sécurité

All posts tagged sécurité

21 février 2009, RSR, Forum: Interview de Stéphane Koch, président de l’Internet Society Geneva: Une autre question s’ajoute à cette affaire UBS: elle est plus technique et concerne ces fameux 52’000 comptes secrets de l’UBS réclamé par le fisc américain. Comment et par quel procédé le gouvernement Obama a-t-il pu les identifier ?


UBS 52 000 comptes découverts : Quelle sécurité de l’information pour les établissements bancaires ? Quelle stratégie pour la place financière Suisse ?

La situation économique et les coûts des divers plans de relances poussent les gouvernements à essayer de récupérer des capitaux par tous les moyens. C’est donc en toute logique, que l’on assiste à un renforcement global des contrôles au niveau de la défiscalisation. Mais sous le couvert de ces mesures, il ne faut pas uniquement voir la volonté des états de reprendre contrôle sur une partie de la masse fiscale qui leur échappe. C’est aussi une guerre économique sans merci qui est en train de se livrer.

Il ne faut pas oublier que le fisc allemand via son service de contre-espionnage a obtenu les comptes de 3000 de clients de la banque LGT au Liechtenstein. Suite à cette affaire, LGT a vu ses entrées d’argent (Net New Money) chuter à 335 millions au cours des six premiers mois de l’année 2008, alors qu’ils se montaient à 6,2 milliards un an plus tôt…

La conjoncture économique actuelle offre un contexte idéal pour exercer des pressions fortes sur la place financière suisse, et ceci part des pays dont les systèmes bancaires et fiscaux sont loin d’être des exemples. Il est en effet plus facile de diriger l’attention sur la Suisse, que de mettre en oeuvre les réformes nécessaires au niveau de leurs propres systèmes. Comme le martèle l’ONG anglaise « Tax Justice Network (TJN) » l’Angleterre, avec ses paradis fiscaux, comme les British Virgin Islands (B.V.I), Jersey, Guernesey, etc. et son système bancaire permissif et peu coopératif en matière d’entraide au niveau européen, devrait balayer devant sa porte avant de se poser en donneur de leçons. L’Amérique, quant à elle, n’a pas de leçons à donner, avec ses propres paradis fiscaux (Delaware, Wyoming, Nevada), elle aussi maintes fois refusé de réformer son système comptable et financier, qui est un des éléments constitutif de l’instabilité économique actuelle. Les États-Unis ont eux aussi leur système « légal » de défiscalisation, le « Leaseback, » (sale-and-leaseback : opération financière, où l’on vend un actif et le loue pour un retour à long terme). En bref, chaque pays possède son propre système, et la régulation du système bancaire et fiscal mondial doit être pensée au niveau international. Il est donc indispensable de prendre en considération que dans la conjoncture actuelle chaque état a un intérêt économique et stratégique dans les différentes prises de positions auxquelles on assiste aujourd’hui.

La sécurité interne des banques est devenu un enjeu primordial.

En plus des aspects traditionnels de la sécurité de l’information relatifs aux infrastructures (sécurité des systèmes d’information, stockage des données, gestion et sécurisation des supports électromagnétique – disques durs, clés USB, laptops, droits d’accès), la sécurité des flux d’information (les données transportées par le réseau informatique, et celles auxquelles les employés accèdent) et la sécurité humaine représentent un risque dont un certain nombre de banques et d’entreprises ne semblent pas avoir saisi la portée.

La sécurité des flux d’information est basée sur la maîtrise du patrimoine informationnel de l’entreprise. Cette maîtrise se base sur la capacité à identifier en temps réel et de manière dynamique, la nature et le type de données qui sont traitées au sein de l’entreprise par ses employés. Tout comme si la nature et le type de données correspond aux droits de gestion attribués à la personne qui les manipule, et si le volume traité correspond à l’usage qui en est attendu.

L’incertitude économique fragilise la sécurité de l’information au niveau humain.

La sécurité au niveau humain doit prendre en compte l’employé comme une personne multiple et complexe, en prise avec les problèmes et les contraintes de notre société. Que cela soit au niveau affectif, social ou économique. De plus, l’employé, qu’il soit cadre, manager ou exécutant, développe une « relation » avec « son » entreprise, au même titre qu’une relation avec un conjoint. Bien que dans le cas de l’entreprise les éléments constitutifs de cette relation soient en majeur partie rationnels, lors d’une « rupture » de la relation professionnelle, le ressenti humain est identique à celui d’une rupture avec un conjoint : émotionnel et irrationnel. Les vagues de licenciements dans le secteur bancaire vont d’autant plus exacerber les pulsions émotionnelles (représentations de soi, sentiment d’injustice, frustration, incertitudes économiques), et de facto créer une situation favorable à des agissements irrationnels ou délictueux. C’est d’ailleurs ce que démontre une étude récente menée par le «Ponemon Institute» aux États-Unis sur 945 employés : 60 % des personnes interrogées seraient prêtes à subtiliser des données appartenant à leur entreprise si elles venaient à être licenciées. En suisse, plusieurs banques ont déjà été victimes de chantage, menacées ou mises en cause par des employés en poste ou licenciés. Les « anciens employés » fraîchement licenciés représentent une mine d’information considérable pour des concurrents ou pour des services fiscaux étrangers – dont il n’est plus nécessaire de prouver, après l’affaire LGT, qu’ils sont prêts à recourir à tous les moyens pour arriver à leurs fins. Il serait en effet facile de monter un cabinet de conseil en ressources humaines et d’auditer des candidats puisés dans les « dommages collatéraux » de la crise économique actuelle.

Une parenthèse sur les réseaux sociaux.

Les réseaux sociaux, tels que LinkedIn, Viadeo, Plaxo ou encore Facebook, permettent d’identifier facilement des cibles potentielles. Par exemple, si on utilise l’outil publicitaire de Facebook qui permet un ciblage par mots-clés (âge, sexe, entreprise, situation amoureuse), avec le terme UBS on peut savoir qu’il y a 2120 personnes qui mentionnent l’établissement au niveau professionnel, suite à cette démarche on peut utiliser l’outil de recherches avancées pour les identifier nommément. Autre exemple : sur le réseau professionnel LinkedIn, on obtient un résultat non exhaustif de 28 541 personnes mentionnant l’UBS comme référence (actuelle ou passée), et peux accéder sur la « page UBS » (crée par LinkedIn) avoir accès à des catégories telles que « Nouvelles embauches ; Promotions récentes et mouvements ; Profils les plus consultés ; Anciens employés ».

Les risques de fuites informationnelles indirectes.

Les banques sont obligées de vérifier la qualité de leurs clients et autres ayant droits économiques dans le cadre de la loi sur le blanchiment d’argent. Pour effectuer ces vérifications elles (les banques) utilisent des services spécialisés (bases de données) sur les "personnes politiquement exposées" telle que Worldcheck. Ces bases de données peuvent être consultées soit par abonnement ou bien le téléchargement complet de sa base de données. Dans le cas d’un abonnement toutes informations sur les personnes recherchées sont autant d’informations données au détenteur du service, et dans la plupart des cas les détenteurs sont anglo-saxons. Mais les recherche effectuées par les employés avec Google ou avec d’autres services en lignes sont autant d’informations qui peuvent être collectées…

La sécurité de l’information englobe la maîtrise du périmètre informationnel.

La notion de périmètre informationnel prendra en compte tous les éléments et aspects liés à l’identité et l’image de l’entreprise et sa présence virtuelle ou réelle. L’évolution des technologies a permis le traitement en masse d’informations hétérogènes (datamining). Le Web tel que l’on le connaît et on l’utilise aujourd’hui, prédispose à la collecte d’informations. Ce Web collaboratif a permis de vulgariser la création de contenu. La prolifération des services accessibles par un navigateur, le fait que ceux-ci reposent sur des bases de données, a créé des liens forts entre les personnes et les informations publiées.  Ces liens et la qualité du profilage qui en résulte ont encore été renforcés par la multiplication des bases de données comportementales des sites d’e-commerce et des réseaux sociaux.

1.Par exemple à l’extérieur de la banque :

Aux États-Unis, le "Patriote Act" (Loi pour unir et renforcer l’Amérique en fournissant les outils appropriés pour déceler et contrer le terrorisme) permet de surveiller tous les accès aux données numériques – comme les connexions aux sites web des banques, à ceux de services financiers auxquels leurs clients pourraient accéder, aux emails échangés par les brokers et autres contacts avec leurs clients. Il serait naïf de penser que la mise en place de codes « humains » visant à anonymiser les échanges d’emails entre les banques et leurs clients puisse en garantir la confidentialité, seul un cryptage fort permettrait de le faire.  Les appels des téléphones mobiles et fixes sont aussi interceptables (grâce aussi au système Echelon entre autres). Les réseaux sociaux (précédemment cités) sont aussi de précieuses sources d’information. Tout comme les informations collectées au niveau des personnes, survolant ou transitant par les États-Unis (Accord PNR, Passager Name Record) et à ceux qui y séjournent (US Visit, collecte des donnés biométriques obligatoires à la douane). La mise en relation de ces différents types d’informations par le biais d’outils de profilage, permet d’identifier avec beaucoup de pertinence des informations ciblées. À ce titre les clients qui changeront de banque vont créer du « bruit » en termes d’information, ce qui permettra d’en identifier un certain nombre qui étaient restés discrets jusqu’à ce jour.

Une parenthèse sur SWIFT.

Swift est un réseau mondial d’échange interbancaire créé en 1977, sert d’intermédiaire entre plus de 8 330 institutions bancaires dans 209 pays, dont le siège est en Belgique. Swift dispose de deux bases de données identiques pour éviter toute perte d’information en cas d’incident. L’une de ces bases de données est en Belgique tandis que l’autre est hébergée aux États-Unis. Depuis 2002, le renseignement américain a eu accès aux informations stockées par Swift-USA (dans le cadre de la lutte contre le terrorisme). On ne peut pas garantir que certaines données n’ont pas été utilisées dans un spectre plus large que celui de la lutte contre le terrorisme.

La création d’un Think Tank.

Il est primordial non seulement d’avoir une capacité d’anticipation dans le contexte globalisé de l’information. Mais le contexte économique et concurrentiel impose aussi d’avoir une capacité offensive en termes de gestion de l’information. Développer cette capacité repose non seulement sur une analyse stratégique performante, mais aussi sur une capacité de détection des signaux d’alertes inhérents aux changements en cours et à venir et à l’identification des risques informationnels et concurrentiels qu’ils génèrent. La Suisse, sa place financière, doivent dorénavant être gérés comme des marques. Et à ce titre être capable de défendre les valeurs qu’elles véhiculent. Il est évident que les structures actuelles, que cela soit celle de la FINMA ou celle du Conseil Fédéral, ne correspondent pas à la compétence nécessaire pour gérer des crises telles que celle que la place financière Suisse est en train de traverser. Il faut créer une entité indépendante de la sphère politique et du décisionnel bancaire. Un « Think Tank » dont la mission serait l’évaluation des risques présents et à venir pour la place financière suisse, ses secteurs économiques et stratégiques, ou pour sa réputation. Ce « Think Tank » devrait produire des recommandations sur les risques détectés et les meilleures manières de les appréhender pour les acteurs concernés. Être en mesure d’agir de manière offensive et indépendante que cela soit par le biais d’Internet, des médias traditionnels ou d’action en justice en dehors des frontières nationale.

Stéphane Koch

 

Le Grand 8, Du lundi au vendredi de 7h59 à 8h30 | Une émission de la Radio Suisse Romande(émission du 04.02.09) Les Genevois se prononcent ce week-end sur le vote par internet. L’occasion de tout entendre sur les avantages, mais aussi sur les dangers du système.

Pour faire court, de nombreux observateurs craignent que les votes disparaissent dans une boîte noire où rien ne sera plus assuré: ni sécurité, ni transparence, ni anonymat, ni traçabilité. Bref, un système que nous serons incapables de comprendre et de vérifier par nous-mêmes.

Le Grand 8 décortique le volet technique de ce vaste dossier. Internet est-il fiable pour le vote électronique? Pourquoi ne le serait-il pas, dès lors que nous gérons nos factures, nos paiements, nos comptes en banque en ligne? Pourquoi les échanges de données réputés sûrs dans le monde bancaire ne le seraient-ils pas pour le e-voting?

Quelques années après les premiers pas du commerce électronique, Internet véhicule toujours son lot de peurs et d’angoisses. Sont-elles toujours fondées? Comment vivre avec? Nous faut-il simplement accepter l’idée que le risque zéro n’existe pas… et faire confiance, tout simplement? Les dangers de la toile, mythe et réalité.

Intervenants:

  • Solange Ghernaouti, professeure à l’Institut des systèmes d’Information, Université de Lausanne
  • Stéphane Koch, conseiller en intelligence économique et gestion stratégique de l’information
  • Vincent Bieri, Co-fondateur de Nexthink.com, lauréat du prix de l’innovation des Assises de la Sécurité
  • Sami Coll, sociologue à l’Université de Genève

Grand 8, page de l’émission: [lien]

(Forum du 22.01.09) Les citoyens genevois voteront le 8 février sur le principe du vote par internet. Le cœur du débat, c’est la question de la sécurité.

Peut-on faire confiance à son ordinateur et au réseau internet à l’heure où les pirates informatiques sèment la panique sur les transactions bancaires ou les sites officiels de l’Etat ?

Forum a ouvert le débat avec deux spécialistes, José Nunes, président du GULL, groupement des utilisateurs de Linux et de logiciels libres face à vous, et Stéphane Koch, président l’internet Society Genève.

 

RSR, Les Chroniqueurs, La 1èree-voting, le débat occupe à nouveau le devant de la scène politique et médiatique, et on peut dors et déjà constater que la représentante des vert n’est sont pas encore mûre pour les nouvelles technologies… Vendredi passé, sur le plateau de la TSR, elle alléguait que "la Suisse était au centre des tests des hackers" … Elle parlait sûrement des pirates informatiques.

Bref… Sachez Madame que c’est grâce aux hackers si on a été averti de failles de sécurité dans les nouveaux passeport biométrique ou dans des systèmes de paiement… En fait, chers Élus, de tous bords, les hackers sont quasiment les seuls à pouvoir vous aider à sécuriser votre système de vote électronique.

Comme le dit Guy Metan, il faut que la sécurité soit au centre du débat, mais alors pourquoi Monsieur le chancelier d’état a imposé un accord de non divulgation concernant la découverte de failles de sécurité dans le e-voting… Si ce n’est pour empêcher qu’elles soient rendues publiques.. Merci, quelle transparence vis-à-vis du citoyen !!!  Moi je vous le dis… la meilleurs manière de protéger la démocratie… c’est de la sortir des mains du politique…

Le pire dans tout ça, c’est que le débat autour du vote électronique, obscurcit celui de la signature électronique – entrée en vigueur en 2005… Imaginez… Pétition, référendum… initiative.. la capacité de collecter des dizaines de milliers de signatures en quelques click de souris…

Là, je me mets subitement à rêver… Enfin un vrai système de démocratie directe, sans intermédiaires… que l’on puisse enfin se passer des partis et prendre position, ou plutôt, pétition, sur des idées, et non sur des idéologies…

Et du rêve, je passe carrément à une vision utopique de notre société démocratique, dans laquelle on aurait un système de vote électronique à deux voix : une pour élire et l’autre pour désigner celui que l’on ne veux pas voir être élu… Je vous promets des records d’affluence aux urnes… électronique…

RSR, Les Chroniqueurs, La 1èreHier, dans le cadre de la conférence hacker DEFCON… On aurait dû assister à la Présentation d’une faille de sécurité dans le système de paiement des transports publics de Boston… J’ai bien dit : On aurait dû… Parce que cette présentation a finalement été interdite par les autorités… C’est donc dans le plus grand secret que je vais vous en parler… Le système de paiement des transports publics de Boston est basé sur l’utilisation des puces MIFARE, appelées communément puces RFDI ou technologie à radio identification.

La fiabilité de ces puces MIFARE a été remise en cause à de maintes reprises par la communauté hacker et nombre de spécialistes de la sécurité.

D’ailleurs, il y a quelques jours, un hacker mandaté par "Le Time" a fait la démonstration qu’avec 120 dollars, il avait été capable de falsifier les informations contenues dans la puce RFID, sensée protéger l’inviolabilité des nouveaux passeports biométriques… Bien sûr les puces RFID de ces passeports sont les même que celles qui sont utilisées par les transports publics de Boston…

La société NXP qui produit ces puces RFID Mifare a aussi essayé d’interdire que les faiblesses de sa technologie soient rendues publiques, mais un juge en a décidé autrement… Fort heureusement…

L’obscurantisme n’est pas une solution, si ça peut fonctionner en politique, ou au niveau du marketing, ce n’est pas le cas de la technologie car celle-ci repose sur le niveau de savoir… et seul le savoir peut s’opposer au savoir… Au fait, j’avais oublié de vous dire que tous les détails de la faille de sécurité des transport publics de Boston sont disponibles sur Internet ainsi que sur mon compte Facebook.

The document describing the vulnerability :
http://blog.wired.com/27bstroke6/files/vulnerability_assessment_of_the_mtba_system.pdf

The slides of the presentation the authorities forbid:
http://www-tech.mit.edu/V128/N30/subway/Defcon_Presentation.pdf

RSR, Les Chroniqueurs, La 1ère

Il y a une différence entre faire la bombe et jouer avec le feu …Souvenez-vous le mois dernier dans le cadre de l’affaire Tinner, quand Messieurs Couchepin et Schmid.. nous ont assuré avoir ordonné la destruction de 30’000 documents liés à un trafic nucléaire… Dans l’unique intérêt du pays…Et non pas pour couvrir les activités de la CIA en Suisse … Pas la caisse de prévoyance bien sûr, mais les services de renseignement américain… Un des principaux arguments avancé étant que ces documents pouvaient tomber entre de mauvaises mains… A croire qu’il n’y aie que le secret bancaire que l’on sache protéger en suisse…

Les journaux étrangers ont affirmé, quant eux, que des liens existaient bien entre les frères Tinner et la CIA – Évidemment… Ce ne sont là que des propos de journalistes… Et il est de notoriété publique que c’est le politique qui dit la vérité… Toutefois, saviez-vous que selon une étude, on mentirait entre 6 et 2000 fois par jour, ce qui signifie que l’ensemble de nos conseillés fédéraux pourraient mentir quotidiennement jusqu’à 14’000 fois, ça représenterait un potentiel annuel de plus de 5 millions de mensonges..!! Bon d’accord j’exagère… je n’ai pas déduit les jours fériés…

Cependant, Pour être sûr que ces documents sensibles ne puissent nuire à ma mère-patrie, j’ai décidé de mener ma propre enquête… Mais compte tenu du climat sécuritaire actuel, il fallait que je fasse preuve de prudence.. Donc, pour rechercher les traces d’éventuels plans de bombe nucléaire sur Internet, J’ai utilisé la connexion Internet sans fil de mon voisin, comme il avait oublié de la protéger ça tombait bien.

Bien que jusqu’à ce jour mes recherches aient été infructueuses… Je ne vais pas baisser les bras, d’ailleurs, je crois que par patriotisme, je vais dénoncer mon voisin, il nous a tous fait courir des risques… Cet inconscient…

Liens en rapport avec le sujet:

 


Après l’interdiction des couteaux et des liquides dans les avions, bientôt des shérifs en vrai ! Et si les Américains avaient raison ?
Après le bannissement des liquides sous toutes les formes possibles et imaginables, l’interdiction des couteaux, les formulaires inquisiteurs, les fouilles des bagages à main et des corps, voilà que l’administration américaine pose de nouvelles exigences à l’Europe : Washington demande que des shérifs armés puissent prendre place dans chaque vol à destination des Etats-Unis ou qui survoleraient le pays.

Il est également demandé aux compagnies aériennes européennes de fournir les données de toute personne admise dans la zone d’embarquement, présente pour accompagner un passager malade ou un enfant.

De son côté, l’Union européenne va constituer dans les années à venir un registre avec les données biométriques de tous les voyageurs étrangers. A ce rythme-là, nous seront bientôt tous fichés. Oui, et alors ? Et si ces mesures permettaient, comme le pensent les Etats-Unis et maintenant l’Union européenne, effectivement, de rendre le monde plus sûr ? Les citoyens honnêtes n’ont, paraît-il, rien à cacher.

Toujours plus de mesures de sécurité et pourtant le sentiment d’insécurité ne diminue pas !
Caméras de surveillance, patrouilles de police, contrôles, etc… les moyens déployés pour assurer la sécurité des citoyens n’ont jamais été aussi importants. Pourtant en Suisse, la population, particulièrement les femmes et les personnes âgées, éprouvent toujours un sentiment d’insécurité, alors même que la violence n’augmente pas forcément.

Ce sentiment est décuplé par les faits divers, largement relayés par les médias, comme celui survenu au Tessin la semaine dernière. Alors que fait la police ? Comment peut-elle répondre aux attentes de la population ? En jouant la carte de la proximité, par exemple ?

Grand 8, page de l’émission: [lien]