Cyberdéfense : l’Otan passe à la vitesse supérieure

Jens Stoltenberg, secrétaire général de l’Organisation du traité de l’Atlantique Nord (Otan), a annoncé le 8 novembre dernier la création prochaine d’un centre d’opérations cyber au sein de l’institution. Ça y est : la défense se pratique officiellement sur les terrains physique et virtuel à niveaux égaux.

Cette annonce est le résultat d’un changement entrepris depuis l’année 2016 : la mise à disposition progressive des dispositifs cyber en main de chaque état membre à l’ensemble de l’organisation dans le cadre de cyberattaques. Le centre d’opérations sera coordonné de la même manière que l’artillerie militaire classique : chaque tank, missile, soldat mobilisé dans le cadre d’opérations au nom de l’Otan reste subordonné à son pays d’origine. Ce fonctionnement sera transposé aux opérations cyber pour les technologies et experts sollicités d’après Jens Stoltenberg.

La création d’un centre d’opérations de ce genre s’inscrit dans une vague de prise de conscience internationale. Il est devenu indispensable de marquer sa présence et de s’armer dans ce que nous qualifions comme étant un monde virtuel. Ce dernier a pourtant des conséquences bien réelles sur les citoyens et les États lorsque des attaques sont proférées dans le cadre de la cyberguerre. En Allemagne, l’armée a déjà élargit ses effectifs en avril, avec la création d’une cyberarmée. Une section en tant que telle, qui se distingue des armées de terre, de l’air et de la marine. Cette initiative était une première au sein des pays membres de l’Otan.

Virtuel et réel, même combat

Maintenant le phénomène prend de l’ampleur et s’élargit à l’international : « Nous avons établit le cyber comme un domaine militaire à part entière et nous avons décidé que les cyberattaques peuvent porter atteinte à l’article 5″, a confié le secrétaire général de l’organisation. Cet article 5 du traité fondateur de l’Otan stipule que  » les parties conviennent qu’une attaque armée contre l’une ou plusieurs d’entre elles, survenant en Europe ou en Amérique du Nord, sera considérée comme une attaque dirigée contre toutes les parties, et en conséquence, elles conviennent que, si une telle attaque se produit, chacune d’elles, dans l’exercice du droit de légitime défense, individuelle ou collective.  » Dorénavant, les cyberattaques sont considérées comme des atteintes de la même envergure que des attaques militaires classiques.

Le blocage des accès à Wikipédia en Turquie : Comment le contourner ?

En Turquie tous les accès à Wikipédia ont été interdits par le gouvernement. Les utilisateurs en Turquie ne peuvent plus se connecter à la plus grande encyclopédie en ligne du monde depuis avril dernier.

Le gouvernement turc a été accusé de fonctionner de même façon voire collaborer avec les groupes terroristes selon les articles publiés sur Wikipédia. Après que Wikipédia a refusé de les retirer, ils ont bloqué le site en toutes les langues. La liberté et l’indépendance de l’encyclopédie sont les principes importants sur lesquels la culture de Wikipédia s’est formée. Malgré toutes les objections défendant ces principes, l’accès n’est pas autorisé. Lire la suite

NUMERIQUE ET INFORMATIQUE/CYBERSECURITE : Ces start-up qui ont développé le Bug Bounty en France

Image

Google, Facebook, Uber, Airbnb, Netflix… Tous ces géants de la Silicon Valley ont depuis longtemps adopté le Bug Bounty. Cette méthode consiste à faire appel à une communauté de « chercheurs », qu’on appelle les hackers blancs, pour détecter des failles informatiques dans le cadre d’un programme bien défini. « Plutôt qu’acheter des prestations en jours-hommes pour détecter les failles de sécurité, on s’adresse à une communauté et on paye à la faille. Avec le Bug Bounty, on passe donc d’une logique de moyen à une logique de résultat », explique Fabrice Epelboin, cofondateur de Yogosha, plate-forme française de Bug Bounty lancée l’année dernière.
Des hackeurs blancs recrutés par cooptation
Pratique courante en Amérique du Nord, le Bug Bounty reste encore une activité confidentielle en Europe. En France, trois start-up comptent démocratiser cette pratique : Yogosha, Bounty Factory et Bug Bounty Zone. Deux d’entre elles (Yogosha et Bounty Factory) étaient présentes aux Assises de la sécurité, qui se tiennent jusqu’au vendredi 7 octobre à Monaco. Elles ont fait part de leurs démarches et ambitions à l’occasion d’une table ronde sur les failles de sécurité et l’économie collaborative.

Cybersécurité : ces start-up qui veulent développer le Bug Bounty en France

Security by design : Intégrer le Bug Bounty dans une démarche DevOps

Intégrer l’approche Bug Bounty au cœur du processus de production de code d’une entreprise, c’est l’ambition de Fabrice Epelboin, cofondateur de la start-up Yogosha. Selon lui, cette approche « secure by design »permettrait d’identifier une faille plus rapidement et de la faire remonter à la personne qui l’a causée. « C’est faire acte de pédagogie et cela permet à une entreprise de faire monter en compétence ses propres équipes et de diminuer la production du nombre de failles », estime-t-il.
Concrètement, leurs plateformes permettent de mettre en relation les entreprises qui souhaitent renforcer leur sécurité avec une communauté de chercheurs extrêmement qualifiés, reconnus pour leur éthique et souvent recrutés par cooptation. La communauté de hackers blancs formée par Yogosha compte, par exemple, une centaine de chercheurs. « Nous les connaissons tous personnellement », assure son cofondateur. « Il faut créer un environnement de confiance pour le client »,confirme Guillaume Vassault-Houlière, cofondateur de Bounty Factory et RSSI chez Qwant.
Jusqu’à 500 000 euros de gains par an
Ensuite, selon le programme de Bug Bounty, des pools différents de chercheurs sont montés. « Si on est sur une problématique IoT, on ne va pas créer le même pool de chercheurs que pour la recherche d’une faille sur une application web », explique Fabrice Epelboin. Via la gamification, les hackeurs blancs gagnent des points selon leurs performances. Et, si un chercheur repère, en premier, une vulnérabilité de haute criticité, il gagne de l’argent. Une faille de sécurité détectée n’est payée qu’une seule fois. En travaillant sur plusieurs plateformes, les meilleurs sur le marché peuvent gagner jusqu’à 500 000 euros par an. La valeur d’un bug est, elle, calculée en fonction de la criticité de la vulnérabilité et de la nature des données.
Ces plateformes permettent également d’instaurer un climat de confiance entre les deux parties grâce à l’ingénierie juridique qu’elles apportent. Pour chaque programme de Bug Bounty, un contrat est scellé entre les parties pour assurer une transparence complète. « La notion de confiance est centrale dans le bug bounty », martèlent les deux start-up. « Cette donnée de confiance n’étant plus transitive, il faut la traduire dans le socle juridique de la plate-forme », note Fabrice Epelboin.
Faire baisser le coût des cyber-assurances
Aujourd’hui, Yogosha travaille avec deux types d’entreprises. Les très grands groupes, (notamment un opérateur d’importance vitale) d’un côté, et les grosses start-up de l’univers BtoB de l’autre. La jeune pousse entend se développer tout autour du bassin méditerranéen. Bounty Factory, elle, travaille notamment avec l’hébergeur français OVH, qui a lancé officiellement son premier programme de recherche de bug en juillet dernier lors de la Nuit du Hack. Elle aussi entend s’étendre en dehors des frontières françaises et travaille actuellement sur des projets en Allemagne, en Suisse et au Luxembourg.
En France, si les entreprises sont encore frileuses face à cette pratique, les réticences tombent petit à petit. C’est en tout cas le point de vue de Sandro Lancrin, RSSI de Radio France, invité de cette table ronde. S’il ne s’est pas encore engagé dans un programme de Bug Bounty, le responsable de la sécurité informatique étudie sérieusement cette possibilité. A terme, les entreprises adeptes de cette pratique pourraient voir le coût de leur cyber-assurance sensiblement baisser, en particulier si le tableau de bord mis en place dans le cadre d’un programme de Bug Bounty montre la célérité de l’entreprise à corriger les failles détectées.

Izly : l’application de paiement du Crous qui traque les étudiants

Aller au « Resto’U », ouvrir l’appli Izly et payer son repas étudiant. Des milliers de jeunes en France se servent de cet outil développé par le Crous en 2015 pour remplacer Moneo. Cependant, ce que beaucoup d’entre eux ignorent, c’est qu’à chaque fois qu’ils réalisent cette action, un système de géolocalisation « au mètre près » se met en place. C’est ce que dévoile fin octobre une enquête publiée dans Le Monde : les données des utilisateurs sont recueillies et ensuite revendues à des sociétés publicitaires. Lire la suite

Facebook, terrain de jeux dangereux

Screenshot – Facebook

Le dernier jeu à la mode est originaire de Metz et porte un nom plutôt explicite : « Marave challenge ». Le principe : frapper collectivement des lycéens au hasard, contre la modeste somme de 10 euros. Selon France Info, ce sont parfois 25 personnes qui s’acharnent sur une victime. Lire la suite

Linux, la force tranquille

Logo de GNU Linux

Et toi, t’es plutôt Windows ou Mac OS ? Ni l’un ni l’autre, répondent les 500 supercalculateurs les plus puissants du monde. Depuis hier, ils tournent tous sous Linux. Retour sur un OS aussi répandu que méconnu.

Le grand public le connaît mal, et il est souvent perçu comme un système d’exploitation réservé aux initiés. Pourtant, Linux est partout derrière nos écrans. Sans lui, de très nombreux sites et serveurs ne tourneraient pas, et 80% des smartphones non plus. En fait, tous ceux équipés d’Android l’utilisent. Linux, c’est un système d’exploitation open source créé en 1991 par Linus Torvalds qui participera à la tendance du logiciel libre, et s’inscrira comme une des plus belles réussites de l’esprit hacker. A la différence de ses confrères Windows et Mac OS, son code source est disponible en intégralité sur la toile. Un gage de transparence qui a permis aux bidouilleurs du monde entier de modeler, modifier et améliorer le code pour créer des dizaines de distributions différentes basées sur l’OS original. Car la philosophie derrière Linux, c’est avant tout de reprendre le contrôle de son ordinateur. Là où les OS de Microsoft et d’Apple tendent vers un verrouillage toujours plus fort de l’expérience utilisateur, Linux garanti le contrôle total de sa machine. Les initiés le disent tous, avec Linux on se rapproche de son ordinateur. Alors certes, il y a un prix à payer pour jouir de cette liberté, il faut se familiariser avec le bash, la console Linux. Une fenêtre noire, a priori pas très intuitive, dans laquelle il faut taper ses instructions.

Le Terminal Linux

Là où Windows et Mac le font pour vous, Linux vous remet au boulot. Sur Windows comme sur Mac, la console reste le plus souvent invisible. On l’a trop souvent oublié, mais derrière les programmes que nous utilisons chaque jour, il y a des instructions informatiques. Cliquer sur votre raccourci « Word 2017 », ce n’est pas qu’un mouvement de doigt, c’est aussi envoyer une ligne de commande à votre ordinateur qui va exécuter le programme demandé. Linux se passe la plupart du temps de raccourci et s’en tient à la ligne de commande. A vous de l’écrire, et de commander directement votre ordinateur. Une liberté qui a séduit les professionnels depuis longtemps. Impossible de traverser les bureaux d’une société informatique sans voir un salarié faire tourner sa bécane sous Linux. En allant puiser dans cet OS révolutionnaire et open source, de nombreux projets ont pu naître partout sur la toile. Désormais, Linux aide les chercheurs à repousser les limites de la puissance de calcul. Depuis hier, Linux règne sur les supercalculateurs, ces ordinateurs d’une puissance phénoménale souvent utilisés pour la recherche. Les 500 d’entre eux les plus importants se sont tous tourné vers l’OS au petit pingouin, qui à la seule force de l’open source a conquis l’informatique du monde entier.

Whatsapp dans le viseur de la Cnil

En 2017, l’application Whatsapp est utilisée par plus d’un milliard de personnes dans le monde. (Crédit photo: Flickr)

Le problème ? Whatsapp, l’application de messagerie instantanée, transfert illégalement les données personnelles de ses utilisateurs à sa maison-mère, Facebook. Numéro de téléphone ou habitudes d’utilisation, Whatsapp partage ces informations sans aucun accord préalable de ses usagers. Le logiciel mobile a un mois pour se conformer à la loi. Lire la suite

Pourquoi Facebook intègre Spotify à sa plateforme Messenger ?

Avec de nombreux nouveautés et mises a jour effectuées sur le géant réseau social Facebook cette année, c’est le site web de streaming de musique Spotify qui fait son entrée au sein de Messenger, la plateforme de Facebook. L’utilisateur peut désormais partager des chansons avec ses amis ou encore créer des playlists en commun avec eux.  Mais, quels intérêts pour ces deux dispositifs de fusionner ?

Auparavant, les utilisateurs partageaient des liens de musique dans une conversation soit le publiait sur le mur de leurs amis. Depuis 2016 les internautes peuvent s’envoyer des chansons dans des discussions directement de la messagerie du réseau social ou encore mettre en place des playlists en commun qui peuvent être compléter par les membres d’un même groupe. 

Mais encore, en avril 2017 avec « M », l’assistant virtuel de Facebook assimilé a Messenger, l’internaute peut écrire la phrase « chercher une musique » ou « jouer de la musique » dans une discussion et une suggestion sera automatiquement proposée. Pourtant les morceaux recherchés ne peuvent pas être écoutées directement sur Messenger, la personne sera redirigée automatiquement sur la plateforme de Spotify. C’est en cliquant en bas à gauche sur le bouton « + » de la discussion que l’on a la possibilité de choisir l’extension de Spotify ou encore celle de Apple Music.

Lire la suite

La Face Cachée d’Internet, le livre incontournable pour comprendre les enjeux du numérique

Rayna Stamboliyska. Retenez ce nom, c’est la personne qui vous permettra de comprendre ce qu’il se passe dès que vous vous connectez à Internet depuis vos ordinateurs, smartphones et tablettes, et qui détruit une bonne fois pour toutes les clichés trop facilement véhiculés sur les hackers, le darknet et l’utilisation de vos données personnelles. Entre autres. Lire la suite

E. Philippe promet l’internet à haut débit pour tous en 2020

Profitant de la Conférence des Territoires délocalisée dans le Lot le 14 décembre dernier, le Premier ministre Édouard Philippe a promis le déploiement du haut débit dans toute la France d’ici 2020. Certaines régions n’ayant toujours pas de connexion internet satisfaisante. Lire la suite