Newsletter n°75 – décembre 2014

 

Edito

Actualités :
Grand évènement de l'atelier sécurité de Forum ATENA le lundi 12 janvier 2015 après-midi à Paris
Académie d'économie digitale et de cybersécurité
L'environnement sans fil, de plus en plus difficile à protéger
Cloud en Europe, une stratégie se dessine

Les top tweets de Forum ATENA en décembre

Agenda

     

Edito

Ne laissons pas les surveillants sans surveillance !
NSA, Snowden, 2014, comme 2013, aura été une année de crainte et l’ambiance de suspicion, qui  continue de détruire la confiance dans le monde numérique, et donc dans l’avenir de notre société.

Quelques mots pour faire un point, prendre le temps de la réflexion :
La Loi de programmation militaire, promulguée il y a un an, autorise en France la surveillance des individus, sans que la justification et le contrôle mis en place ne soient suffisants, et donc rassurants, puisque la justice dont c’est le rôle a été écartée.
La NSA surveille l’essentiel des échanges d’information sur réseaux électroniques dans le monde, Internet, téléphonie fixe et mobile, comme CIA et ailleurs la DGSE, DST et DCRG.
Je ne conteste pas l’utilité de ces services, je conteste le cadre insuffisamment strict de leurs missions, et le fait qu’ils sont très insuffisamment contrôlés par une autorité judiciaire indépendante, ou pas du tout !

La surveillance exercée par les Facebook Apple, Google et autres n’est pas fondamentalement différente de celle des services d’État, ils nous veulent tous du bien !
Et que dire de trop nombreuses applications mobiles, qui selon une nouvelle étude INRIA / CNIL, nous surveillent et communiquent nos déplacements, jusqu’à une fois par minute … si ce n’est pas de la surveillance …
La principale cause de toutes ces surveillances est la formidable capacité des technologies actuelles. 
Devant cette formidable puissance, l’Homme se doit à la retenue, à la mesure, à la recherche d’équilibre entre moyen et finalité. L’Histoire nous a déjà trop illustré les conséquences désastreuses de ce manque de mesure.
 

Les CNIL européennes (G29) ont publié une Déclaration solennelle rédigée à la manière d'une déclaration de droits fondamentaux, le texte vise à répondre à la crise de confiance actuelle, en affirmant les principes qui doivent être respectés par les États comme les entreprises privées. Pour le G29, la protection des données pourrait constituer un avantage compétitif pour les acteurs du numérique en Europe, il faut nous en saisir, et développer un univers de confiance, c’est possible.

Très belles fêtes de fin d’année, et méfiez-vous, un homme habillé de rouge tenterait de s’introduire la nuit au domicile de nombreux concitoyens, des rumeurs font état d’une utilisation privilégiée de la cheminée.

Philippe Recouppé, Président de Forum ATENA


Grand évènement de l'atelier sécurité de Forum ATENA le lundi 12 janvier 2015 après-midi à Paris

Au nom de l'atelier sécurité de Forum ATENA, je vous souhaite d’excellentes fêtes de fin d’année et vous assure que l’année 2015 sera un grand cru d’évènements qui vous sensibiliseront sur la cybersécurité et vous feront mesurer les dangers venant du cyberespace mais aussi et surtout vous expliqueront comment en diminuer les risques.

Nous commencerons l'année 2015 par un grand évènement organisé par la Chaire Castex de cyberstratégie, l'atelier sécurité de Forum ATENA et le Medef Ile-de-France sur le thème général « Le marché de la sécurité, quelle stratégie pour la France ? ». Ce sera la troisième facette des évènements que nous organisons avec la Chaire Castex pour répondre à la question : « Pourquoi les entreprises ont-elles besoin d’une cyberstratégie ? ».

Ce sera le lundi 12 janvier de 14h00 à 19h00, dans le grand amphi du siège du Medef Ile-de-France, au 10 rue du Débarcadère Paris 17eme (près de la Porte Maillot).

Les deux évènements précédents de ce cycle sont décrits en :
http://forumatena.org/les-cybermenaces-quels-risques-pour-les-entreprises-0
et en :
http://www.forumatena.org/?q=node/458

Les détails de ce troisième opus sont sur ; http://forumatena.org/node/622

Nous pouvons annoncer, pour la première table ronde, l’intervention de Ted Harrington de Independent Security Evaluator pour évoquer le marché américain de la cybersécurité, de Arne Schönbohm du Cyber-Security Council Germany pour le marché allemand et de Thierry Delville, qui pilote la délégation aux industries de sécurité au Ministère de l'intérieur.

Dans la deuxième table ronde François Lavaste, CEO de Stormshield (union d'Arkoon et de Netasq, groupe Airbus), Jean-Noël de Galzain (PDG de Wallix et fondateur d’Hexatrust) et Danilo Délia, doctorant de la Chaire Castex, seront intervenants.

Madame Frederick Douzet, titulaire de la chaire Castex de cyberstratégie, Professeure des Universités à l'Institut Français de Géopolitique de l'Université Paris 8, nous fera la synthèse des trois évènements que la Chaire Castex, Forum ATENA et le Medef IdF auront organisés avec ce troisième opus.

Attention, la participation à cet évènement est gratuite mais il faut s’inscrire ! A notre très grand regret mais pour des raisons de sécurité nous avons dû refuser des inscriptions quand le nombre d’inscrits a dépassé les 280, pour le Lundi de l’IE du 8 décembre, avec Renaud Lifchitz, au même endroit. Donc je vous dis aujourd’hui alors que c’est possible : soyez dans les 280 premiers inscrits !

Au 15 décembre, nous avons déjà 74 inscrits. Les inscriptions se font en : http://forumatena.org/node/622

Nous proposons à au plus trois entreprises de sponsoriser notre évènement. Le retour sur investissement, pour le prix modique que nous demandons aux sponsors, et qui nous permet de vous offrir un pot à la fin de l'évènement est très intéressant. Si vous êtes intéressés, demandez-moi le dossier de sponsorat par courriel : gerard.peliks@forumatena.org.

Au 12 janvier 2015 après midi ! Il n'est que temps de vous inscrire.

Gérard Peliks Président de l'atelier sécurité de Forum ATENA


Académie d'économie digitale et de cybersécurité

Les nouvelles technologies du numérique sont en train de faire basculer l’économie réelle dans une économie digital. Le basculement permet aux citoyens et aux entreprises de s’affranchir définitivement du papier. Mais dans la mesure où les usagers n’ont plus sous leur contrôle exclusif l’ensemble des moyens de gestion et de signature documentaires, et donc à cet égard une obligation de résultat pour administrer par eux-mêmes leurs preuves de signature devant les Tribunaux, ce seront aux prestataires de services de confiance d’assumer cette charge our leur compte. Devant la croissance phénoménale des fraudes (usurpation d’identité, falsification de document, abus de confiance, indiscrétion, intrusion…), les pouvoirs publics ont réagi en réglementant et en compartimentant les fonctions des prestataires de services de confiance et en subordonnant leurs responsabilités limitées aux contrôles systématiques de nouvelles instances prudentielles de validation et de certification documentaire. Les contraintes réglementaires qui vont de pair avec une qualité de services bien meilleure, correspondent aussi aux besoins de sécurités informatiques et juridiques nécessaires à la migration actuelle des applications de gestion « Off Line » (installation sur le poste de travail) en solutions « On line » (externalisation). Les logiciels de gestion offerts en ligne (Software as a service) coûteront sans doute moins cher (-30%) mais nécessiteront des niveaux de sécurité, de confidentialité et d’interopérabilité 4 à 8 fois plus élevés que dans le monde actuel. Ce bouleversement qui concerne annuellement 280 milliards de documents (courrier et transactions) et 20 Milliards de paiements échangés en Europe entre les bilans certifiés des entreprises et leurs clients, et 50.000 milliards € de transactions en valeur, va modifier profondément les règles du Droit et de l’Economie. Il est donc essentiel de préparer les nouvelles générations non seulement aux nouvelles technologies mais également aux évolutions dans ces circonstances des pratiques utilisées par les communautés, et des business models transformant profondément les marchés internationaux. De ce point de vue, la lecture des Règlements Européens votés en 2014, d’une part, e.IDAS, et d’autre part, Data Protection, ainsi que le projet de Directive NIS sur le Risk Management et la Cyber Sécurité des opérateurs, permet de prendre la vraie mesure des défis de l’économie digitale pour adapter rapidement à cette situation notre programme de Formation des jeunes générations. [ lire l'article complet ]

Eric Blot-Lefèvre Président de l'atelier économie numérique de Forum ATENA


L'environnement sans fil, de plus en plus difficile à protéger

Au lundi de l’IE de décembre, du Cercle d’Intelligence Economique du Medef Ile-de-France, devant un amphi plein (pourtant de 300 places), Renaud Lifchitz (société Oppida) nous a présenté les dangers des protocoles sans fils (4G, Wi-Fi, Bluetooth, SDR,…). Ses slides sont téléchargeables en http://fr.slideshare.net/nono2357/lundi-ie201412oppidaradio.
 
Voici un petit résumé du début de son intervention d’après les notes que j’ai prises.
 
Les échanges d’information via les protocoles radio nous environnent. Du téléphone portable aux radioréveils, des objets communicants à la radio professionnelle mobile (PMR), des badges sans contacts aux alarmes sans fils, les protocoles radio sont partout et leurs applications font partie de notre vécu quotidien, mais ils sont vulnérables. Mesure-t-on bien leurs dangers en cas de cyber attaques ?
 
On peut distinguer trois catégories de protocoles radio :
 
  1. Les standards IEEE comme le Wi-Fi (802.11), le WiMax (802.16), le Bluetooth et Zigbee (802.15)
  2. Les réseaux cellulaires comme les 2G / 3G /4G / 4G+, le DECT, l’UMTS, le RTE
  3. Les inclassables comme le NFC, sous-catégorie du RFID. On entre aussi dans cette catégorie, les protocoles de la PMR (Tetra, Tetrapol,…)
Chacun de ces protocoles peut être l’objet de malveillances ou de perturbations. Nous pouvons distinguer trois types d’attaques :
 
  • Les écoutes passives. 
Il suffit d’un récepteur fonctionnant aux mêmes fréquences et avec les mêmes modulations que les ondes radio que l’on veut écouter. Une simple clé Zigbee peut faire l’affaire pour capter les échanges par exemple entre objets connectés, avec un casque sans fils ou des télécommandes de portails.
 
Pour le Wi-Fi, il est recommandé d’activer la sécurité par WPA2, et d’utiliser des mots de passe suffisamment solides. Mais attention, la sécurisation ne se fait qu’aux niveaux 3 et au dessus. Les adresses MAC passent donc en clair et ainsi, les listes blanches des adresses MAC autorisées ne servent pas à grand-chose. Les clés WEP peuvent être cassées en moins de 3 minutes. Il faut aussi considérer que dans un chiffrement avec des clés de 64 ou de 128 bits, 24 bits sont en clair. 
De toute façon, si l’information échangée est sensible, il faut impérativement qu’elle soit chiffrée, avec des clés suffisemment longues et des algorithmes suffisemment solides (et bien implémentés).
  • Le brouillage
Il suffit d’émettre un bruit blanc et de l’amplifier. Le brouillage peut être involontaire (four à microondes en fonctionnement près d’un émetteur ou d’un récepteur Wi-Fi), obstacles rencontrés sur la route des ondes, ou bien sûr il peut être aussi volontaire. Les contre-mesures à mettre en œuvre sont par exemple l’étalement de spectre et les sauts de fréquences. Le Bluetooth change par exemple de fréquences plusieurs fois par secondes.
 
  • L’usurpation (ou spoofing)
On se fait passer pour un périphérique légitime et on émet à sa place. Les contre-mesures résident dans des mécanismes anti-rejeux et dans des mécanismes de challenge à au moins deux messages.
 
Renaud Lifchitz brosse ensuite un tableau sur la Radio Logicielle (SDR) qui permet, en traitant les signaux au niveau du logiciel, de s’affranchir de devoir traiter différemment les communications suivant le matériel dont on dispose. 
 
Il nous démontre les attaques dites « par l’homme du milieu » pour usurper les informations échangées (ça semble plus facile à réaliser qu’on peut le penser), ou pour prendre le contrôle d’un équipement tel qu’une centrale d’alarmes ou encore pour localiser un avion en vol, en trois dimensions. Nous étions dans un amphi situé au sous-sol, il n’a pas essayé de le faire en temps réel ;-)
 
On peut en conclure que les transmissions radio sont très vulnérables et beaucoup reste à faire pour les sécuriser. En attendant, les attaques sur ces protocoles radio, non sécurisés, non chiffrées, peuvent être dévastatrices.

Gérard Peliks Président de l'atelier sécurité de Forum ATENA


Cloud en Europe, une stratégie se dessine

Philippe Recouppé, président de Forum Atena et Alevizopoulou Vasiliki, juriste spécialiste du cloud et membre du Forum, et étudiante à l'ISEP, Mastère Cloud Computing, intervienne sur le Cloud en Europe dans la revue Alliancy, le mag, N°10 – L'urgence de la transformation par Patricia Dreidemy. Pour lire l'article complet : http://www.alliancy.fr/international/cloud/2014/12/16/cloud-en-europe-une-strategie-se-dessine

Petit à petit l’informatique en nuage s’étend sur l’Europe, de par les initiatives multiples de la Commission, mais aussi le dynamisme des différents écosystèmes nationaux. Les challenges à relever pour favoriser sa croissance sont légion.

En septembre 2012, la Commission européenne adoptait une stratégie visant à exploiter le potentiel de l’informatique en nuage en Europe. Objectif : accélérer le recours aux technologies du cloud computing dans tous les secteurs de l’économie. Le chantier est de taille, mais il serait à même d’entraîner, selon Bruxelles, la création de 2,5 millions de nouveaux emplois et de contribuer d’ici à 2020 au PIB de l’Union européenne à hauteur de 160 milliards d’euros par an, soit environ 1 %.

Cette stratégie repose sur trois axes essentiels. Tout d’abord, l’Union européenne veut faire le tri dans la jungle des normes techniques pour assurer l’interopérabilité, la portabilité des données et la réversibilité pour les utilisateurs, et soutenir à son échelle les systèmes de certification des prestataires fiables. Elle souhaite ensuite élaborer des conditions contractuelles types, sûres et équitables. Enfin, elle ambitionne de transformer le secteur public, en moteur d’innovation et de croissance avec son « European Cloud Partnership » (ECP), qui associe Etats membres et entreprises.

La bataille des normes 

Dans le cadre de la première action, l’Institut européen de normalisation des télécommunications (Etsi) a publié, fin 2013, le rapport Cloud Standards Coordination*. L’Agence européenne de cybersécurité s’est, pour sa part, penchée sur les régimes volontaires de certification cloud existants et a proposé des mesures pour l’avenir*. Un groupe de travail Certification a, par ailleurs, été créé au sein du Cloud-Select Industry Group. « Le processus de normalisation est loin d’être chaotique, selon le rapport de l’Etsi », écrivent Philippe Recouppé, président de Forum Atena et Alevizopoulou Vasiliki, juriste spécialiste du cloud et membre du Forum, dans une analyse sur le sujet en Europe. « Il est admis que l’effort de recensement des offres et des services cloud n’est pas chose aisée, mais le rapport souligne que la richesse de projets cloud se trouve dans la multiplicité des acteurs entrant dans le marché », poursuivent-ils. Ils insistent aussi sur l’importance de la mise à disposition d’un vocabulaire technique commun, applicable aussi bien au secteur du BtoC que du BtoB. Le travail de l’Etsi a permis de créer une cartographie détaillée grâce à l’étude de plusieurs centaines de cas d’usage du cloud, afin d’aboutir à l’élaboration d’une grille des normes. « Les points qui nécessitent une attention particulière y sont mis en évidence tels que l’interopérabilité du système informatique et la portabilité des données traitées, la gestion des aspects de sécurité et de confidentialité », affirment les deux experts du Forum Atena. Selon eux, la disponibilité de produits open source favorise l’adoption des normes et l’Europe y contribue fortement – un exemple en est le framework OpenStack. Ceci aide les acteurs à être plus compétitifs, et aux clients à choisir et à changer plus facilement. Côté normes internationales (ISO), Olivier Teitgen, directeur de la standardisation pour l’Afnor, estime que les professionnels des systèmes d’information français ne pèsent pas suffisamment dans la Commission de normalisation du cloud, même si de grands groupes français l’ont rejointe l’année dernière. « Ils doivent davantage œuvrer à l’élaboration de standards prenant en compte leurs intérêts, déclare-t-il. Il ne faut pas abandonner la construction de ces normes aux Chinois et Sud-Coréens qui les veulent les plus permissives possibles pour continuer leur business en l’état. » Une première norme ISO sur le vocabulaire applicable au cloud, « Cloud Computing – Overview and Vocabulary », rédigée par une équipe mixte ISO et UIT-T, va être publiée. Une deuxième suivra sur l’architecture du cloud.

Pour lire la suite :  http://www.alliancy.fr/international/cloud/2014/12/16/cloud-en-europe-une-strategie-se-dessine

 


 

Les top tweets de Forum ATENA en décembre

Retrouvez ici le top des tweets publiés sur notre compte @ForumATENA en décembre. Et si ce n'est pas déjà fait, suivez-nous !

1- Comment Orange, SFR, Free et Bouygues Telecom fourbissent leurs armes
Challenges > http://buff.ly/1uLK6Gd
2- Patrick Drahi, Xavier Niel: le match des agitateurs des télécoms
L'Express > http://buff.ly/1ybvCpc
3- Intel fait l'acquisition de PasswordBox, gestionnaire de l'identité numérique primé
Le Lézard > http://buff.ly/1vEsoIP
4- L’identité numérique unique, c’est pour bientôt ?
L'informaticien > http://buff.ly/1FSyE0R
5- Innovation-pedagogique.fr, une création signée Mines-Télécom et ses partenaires
Meilleurs-masters.com > http://buff.ly/1tLfao4

 


 

 

Agenda

Lundi 12 janvier 2015
Medef Ile-de-France, 10 rue du Débarcadère Paris 17eme
Le marché de la cybersécurité : quelle stratégie pour la France ?

 

 

Retrouvez nos publications sur la boutique Lulu :   

  

 brancheolivier Pour soutenir Forum ATENA brancheolivier