiliser mots de passe, informations/paramètre système, adresse IP, configuration du logiciel, localisation approximative et collecte des frappes de touches dans certaines versions pour modifier les paramètres DNS), Virut (un des principaux distributeurs de botnets et de logiciels malveillants sur Internet utilisé pour des offensives DDoS, du spam, du vol de données et de la fraude) et enfin Pirrit (adware qui inclut les capacités d’un outil d’administration à distance pour injecter du code JavaScript directement dans le navigateur).

Cyberespionnage, gouvernements et secteur privé

Selon un rapport de l’entreprise de sécurité mobile US Lookout et du groupe de défense des droits numériques US Electronic Frontier Foundation, la Direction générale de la sécurité générale du Liban (GDGS), soit les services de renseignement libanais, est soupçonnée d’avoir utilisé les smartphones de milliers de personnes en tant qu’outil de cyberespionnage. Plus de 10 opérations cyber auraient été menées dans au moins 21 pays depuis 2012, principalement sur les utilisateurs de téléphones Android (Google). Selon l’analyse, il s’agirait d’un des premiers exemples connus de piratage informatique à grande échelle de téléphones intelligents plutôt que d’ordinateurs.

Le Mossad, (service de renseignement extérieur israélien), le Shin Bet (service de sécurité intérieure israélien) et Tsahal, (l’armée de défense d’Israël) coopèrent de plus en plus avec le secteur privé pour optimiser leurs performances dans le cyberespace. Le Mossad s’intéresse particulièrement aux technologies robotiques (pour utilisation terrestre, maritime et aérienne), aux technologies de l’énergie et aux batteries, aux outils de cryptage de l’information à haute vitesse, aux logiciels pour identifier les traits de personnalité à des fins de profilage de personnalité, basés sur le comportement et l’activité en ligne, à l’apprentissage automatique et à l’automatisation pouvant aider à synthétiser les documents, les cataloguer et traiter les données dans diverses langues.

Tawfiq Tirani, ancien n° 1 de l’Agence Générale Palestinienne des Services d’Intelligence (de 1994 à 2008), les services de renseignement palestiniens, affirme que le gouvernement de Cisjordanie a travaillé main dans la main avec la CIA pour mettre sur écoute plusieurs milliers de personnes sans contrôle légal. Il a introduit une plainte contre l’Autorité Palestinienne demandant qu’une enquête soit initiée sur ces écoutes.

Utilisé depuis 2012 pour exfiltrer discrètement des données gouvernementales et d’individus dans des pays en guerre ou politiquement instables (Irak, Somalie, Afghanistan, Libye, RDC, Yémen…), le logiciel de cyberespionnage (malware) Slingshot continue d’être actif (au moins une centaine de lésés) dans les pays les plus instables du Moyen-Orient et d’Afrique.

Le gouvernement luxembourgeois veut accroître les capacités techniques de son Service de renseignement de l’État (SRE) pour surveiller et conserver des données téléphoniques et informatiques. Le budget de l’entité passera de 3,3 M€ en 2018 à 5,1 M€ en 2019 (64 % d’augmentation) pour atteindre 5,4 M€ en 2021.

Aadhaar est une base de données biométrique mise en place par l’État indien, en partenariat avec la société française Idemia (anciennement Morpho) en 2010. Cette base de données attribue aux résidents du pays un numéro unique à 12 chiffres associés à leurs empreintes digitales, photo du visage et scan de l’iris. Aujourd’hui indispensable pour toute démarche administrative, ce Big Brother indien regroupe les informations personnelles de près de 1,2 milliard de personnes (99 % de la population adulte du pays). Toute personne vivant en Inde depuis plus de six mois, y compris étrangères, peut obtenir gratuitement une carte d’identité. Human Rights Watch et Amnesty International dénoncent des « violations du droit à la vie privée » et soulignent une surveillance étatique accrue « avivée par l’absence de lois pour protéger les données personnelles en Inde et le manque de contrôle judiciaire ou parlementaire sur les activités des services de renseignement ». De plus, un chercheur en cybersécurité avait découvert que des centaines de milliers de numéros Aadhaar avaient été publiés en ligne en février 2017. En 10 minutes et pour 500 roupies (6,4 €), le fameux journal indien The Tribune a également pu accéder via un intermédiaire anonyme à des données personnelles associées à des numéros du système d’identification de la population (noms, adresses, photos, numéros de téléphone, adresses mail), selon un article de janvier 2018. La Cour suprême de l’Inde devra prochainement trancher sur la comptabilité du fichage de la population avec la Constitution du pays. Selon Diploweb, ce programme illustre la montée en puissance des capacités de contrôle technologique au bénéfice des autorités publiques et des intérêts commerciaux privés.

L’agence de renseignement NSA déclare que 534 millions de communications (conversations téléphoniques, SMS) ont été épiées en 2017 aux États-Unis. Un chiffre qui a été multiplié par trois par rapport à celui de l’année précédente. De plus, l’activité sur Internet de quelques 130 000 étrangers (+ 25 % par rapport à 2016) s’ajoute à ces interceptions de la NSA. Durant ces deux dernières années, 1 500 personnes ont été particulièrement surveillées pour des questions de sécurité nationale. Selon la CIA, la surveillance numérique est tellement efficace qu’elle se substitue largement à la simple filature dans une bonne trentaine de pays.

La spécialiste en cybersécurité Kelly Shortridge (BAE Systems) a constaté que le navigateur Google Chrome scanne en permanence les fichiers présents sur les ordinateurs de ses utilisateurs qui fonctionnent sous le système Windows. La faute au programme Chrome Cleanup Tool qui scanne l’ordinateur en recherchant des programmes malfaisants et envoie les métadonnées à Google.

Selon une nouvelle étude de vpnMentor, 50 fournisseurs de VPN sur 280 disponibles ont partagé des données personnelles de leurs utilisateurs avec Facebook sans qu’ils ne le sachent. Ceci a été réalisable par le biais du pixel de Facebook, un plug-in de reciblage (retargeting) qui sert à optimiser la publicité sur le réseau social et sur le Net en général.

La Direction générale des finances publiques (DGFIP) a fait l’erreur d’utiliser la plateforme YouTube pour héberger une vidéo d’information sur le prélèvement à la source, en la rendant obligatoire à visionner pour accéder au site et déclarer ses revenus. L’État transmet donc indirectement à Google, propriétaire de YouTube, les données des internautes français.

La Commission nationale de l’informatique et des libertés (CNIL) a mis en demeure la société Direct Énergie à propos de ses compteurs Linky controversés (contestés par les usagers dans pas moins de 300 villes et communes françaises). Selon elle, le consentement des clients pour la collecte de leurs données de consommation personnelles toutes les demi-heures ne serait pas « libre, éclairé et spécifique ». Encore 35 millions de compteurs Linky doivent être déployés sur la totalité du territoire d’ici 2021, alors que 7 millions sont actuellement en place. Une proposition de loi visant à permettre aux consommateurs et aux municipalités de refuser l’installation du compteur a en effet été déposée le 16 mai 2018 à l’Assemblée nationale. Actuellement, les installations de Linky sont obligatoires.

Le cerveau ukrainien d’un groupe de cybervoleurs russes ou ukrainiens, qui aurait dérobé près de 1 Mds € à des banques, a été arrêté en Espagne fin mars 2018. Le groupe opérait depuis plus de cinq ans en se servant de logiciels malveillants sophistiqués (appelés Carbanak et Cobalt) qu’ils créaient eux-mêmes. Les pirates se faisaient passer pour des entreprises légitimes et envoyaient massivement à des employés de banque des courriels avec une pièce jointe malveillante. Une fois téléchargé, ce logiciel malveillant leur permettait de contrôler à distance des distributeurs de billets. Chaque opération pouvait rapporter plus de 1,5 M$ en moyenne. Des bénéfices immédiatement convertis en cryptomonnaies de type bitcoin, pour ensuite acquérir des biens matériels (voitures de luxe, maisons…). Ils ont pu accéder à la quasi-totalité des banques de Russie et extraire de l’argent d’une cinquantaine d’entre elles. Le groupe a ciblé plus de 100 institutions financières dans 40 pays (Biélorussie, Azerbaïdjan, Kazakhstan, Ukraine, Taïwan…).

Les récentes failles de sécurité

Des chercheurs du MIT Technology Review, le magazine du Massachusetts Institute of Technology, ont découvert 147 failles de sécurité dans 34 applications du Play Store Google (Android). Ces applis sont notamment utilisées par des entreprises comme Siemens et Schneider Electric pour contrôler des processus industriels. Des vulnérabilités qui permettraient à des pirates informatiques d’infecter un périphérique mobile avec un code malveillant afin qu’il délivre des commandes aux serveurs qui contrôlent de nombreuses machines. Ces risques informatiques sont un réel danger pour le milieu industriel, car une personne mal intentionnée pourrait faire croire par exemple qu’une machine fonctionne à une température sécuritaire alors qu’elle surchauffe. Des instabilités ont été découvertes dans le système d’acquisition et de contrôle de données (SCADA – système de télégestion à grande échelle) des technologies industrielles de Siemens. Certaines d’entre elles donnent l’opportunité à un belligérant de « provoquer un déni de service à distance, une atteinte à l’intégrité des données et une atteinte à la confidentialité des données » (3 mai 2018). D’autres faiblesses dans le système SCADA de Schneider Electric peuvent permettre à un attaquant de provoquer une exécution de code arbitraire, un déni de service à distance et un contournement de la politique de sécurité (25 mai 2018).

Près de 700 000 données des lecteurs de L’Express (60 go contenant noms, prénoms, adresses mails et professions) étaient accessibles en ligne sans mot de passe durant plusieurs semaines. Alors que le média avait été averti de cette fuite, il n’a pas réagi, laissant la base de données et son contenu téléchargeables par tout un chacun pendant un mois. Des entités malveillantes ont tenté à plusieurs reprises d’obtenir une rançon, notamment en bitcoin, en échange des données.

En avril 2017, la clef USB d’une jeune femme appelée Mina B. (fichée S) a été examinée dans le cadre d’une enquête judiciaire. Le support contenait des fichiers de police sensibles, dont notamment une liste datant de 2008 de 2 626 agents du renseignement. Cette liste, préalablement effacée de la clef USB, a été restaurée par les enquêteurs. Elle contient les noms, matricules et affectations de l’ensemble des agents du corps des gradés et gardiens nommés lors de la Commission administrative paritaire nationale (CAPN) du 19 juin 2008. Les individus listés sont issus de la Direction centrale des Renseignements généraux (DCRG) et de la Direction de la Surveillance du territoire (DST), deux services partiellement fusionnés pour créer la Direction générale de la Sécurité intérieure (DCRI).

La plus grande banque d’Australie, la Commonwealth Bank, a admis jeudi 3 mai 2018 avoir égaré les données financières d’environ 20 millions de ses clients. La banque n’a pas été en mesure de retrouver deux bandes de données magnétiques censées être détruites et sur lesquelles étaient stockés des noms, adresses, numéros de compte et les détails de transactions financières enregistrées entre 2000 et 2016. Ces données ont pu être détruites par un sous-traitant après la fermeture de son centre de données, bien qu’aucun document ne puisse le prouver. Aucun des systèmes informatiques, plateformes technologiques, applications et autres sites Internet n’ont été compromis selon cette société, qui est la première entreprise par la capitalisation boursière du pays. L’affaire tombe alors qu’elle est soupçonnée de dizaines de milliers d’atteintes à la loi à propos de blanchiment d’argent, financement de terrorisme et manipulations de taux interbancaires de référence. Trois autres grandes banques australiennes, National Australia Bank, Westpac et ANZ, sont également concernées par une commission d’enquête royale sur des flux financiers illicites.

Fin avril 2018, Kaspersky Lab (société privée russe spécialisée dans la sécurité des systèmes d’information) a détecté un exploit encore inconnu jusqu’alors. Un exploit est une forme de logiciel qui se sert des bugs ou des vulnérabilités d’autres logiciels pour infecter des victimes avec un code malveillant. L’exploit découvert par l’entreprise moscovite en question utilise une vulnérabilité zero-day CVE-2018-8174 pour Internet Explorer pour des attaques ciblées. Voici la démarche d’infection : la victime reçoit d’abord un document Microsoft Office RTF malveillant qui, après ouverture, télécharge l’exploit c’est-à-dire une page HTML avec un code malsain. Ce code déclenche un bug UAF de corruption de la mémoire et un shellcode, qui télécharge le programme hostile, est alors exécuté forçant ainsi le chargement d’Internet Explorer, peu importe le navigateur habituellement utilisé par la victime. À propos de Kaspersky Lab, c’est au tour du gouvernement néerlandais de bannir, à l’instar des USA, le logiciel antivirus de l’éditeur russe pour motif d’espionnage et de sabotage au profit de Moscou. Kaspersky Lab a contesté les accusations et a rappelé que cette décision a été annoncée au moment où il a décidé de transférer une partie de ses services de la Russie vers la Suisse.

Le 16 avril dernier, les chercheurs de ce spécialiste russe de la sécurité informatique ont également découvert un nouveau malware Android diffusé par Domain Name System (DNS Hijacking). Dénommé Roaming Mantis, le logiciel malveillant a pour objectif de subtiliser des informations comme des identifiants, ainsi que donner aux pirates un contrôle intégral des appareils infectés. Le malware visait principalement les smartphones en Asie, mais a inclus en à peine un mois l’Europe et le Moyen-Orient, en y ajoutant du phishing pour les appareils iOS et du minage de cryptomonnaies sur PC.

Les transcripteurs de Cortana, l’assistant vocal de Microsoft, sont recrutés directement en ligne via un test et suivent une formation en ligne. En cas de réussite, aucun contrat de travail ni de confidentialité n’est signé. Les travailleurs sont indépendants et ont accès aux masses de données collectées par Cortana, c’est-à-dire les enregistrements vocaux de tous ces utilisateurs, pour les traiter un à un. Un texte s’affichait avec ce que Cortana avait compris de l’enregistrement et le transcripteur doit corriger la grammaire, l’orthographe, etc. Noms, adresses, conversations personnelles, numéros de sécurité sociale, recherches en ligne, conversations en ligne (Xbox ou Skype pour ceux qui utilisent un service de traduction instantanée), questions personnelles à Cortana et diverses informations sont donc accessibles sur la plateforme de travail. Cortana enregistre également, de façon non sollicitée, des conversations qui ne devaient pas être enregistrées qu’il faut néanmoins traiter : Microsoft récupère les données dans tous les cas. Les logiciels à activation vocale tels Cortana, Siri ou Alexa sont des agents conversationnels artificiels qui demandent une grande dimension de travail humain. Les travailleurs précaires qui trient nos requêtes, écoutent nos propos, sont situés en France ou peuvent être issus de pays francophones comme la Tunisie, le Maroc ou Madagascar. De même, un couple a constaté qu’une de ses conversations avait été enregistrée à son insu par l’enceinte connectée Echo qui l’a transmise à un employé du mari. Il s’agirait d’une erreur selon le constructeur Amazon. Notons également que tout juste après son lancement, la serrure connectée Amazon Key (un dispositif de livraison à domicile) a immédiatement été piratée.

Les vulnérabilités relevées par le Centre gouvernemental de veille, d’alerte et de réponse aux attaques informatiques (CERT)

Une vulnérabilité pouvant provoquer une atteinte à la confidentialité des données a été découverte dans Microsoft Windows (27 avril 2018). Un déséquilibre a été découvert dans Microsoft Windows Host Compute Service Shim (hcsshim). Il permet à un attaquant de provoquer une exécution de code arbitraire à distance (03 mai 2018). Le 8 mai 2018, Microsoft a annoncé ses mises à jour mensuelles de sécurité : 67 vulnérabilités ont été corrigées, dont 22 considérées comme critiques, 45 comme importantes et 2 comme faibles. Elles concernent Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, Services Microsoft Office et Microsoft Office Web Apps, ChakraCore, Adobe Flash Player, Cadriciel .NET, Microsoft Exchange Server. Des vulnérabilités ont été corrigées dans Microsoft Windows concernant une divulgation d’informations, une élévation de privilèges, un contournement de la fonctionnalité de sécurité et une exécution de code à distance (09 mai 2018). De même que dans Microsoft .NET, des failles telles qu’un déni de service et un contournement de la fonctionnalité de sécurité ont été rectifiées (09 mai 2018). Dans Microsoft Internet Explorer (09 mai 2018), Microsoft Edge (09 mai 2018) et Microsoft Office (09 mai 2018) sont présents des problèmes de divulgation d’informations, des possibilités d’exécution de code à distance et de contournement de la fonctionnalité de sécurité. Des risques de divulgation d’informations, d’élévation de privilèges, d’exécution de code à distance et d’usurpation d’identité ont été corrigées dans plusieurs versions de Microsoft Exchange Server et Microsoft Infopath 2013, ainsi que dans C SDK, C # SDK et ChakraCore Java SDK pour Azure IoT, le cloud de l’Internet des objets de Microsoft (09 mai 2018). Une dernière vulnérabilité a été découverte dans Microsoft PowerPoint. Elle permet à un attaquant de provoquer une exécution de code arbitraire à distance (24 mai 2018).

Dans Google Chrome, plusieurs vulnérabilités permettant à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur (27 avril 2018, 09 mai 2018 et 22 mai 2018) et une élévation de privilèges (11 mai 2018) ont été relevées. D’autres failles ont été découvertes dans Google Android pouvant amener à l’exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité (09 mai 2018).

Des faiblesses permettant l’exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité ont été annoncées pour le navigateur Mozilla Firefox au 09 mai 2018. D’autres failles ont été relevées dans Mozilla Thunderbird pouvant amener à un problème de sécurité non spécifié par l’éditeur, une exécution de code arbitraire à distance et un déni de service (22 mai 2018).

Une fragilité pouvant provoquer une exécution de code arbitraire à distance a été découverte dans le Norton Core, le routeur sécurisé pour protéger les objets connectés de la maison de Symantec (2 mai 2018).

Produits Cisco : des vulnérabilités permettent à un attaquant de provoquer une exécution de code arbitraire à distance, un déni de service à distance et un contournement de la politique de sécurité (03 mai 2018 et 17 mai 2018).

Quasiment tous les systèmes d’exploitation ou de virtualisation logiciel des processeurs Intel (affectant tous les OS) ont une faille à cause d’une erreur de compréhension du manuel du développeur. C’est encore pire sur les processeurs AMD, où la brèche permet d’exécuter du code. Sur Intel, elle permet à l’attaquant d’escalader les privilèges sur Windows et macOS, tandis qu’elle peut faire planter Linux dans les configurations de Xen (logiciel libre de virtualisation de systèmes d’exploitation) et de FreeBSD (système d’exploitation UNIX libre).

7-Zip : problème d’exécution de code arbitraire à distance (04 mai 2018).

PHP : complication de sécurité non spécifiée par l’éditeur et un déni de service (27 avril 2018).

Noyau Linux de SUSE : des brèches permettent à un attaquant de provoquer une exécution de code arbitraire, un déni de service et une atteinte à la confidentialité des données (26 avril 2018). Souci d’exécution de code arbitraire, de déni de service et d’atteinte à l’intégrité des données (09 mai 2018). Des ouvertures involontaires permettent au pirate de provoquer un problème de sécurité non spécifié par l’éditeur, une exécution de code arbitraire et un déni de service (17 mai 2018), ainsi qu’une atteinte à la confidentialité des données et une élévation de privilèges (25 mai 2018).

Noyau Linux de RedHat : atteinte à l’intégrité des données et à la confidentialité des données (26 avril 2018). Un individu malintentionné pouvait également provoquer un déni de service, une atteinte à l’intégrité des données et une atteinte à la confidentialité des données (09 mai 2018) ou encore une atteinte à la confidentialité des données (22 mai 2018 et 25 mai 2018).

Noyau Linux d’Ubuntu : problème d’exécution de code arbitraire, de déni de service et d’élévation de privilèges, ainsi que des possibilités pour un attaquant de provoquer une exécution de code arbitraire à distance. (09 mai 2018).

Adobe Flash Player : un attaquant pouvait provoquer une exécution de code arbitraire à distance (09 mai 2018).

Citrix XenServer : des failles permettent à un attaquant de provoquer un problème de sécurité non spécifié par l’éditeur, un déni de service et une atteinte à l’intégrité des données (09 mai 2018).

Citrix XenMobile : des vulnérabilités permettent au belligérant de provoquer un problème de sécurité non spécifié par l’éditeur et un contournement de la politique de sécurité (22 mai 2018).

Xen : problème de déni de service et d’élévation de privilèges (09 mai 2018).

Twitter : jeudi 3 mai dernier, un problème de sécurité a été dévoilé par la société qui a conseillé à ses usagers de changer leurs mots de passe par mesure de sécurité.

Fortinet FortiOS : un pirate peut provoquer une atteinte à la confidentialité des données et une élévation de privilèges (22 mai 2018). De même pour les produits Fortinet (17 mai 2018).

BIND : problème de déni de service à distance (22 mai 2018).

Produits Tenable : souci de sécurité non spécifié par l’éditeur (22 mai 2018).

Wireshark : problème de déni de service à distance (23 mai 2018).

S/MIME et OpenPGP : le 14 mai 2018, une faille nommée EFAIL était rendue publique par des chercheurs des universités allemandes de Münster et Bochum, ainsi que de l’entreprise NXP Semiconductors. Des offensives sont réalisables contre les protocoles de sécurisation des échanges de courriels S/MIME et OpenPGP pour récupérer le texte clair d’un courriel protégé par chiffrement (23 mai 2018).

Joomla ! : failles permettant au pirate de provoquer une exécution de code arbitraire à distance, un contournement de la politique de sécurité et une atteinte à la confidentialité des données (23 mai 2018).

Moodle : exécution de code arbitraire à distance possible, en plus d’un déni de service et d’un contournement de la politique de sécurité (25 mai 2018).

VMware Workstation et Fusion : déni de service, atteinte à la confidentialité des données et élévation de privilèges (25 mai 2018).

BMW : Des hackeurs chinois ont relevé 14 failles de sécurité dans une série de modèles du constructeur automobile allemand BMW. Elles permettaient de modifier à distance le fonctionnement interne du véhicule. L’Allemand a travaillé conjointement avec ce groupe de hackeurs chinois pour améliorer la sécurité de ses voitures.

La cybersécurité face au défi de la confiance

ISBN-2738143679

85% des dirigeants interrogés à travers le monde déclarent ne pas connaître précisément la façon dont leur entreprise est organisée pour faire face à la menace cyber. Un constat pour le moins surprenant à l’heure où de nombreuses attaques sont recensées et qui sert de point de départ à Philippe Trouchaud, expert en cybersécurité pour son second ouvrage « La cybersécurité face au défi de la confiance ». Ce dernier apporte un nouvel éclairage sur l’enjeu crucial qu’est aujourd’hui la cybersécurité. Si Philippe Trouchaud pointe l’immaturité des entreprises face au cyber-risque, il apporte, au gré d’exemples connus de tous et nourris par l’actualité, des réponses concrètes aux entreprises afin de relever ce défi. Surtout, l’auteur plaide en faveur d’une cybersécurité collective, raisonnée, résolument centrée sur l’humain.

Qui aurait imaginé qu’en quelques heures les géants de l’Internet puissent perdre l’équivalent de 220 milliards de dollars de leur capitalisation boursière ? Des interrogations sur la sécurité de l’un d’entre eux et sur l’utilisation des données personnelles de ses clients en étaient la cause.

Cet épisode survenu en mars 2018 rappelle combien l’entreprise doit savoir gérer sa cybersécurité pour préserver son capital de marque. Or on assiste aujourd’hui à l’explosion d’une délinquance cyberorganisée, inventive et sans frontières. Résultat : les incidents se multiplient et engendrent une perte massive de confiance des consommateurs.

La confiance, voilà donc la clé pour avancer sereinement dans le cybermonde. Celle-ci dépend, notamment, de la capacité des États et des entreprises à renforcer leur collaboration et à rendre attractive cette filière pour les meilleurs talents. Comment gérer les crises ? Comment valoriser les professionnels ? Comment édicter des règles communes ? Comment choisir ses partenaires ?

Autant de questions auxquelles ce livre répond concrètement.

Philippe Trouchaud est associé au sein du cabinet PwC où il est responsable des activités de cybersécurité pour la France et membre du comité de direction mondial dédié à cette activité. À ce titre, il conseille les directions de groupes internationaux et des entreprises du CAC40. Son précédent ouvrage La Cybersécurité au-delà de la technologie a reçu le prix du Forum international de la cybersécurité 2017.

Pascal Andrei, directeur de la sécurité du groupe Airbus, signe la préface de l’ouvrage.

Les droits de ce livre sont reversés à H’Up entrepreneurs qui accompagne les entrepreneurs en situation de handicap.

Le procureur de NYC appelle à renforcer la sécurité des données biométriques et électroniques

Le procureur général de l’État de New York, Eric Schneiderman, demande à l’État de mettre en œuvre ses toutes premières mesures pour protéger les données biométriques collectées par les employeurs et les entreprises contre les cyberattaques, selon un rapport de Times Union.

Schneiderman a présenté un projet de loi qui ajouterait les données biométriques à une actualisation des protections procurées par l’État, suite à un nombre croissant de piratages informatiques de haut niveau des données personnelles confidentielles conservées par les entreprises sur leurs clients.

Intitulée à juste titre « Stop Hacks and Improve Electronic Data Security », la loi s’appliquerait à toutes les entreprises qui obtiennent des informations numériques et biométriques de leurs employés, comme les entreprises qui utilisent des systèmes de chronométrage à base d’empreintes digitales pour enregistrer les heures de travail des employés.

« Il est clair que les lois de New York sur la sécurité des données sont faibles et dépassées », a déclaré Schneiderman, qui avait proposé des lois plus strictes sur les données en 2015, mais qui n’ont pas été approuvées par l’Assemblée législative de l’État. « Il est temps pour Albany d’agir, afin que plus aucun New-yorkais ne soit inutilement victime de faibles mesures de sécurité des données et de pirates informatiques criminels qui sont constamment à l’affût. »

La France a dévoilé ses plans pour une base de données contenant les données biométriques de 60 millions de citoyens

Bien que la législation actuelle impose aux entreprises des exigences en matière de sécurité des données et de déclaration si des données personnelles piratées sont liées à des numéros de sécurité sociale, les entreprises ne sont pas tenues de signaler les infractions impliquant des combinaisons de nom d’utilisateur et de mot de passe ou des données biométriques.

En 2016, le bureau du procureur général a reçu un nombre record de 1 300 notifications d’atteintes à la protection des données, ce qui représente une augmentation de 60% par rapport à 2015.

La loi proposée obligerait les entreprises à mettre en œuvre des mesures de sécurité administratives, techniques et physiques « raisonnables » pour les données sensibles, ainsi qu’à signaler les violations sur d’autres types de données, telles que les données confidentielles sur la santé.

La loi pourrait également offrir une protection juridique aux entreprises qui prouvent à l’État qu’elles ont adopté des mesures de sécurité rigoureuses pour protéger les données sensibles contre les pirates informatiques, tout en exposant les entreprises à faible sécurité à des sanctions potentielles et à des poursuites judiciaires de la part du procureur général. Ces exigences seraient moins strictes pour les petites entreprises de moins de 50 employés.

Zack Hutchins, porte-parole de The Business Council, un groupe de lobbying d’Albany, a exprimé ses inquiétudes face au nombre croissant de cyberattaques perpétrées par des criminels cherchant à voler des données personnelles. Il a déclaré que l’imposition de normes moins rigides aux petites entreprises semble logique, mais il n’est pas sûr de savoir comment une partie de la loi proposée – qui obligerait les entreprises, où qu’elles soient situées, à déclarer toutes les données qu’elles collectent sur les New-yorkais – pourrait être mise en œuvre.

Le projet de loi est parrainé par le sénateur David Carlucci, un démocrate du comté de Rockland, et un membre de l’Assemblée, Brian Kavanagh, un démocrate de Manhattan.

« Le vol d’identité n’est plus une vague préoccupation qui pourrait toucher quelqu’un que nous connaissons ; le scandale d’Equifax en a fait une menace pour chacun d’entre nous », a déclaré Beth Finkel, directrice de l’AARP de l’État de New York.

Poursuivre en justice Equifax à l’aide d’un Chatbot

Plusieurs États à travers le pays envisagent d’adopter la loi de l’Illinois sur la protection de la vie privée en matière de biométrie, étant donné que de plus en plus d’organisations utilisent la technologie biométrique dans diverses applications et que les tribunaux continuent de déterminer les effets potentiellement coûteux des mandats de la loi sur les entreprises.

traduction Thomas Jousse

BiometricUpdate

L’Internet des Objets : promesses et dangers d’une technologie de rupture

Assemblée parlementaire de l’OTAN

Projet de rapport de la STC [081 STCTTS 17 F] présenté par Matej TONIN (Slovénie)*

L’internet des objets (IoT) est une technologie qui fait beaucoup parler d’elle depuis plusieurs années, et ce à juste titre car elle pourrait bien bouleverser la vie moderne telle que nous la connaissons. La planète compte aujourd’hui davantage d’objets connectés que de personnes. En 2016, la population mondiale atteignait 7,4 milliards de personnes, pour 16,28 milliards d’objets connectés (Cisco, 2016). D’ici 2020, entre 30 et 60 milliards de dispositifs seront connectés dans le monde entier (Vermesan et al. 2015; Howard, 2016). L’impact économique de l’IdO représente déjà un total annuel d’environ 2 billions de dollars et, d’ici 2025, le marché mondial de l’IdO pourrait représenter entre 4 et 12,8 billions par an (Fischer, 2015 ; al-Fuhaqa et al., 2015).

* Tant que ce document n’a pas été adopté par la commission de l’économie et de la sécurité, il ne représente que le point de vue du rapporteur

Il y aura 24 milliards périphériques IoT installés en 2020

Selon des chercheurs de Business Insider, plus de 24 milliards d’appareils connectés à Internet seront installés dans le monde d’ici 2020. Pour se mettre dans le contexte, c’est plus de quatre appareils pour chaque personne sur la planète. Ensemble, ces dispositifs comprennent l’Internet des objets (IoT) et sa présence change notre monde en permanence.

L’IoT est la connexion entre le monde physique des humains et le monde numérique des données (et, dans une certaines mesure, des idées humaines). Les ordinateurs, les smartphones, les montres connectées (smartwatches), les tablettes, les téléviseurs modernes et les wearables (technologies portables) font partis des IoT – cette partie est intuitive. Cependant, même des appareils de tous les jours comme les thermostats et les détecteurs de fumée commencent maintenant à afficher des capacités intelligentes, qui les établissent comme membres des IoT. Tout notre système de transport, notre façon de travailler, et même notre façon de socialiser vont changer à cause de l’IoT.

Le gouvernement américain a investi 8,8 milliards de dollars dans les solutions IoT en 2015, une augmentation de 1,1$ par rapport à l’année précédente. Dans le même temps, le prix des capteurs connectés à Internet, dont dépendent la plupart des périphériques IoT, diminue. Cela signifie que le prix des appareils IoT est en baisse, et que plus de personnes peuvent se permettre d’acheter ces appareils.

Les experts en sécurité avertissent le Congrès que l’Internet des objets pourrait tuer des gens
Les États-Unis prennent enfin au sérieux la sécurité sur l’Internet des objets avec ce procès

Au fur et à mesure que l’IoT se développe, des problèmes de sécurité surgiront, ainsi que des problèmes de confidentialité qui pourraient affecter nos droits individuel. Cependant, la croissance de l’IoT entraînera plus d’opportunités pour plus de personnes. Le meilleur moyen de répondre à cette question est de planifier à l’avance ce type de problèmes et d’être prêt à les affronter.

De la fin de la vie privée au transhumanisme, le monde selon Google
C’est officiel. Tout votre historique de navigation sur Internet est maintenant en vente
Amérique, Europe et la libre circulation des données
Fichier PNR : surveillance électronique de masse ou nouveau paradigme de la sécurité ?
La France a dévoilé ses plans pour une base de données contenant les données biométriques de 60 millions de citoyens
Biodata : La révolution génomique du renseignement
Vers une économie politique des données : le pouvoir à l’aune des data
Tous Fichés – Total Contrôle. Internet sous contrôle. Biométrie, le corps fiché. La révolution RFID, les premiers implants.
La fin de la vie privée
Lettres à mes parents sur le monde de demain – « Google : la vie privée est une anomalie »

BI Intelligence, le service de recherche premium de Business Insider, a réalisé une diapositive analysant la croissance des périphériques connectés à Internet – en particulier l’Internet des objets (IoT).

traduction Benjamin Prissé

Les États-Unis prennent enfin au sérieux la sécurité sur l’Internet des objets avec ce procès

L’Internet des objets a dérapé l’an dernier, car des failles de sécurité dans les dispositifs «intelligents» ont exposé des problèmes flagrants avec des objets connectés, comme en octobre où des caméras de sécurité ont été détournées et d’autres appareils électroniques utilisés pour supprimer certaines parties de l’Internet. Maintenant, le gouvernement américain met en garde le monde de l’IoT avec un procès contre le fabricant taïwanais de routeur D-Link alléguant des pratiques de sécurité de mauvaise qualité.

Les experts en sécurité avertissent le Congrès que l’Internet des objets pourrait tuer des gens

La plainte, déposée par la Commission fédérale du commerce (Federal Trade Commission), accuse D-Link de plusieurs failles de sécurité, notamment en rendant les informations de connexion par défaut non modifiables, en laissant les mots de passe des utilisateurs en clair sur ses applications de smartphone et en rendant les caméras et les routeurs vulnérables à un contrôle à distance.

L’action de la Commission est un “avertissement fort” pour les entreprises d’IoT, a déclaré Jeremy Goldman, un partenaire du cabinet d’avocats de Francfort Kurnit Klein et Selz qui se spécialise dans les questions de sécurité des données.

Dans un communiqué de presse, D-Link a déclaré qu’il va se défendre et a qualifié les allégations “injustifiées et sans fondement.”

Le procès attire également l’attention sur la question de la réglementation de l’Internet des objets. Même si la Commission prend des mesures dans ce procès, ce n’est pas nécessairement l’agence gouvernementale américaine chargée de superviser le secteur de l’IoT.

En fait, on ne sait toujours pas qui, exactement, devrait avoir compétence sur ces dispositifs. On peut invoquer une pléthore d’agences à trois lettres, dont la Federal Communications Commission, l’organisme de réglementation des produits alimentaires et pharmaceutiques et l’organisme de réglementation du transport routier, comme le souligne NextGov. La FTC elle-même s’est efforcée de ne pas devenir le premier flic de l’IoT, préférant plutôt que l’industrie naissante s’autorégule, pour ne pas étrangler l’innovation au berceau.

La FTC demande au tribunal d’ordonner à D-Link d’améliorer ses pratiques de sécurité et de payer les frais juridiques de la FTC.

Quartz

Les experts en sécurité avertissent le Congrès que l’IoT pourrait tuer des gens

Les webcams et autres dispositifs branchés à Internet mal sécurisés sont déjà utilisés comme armes dans les cyberattaques. Le gouvernement peut-il empêcher que cela ne devienne un problème catastrophique ?

Par Mike Orcutt – 5 décembre 2016, MIT

La masse croissante de dispositifs mal sécurisés sur l’Internet des objets représente un risque sérieux pour la sécurité des personnes et des biens matériels, et le gouvernement doit agir pour l’atténuer. Voilà essentiellement les propos que des éminents experts en sécurité informatique ont récemment tenus au Congrès.

L’attaque fulgurante de déni de services (DoS) déclenchée en octobre et qui a paralysé le fournisseur d’infrastructures Internet Dyn et mis KO une grande partie du Web pour les usagers de l’Est des États-Unis était « bénigne » selon les dires de Bruce Schneier, réputé chercheur en matière de sécurité et conférencier sur la politique publique à Harvard, lors de la dernière audience tenue par le House Energy and Commerce Committee. Il n’y a pas eu mort d’homme, mais il a ajouté que l’attaque, menée par un réseau de bots informatiques (Botnet) constitué de caméras Web, de caméscopes, de moniteurs pour bébés et autres dispositifs piratés, nous montre les « risques catastrophiques » que comporte la prolifération d’objets non sécurisés sur Internet.

Par exemple, Schneier et d’autres experts ont souligné que cette même sécurité précaire existe dans les ordinateurs des hôpitaux, y compris dans ceux utilisés pour gérer les ascenseurs et les systèmes de ventilation. On peut imaginer sans peine un possible désastre fatal, soulignant l’urgence du gouvernement de prendre les choses en main pour remédier à cette « lacune du marché », selon Schneier.

Les problèmes des dispositifs IoT s’aggravent en raison du manque d’intérêt des manufacturiers envers la priorisation de la sécurité. Même si les consommateurs souhaitaient le faire, il n’existe aucun moyen d’évaluer le niveau relatif de sécurité d’un thermostat ou d’un autre dispositif branché à Internet.

À peu près tout le monde s’entend pour dire que le gouvernement devrait agir face à cette situation, puisque bon nombre de systèmes indispensables sont vulnérables aux attaques comme celle qui a frappé Dyn. La façon dont le gouvernement devrait traiter cette situation fait cependant l’objet d’un intense débat à Washington, qui ne sera pas réglé avant le début du mandat du président élu Donald Trump. Des groupes d’entreprises comme la U.S. Chamber of Commerce et la Consumer Technology Association allèguent que de nouveaux règlements visant les dispositifs IoT pourraient entraver l’innovation.

Schneier avance que nous avons besoin d’un nouvel organisme chargé des règles en matière de cybersécurité. Ce qui semble peu probable, puisque Trump avait établi sa campagne sur la vaste promesse de faire marche arrière dans les règlements et que les républicains sont généralement opposés à toute expansion du gouvernement. Mais si une catastrophe survenait, le public apeuré exigerait probablement que quelque chose soit fait, et le gouvernement devrait y être préparé, a-t-il averti les membres du comité.

Quelle est l’ampleur du risque? Colossale et croissante, affirme Kevin Fu, professeur en informatique et en ingénierie de l’Université du Michigan spécialisé en cybersécurité. Non seulement les dispositifs IoT sont implantés dans des « endroits névralgiques à conséquences directes, comme des hôpitaux », souligne Fu, mais des millions de ces appareils peuvent aisément être piratés et réunis en d’énormes réseaux de botnets, armées d’ordinateurs zombies pouvant être utilisées par des adversaires pour affaiblir des institutions ciblées.

Fu, qui a également témoigné à l’audience du comité, estime que sans « changements significatifs en matière de cyber-hygiène », on ne peut se fier à Internet pour soutenir les systèmes névralgiques. Il recommande que le gouvernement mette sur pied une entité indépendante chargée d’évaluer la sécurité des dispositifs IoT. Cette évaluation devrait comprendre des tests avant mise sur le marché comme les essais de collision automobile effectués par la National Highway Traffic Safety Administration, des tests après collision similaires à ceux que le National Transportation Safety Board effectués à la suite d’accidents de voiture, et des essais « de survivabilité et de destruction » pour évaluer la façon dont les dispositifs gèrent les attaques, fait valoir Fu.

Nous ne savons pas encore si l’administration Trump ou le prochain Congrès priorisera le dossier des risques liés à l’IoT. Alors, que peut faire le gouvernement d’ici là ? Le mois passé, le département de la Sécurité intérieure a publié un ensemble de « principes stratégiques pour sécuriser l’Internet des objets » et a suggéré que le gouvernement pourrait poursuivre en justice les fabricants qui omettent d’« intégrer à la conception un dispositif de sécurité ». Le même jour, le National Institute of Standards and Technology, qui publie des normes industrielles pour nombre de secteurs de la technologie, a émis des directives volontaires pour la conception de systèmes connectés « plus défensifs et aptes à survivre ».

Pendant ce temps, tout nouvel ordinateur connecté, que ce soit dans une voiture, un drone, un dispositif médical ou dans l’un des innombrables autres gadgets et systèmes, est exposé à ces risques; d’où le besoin d’un organisme de réglementation centralisé, selon Schneier : « Nous ne pouvons pas avoir des règles différentes si l’ordinateur a des roues, ou des hélices, ou pour celui qui fait des appels téléphoniques, ou est implanté dans votre corps. »

Traduction Stéphanie S.

MIT Technology Review


La GSM Association (GSMA) a publié le 9 février 2016 un ensemble de documents dont l’objectif est d’apporter plus de sécurité à l’Internet des Objets.

Download Overview Document

Download Service Ecosystem Document

Download Endpoint Ecosystem Document

Download Network Operator Document

Download zip pack containing all documents

Trump ajoute un vétéran de l’industrie biométrique à son équipe de transition

Selon un rapport de la FCW, le président élu Donald Trump a nommé Michael T. Dougherty, actuellement PDG de l’Association de la sécurité des identités et de la biométrie (SIBA-Secure Identity and Biometrics Association), comme membre de son équipe de transition, avec la responsabilité du Département de la sécurité intérieure.

Le processus de transition, régi par la loi sur la transition présidentielle, assure le transfert harmonieux du pouvoir exécutif. Dougherty fournira des conseils stratégiques à l’administration Trump entrante, qui a complété le système biométrique de suivi des visas d’entrée et de sortie, maintenant en phase de projet pilote, un élément clé de sa politique d’immigration proposée.

Dougherty compte plus de 20 ans d’expérience dans le domaine juridique et politique au sein du gouvernement fédéral. Au Department of Homeland Security (DHS), il a été nommé ombudsman des services de citoyenneté et d’immigration des États-Unis où il dirigeait un bureau de 27 professionnels avec un budget de 6,5 millions de dollars.

M. Dougherty a été Conseiller législatif auprès du Sénateur Jon Kylon, comité judiciaire du Sénat et, auparavant, Conseiller principal en matière de politiques au Quartier général du DHS. Il a également été avocat plaidant auprès du Bureau du litige en matière d’immigration du ministère de la Justice (DOJ) et avocat spécial adjoint des États-Unis dans le district oriental de la Virginie.

Immédiatement avant de devenir directeur général de SIBA, il a été directeur du développement commercial des programmes de sécurité intérieure de Raytheon. Il a été chargé de lancer et de soutenir les activités menées dans les marchés de la patrie et de la sécurité publique et de mener des efforts de collaboration entre les entreprises pour apporter des produits et des services distincts aux ensembles de missions civiles. Il a également représenté Raytheon comme un chef de pensée, a écrit des livres blancs et a parlé aux événements américains et internationaux. Il a également travaillé à l’évaluation des technologies tierces à des fins d’investissement.

À la SIBA, Dougherty est responsable de la sensibilisation aux technologies, aux services et aux processus qui pourraient sécuriser et améliorer les voyages, les frontières, les soins de santé, l’application de la loi, les transactions commerciales et la gestion des situations d’urgence. SIBA est un groupe à but non lucratif qui promeut la valeur des technologies d’identité sécurisées et des solutions biométriques. Ses membres, Unisys, General Dynamics Mission Systems, Leidos, Identify, RiVidium, NEC, Advanced Optical Systems et Disaster Solutions, partagent un intérêt commun pour la biométrie, la gestion de l’identité, la cyberprotection et l’assurance de la mission.

L’association est actuellement en processus de rebranding et sera appelée “Identification Technology Association (IdTA)” (Association de technologie d’identification) dans un futur proche.

Biometric Update