Préoccupations majeures des Dirigeants la sécurité et la confidentialité des données dans le Cloud ont été les sujets de plusieurs manifestations la semaine passée.
Ainsi, IDC organisait une tableronde sur le sujet : « Sécurité, une raison suffisante pour ne
pas investir dans le Cloud... ou bien, au contraire, un motif d’adoption ? »
mardi dernier, alors que les Assisesde la Sécurité et des Systèmes d’Information fêtaient leurs 15 ans du 30
septembre au 3 octobre à Monaco. Enfin, le Club Cloud DSI organisé à l’initiative
d’Aspaway s’est réuni mardi 29 octobre pour débattre à propos de la sécurité
dans le Cloud ; ce sont plus d’une vingtaine de DSI qui ont partagé leurs
expériences et confronté leurs points de vues.
En attendant le compte-rendu de la soirée et la synthèse des
débats (disponible prochainement sur le site du Club Cloud), je vous propose de découvrir une petite
animation présentée mardi soir qui revient sur le cas Ashley Madison : cet
été, des pirates informatiques ont pénétré les systèmes d’information d’Avid
Life Media, entreprise canadienne propriétaire du site « Ashley
Madison ». Les pirates réclamaient la fermeture du service sous peine de
rendre publiques les données confidentielles concernant les utilisateurs.
Quelles-ont été les conséquences pour l’entreprise ? Pour les utilisateurs
du service ?
Le cas Ashley
Madison
Un mois après avoir pénétré le SI d’ALM, les pirates mettent
leurs menaces à exécution : ce qui constituait une faille de sécurité
tourne au scandale médiatique de l’été. En effet, « Ashley Madison »
est le leader américain des rencontres… extraconjugales.
Ce sont plus de 32
millions de membres qui ont vu leur identité révélée et leurs données
personnelles accessibles.
Les pirates ont tout d’abord posté plusieurs fichiers
représentant un total de 9,7 Go de
données, sur des sites de téléchargement. Nom, prénom, email, adresse,
téléphone, … mais aussi numéros de cartes de crédit ou encore préférences
sexuelles… l’affaire a vite pris de l’ampleur une fois les données relayées sur
les réseaux sociaux et dans la presse.
Quelles-en sont les conséquences ?
Au-delà de l’image ternie de l’entreprise qui garantissait
soit disant un service 100% sécurisé à ses abonnés, les utilisateurs dont la
vie privée a été étalée se sont retournées contre Avid Life Media. Au total,
les plaignants réclament 509 millions
d’euros de dédommagement.
Parmi les emails publiés, 15 000 adresses appartenant à des membres du Gouvernement
(.gov) ou de l’armée (.mil)… mais également 1200 adresses en .sa pour Arabie Saoudite, où l’adultère est
passible de peine de mort.
L’analyse des données publiée à notamment révélé qu’Avid
Life Media conservait une partie des données concernant des profils fermés…
alors même que ces utilisateurs avait souscrit à une option payante censée
effacer toute trace de leur passage sur ce site.
Avid life Media a promis une récompense de 500 000 $CAD
soit 325 000 € à quiconque
permettra d’identifier les hackers.
Ce groupe, à priori extérieur à l’entreprise a déclaré
s’être attaqué au service pour une question morale. Interrogés sur
d’éventuelles nouvelles attaques, ils ont répondu qu’ils ne se limiteraient pas
aux sites de rencontre mais cibleraient à l’avenir « toute société qui
fait des centaines de millions de profits sur la douleur des autres, les
secrets et les mensonges ». Et concernant le cas « Ashley
Madison », les pirates ont affirmé détenir 10 fois plus de données, parmi lesquelles des dizaines de milliers
de photos collectées dans les profils (1/3 à caractère pornographique) et des
échanges emails d’employés ainsi que des documents du réseau interne.
Polémique sur les
voitures connectées après le piratage d’une Jeep Cherokee
2ème cas dans l’actualité récente, le piratage à
distance, d’une Jeep Cherokee cet été. Une vidéo montre comment 2 chercheurs
américains ont réussi à prendre le contrôle du véhicule.
Avec cette démonstration, ils souhaitent mettre l’accent sur
les risques créés par la multiplication des outils informatiques connectés à
Internet dans les voitures. Dans ce cas précis, Charlie Miller et Chris Valasek
se sont appuyés sur le système Uconnect, « un ordinateur connecté à Internet
présent dans des centaines de voitures Fiat Chrysler et camionnettes, qui
contrôle la navigation et les outils multimédias du véhicule, permet de
téléphoner et offre même un hot spot Wi-Fi ».
Ils ont exploité une faille permettant d’entrer dans ce
système, à condition de connaître l’adresse IP de la voiture et de passer par
le réseau d’un opérateur mobile spécifique. Une fois dans Uconnect, les deux
chercheurs ont trouvé le moyen d’accéder à d’autres systèmes informatiques du
véhicule et de s’attaquer ensuite à ses mécanismes physiques comme les freins
ou le moteur.
Sur l’autoroute puis sur un parking, ils parviennent par
exemple à allumer la radio, à monter le volume au maximum et à faire marcher
les essuie-glaces sous les yeux du conducteur impuissant. Bien plus grave : ils
réussissent à couper le moteur, laissant le chauffeur incapable de redémarrer
le véhicule.
Lors d’une seconde démonstration sur un parking, ils
parviennent à couper les freins de la Jeep, ce qui envoie la voiture dans un
petit fossé. Dans certaines conditions, les deux chercheurs sont même capables
de prendre la main sur le volant.
Suite à la diffusion de cette vidéo, 1.4 millions de véhicules ont été rappelés en
usine.Enfin, selon Gartner, environ 150 millions de voitures connectées seront
en circulation dans le monde en 2020.
En savoir plus sur http://www.lemonde.fr/pixels/article/2015/07/22/deux-chercheurs-parviennent-a-pirater-une-voiture-a-distance_4694137_4408996.html
Ce film était le point de départ
d’une réflexion sur la sécurité des données que nous mettons dans le Cloud
volontairement ou non, puisque nos données personnelles transitent également
via les objets auxquels nous sommes connectés. Potentiellement, tout objet
relié à internet est vulnérable d’où l’importance de développer une politique
de sécurité au niveau de l’entreprise, politique qui sera testée régulièrement
et renforcée par des scénarios tests permettant d’anticiper et d’être plus
efficaces lors de la gestion de crise.
Vous êtes DSI et les sujets liés à la Sécurité, la protection
et la confidentialité des données vous intéressent ? Retrouvez la liste
des prochains diners organisés par le Club Cloud DSI et inscrivez-vous sur noslistes d’attente, ou contactez directement un de nos conseillers via notre formulaire de contact.
Virginie Kiener
@vkiener
Virginie Kiener
@vkiener