Archives par mot-clé : technologie

PegasusGate : l’ONU demande un moratoire quant à l’utilisation des technologies d’espionnage

Ces 2 derniers mois, le logiciel d’espionnage PEGASUS aura fait parler de lui et remuer plus d’une rancœur.

Si l’utilisation de cette technologie d’espionnage a écœuré le monde entier, il ne faut toutefois pas oublier que ce sont les États et souvent des organismes ont bien reconnu qui s’en servent. Face à la grogne publique, l’Organisation des nations unies a de son côté voulu réagir. L’organisme international cherche à ce que soit établi un environnement réglementaire qui permettra d’ordonnance et les transferts et les ventes de technologies dédiées à l’espionnage.

Cet article va aussi vous intéresser : PegasusGate : 7 mots clés d’une affaire d’espionnage numérique d’ampleur

On se rappelle bien que durant le mois de juillet, le collectif de media Forbidden stories mettez en évidence un espionnage de masse qui est organisé par plusieurs gouvernements au travers de logiciel fourni par NSO Group, une entreprise israélienne spécialisée dans la conception et la mise à disposition de logiciels d’espionnage. Ce logiciel est connu sous la dénomination de Pegasus. L’ONU face à cette mise à nu des pratiques peu convenables lié à cette application, décide d’imposer poser un moratoire quant à l’utilisation des technologies d’espionnage et de surveillance. Les experts de l’institution international essayent de lutter pour que ce soit dresser un cadre conventionnel stable permettant de régir au mieux l’utilisation de ces technologies dans le respect des droits de l’homme.

Les experts de l’ONU ont déclaré être « profondément préoccupés par l’utilisation d’outils comme le logiciel Pegasus ».

En 2016 lorsque l’utilisation de ce logiciel d’espionnage avait été révélée par les activités de Amnesty International à travers son laboratoire de cybersécurité, l’on a cru malheureusement à tort que ces activités et relevaient d’un cadre assez confidentiel et isolé. Le problème, c’est bien évidemment pas le cas. Et les récentes révélations de Forbidden Stories ont confirmé ce que Amnesty International décriait depuis des années soutenues par d’autres entreprises tels que WhatsApp. On retient dorénavant que grâce à Pegasus, certains gouvernements se sont permis d’espionner à travers le monde près de :

– 180 journalistes ;

– 600 personnalités politiques ;

– 65 chefs d’entreprise ;

– 85 militants des droits humains.

Il a même été mentionné que le président français Emmanuel Macron et son entourage sans oublier l’entourage du roi du Maroc faisaient partie des personnes espionnées.

Et dans un communiqué, l’Organisation internationale et ces différents experts ont signifié être « profondément préoccupés par le fait que des outils intrusifs hautement sophistiqués soient utilisés pour surveiller, intimider et réduire au silence les défenseurs des droits humains, les journalistes et les opposants politiques ».

Ces pratiques sont clairement en désaccord avec la liberté d’expression et si que l’existence de la vie privée et de la liberté dans son grand ensemble selon Irene Khan, Mary Lawlor et Clément Nyaletsossi Voulé, des spécialistes en droit et des libertés de l’Organisation des nations unies. Ils mentionnent aussi le fait que ces pratiques mettent en danger des personnes qui sont généralement ciblées par ces espionnages.

Dans un tel contexte, imposer un moratoire pour prévenir et réduire les effets négatifs de l’espionnage à grande échelle se présente comme une nécessité.

Interrogées à plusieurs reprises, la société israélienne NSO Group a toujours démenti les accusations portant à croire que son logiciel est utilisé pour espionner des journalistes ou des hommes politiques. L’entreprise continue de soutenir que sa technologie sert plutôt à lutter contre la criminalité des grandes envergures et le terrorisme. Bien évidemment les experts de l’ONU ont exigé de la part de la société israélienne ainsi que du gouvernement israélien de « divulguer si elle a déjà fait preuve de la diligence requise en matière de droits de l’Homme […] et publier l’intégralité des conclusions de toutes les enquêtes internes que l’entreprise aurait pu mener sur cette question ».

L’ONU aurait aussi demandé à Israël de fournir un ensemble des éléments qui décrit comment les transactions se déroulent en ce qui concerne les logiciels de NSO Group, et quelles sont les mesures prises par ce dernier pour garantir le respect des droits de l’homme.

« Il est du devoir des États de vérifier que des entreprises comme NSO Group ne vendent ni ne transfèrent de technologie ni ne concluent de contrat avec des États et entités susceptibles de les utiliser pour violer les droits de l’Homme. », note les experts de l’institution international.

Par conséquent, l’ONU a demandé à la communauté internationale de respecter le moratoire concernant le transfert et la vente de technologie d’espionnage.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurité informatique à l’épreuve de la technologie quantique : le système de défense peuvent-elles faire face aux futurs menaces de l’air quantique

La cybersécurité aujourd’hui est confrontée à une évolution fulgurante de la menace informatique.

En effet, il est unanimement reconnu que les pirates informatiques ont beaucoup d’avance sur les spécialistes en sécurité informatique. Cette situation s’explique par une mobilité extrêmement de ces cybermalveillance tant sur le plan de l’apprentissage que celui de l’adaptation. Bientôt, il faudrait s’attendre à un bouleversement encore plus important. Celui du développement de l’ordinateur quantique. Une technologie qui pourrait mettre à mal n’importe quel type de cryptographie existante aujourd’hui. Disons tout simplement que ce serait le Saint Graal pour les cybercriminels.

Cet article va aussi vous intéresser : La sécurité informatique face à l’informatique quantique

La menace que représente l’ordinateur quantique pour la sécurité informatique est décrit par plusieurs spécialistes tels que Sundar Pichai, le premier responsable de Google aujourd’hui. C’est une situation assez compliquée qu’il faudra analyser avec des pincettes et beaucoup de sérieux.

Selon une étude publiée par l’Institut d’Informatique Quantique de l’Université de Waterloo, un pirate informatique sur 7 pour réussir à cracker le chiffrement RSA, considéré comme étant le plus impossible à casser d’ici 2026. D’ici 2030, les hackers auront une chance sur deux dire réussir.

Cette analyse met en évidence une situation très problématique. Elle est très inquiétante pour ainsi dire.

« Miser sur le temps de décodage pour rendre un cryptage incassable va donc à moyen terme devenir obsolète dans une ère quantique libérée du calcul binaire et capable de tester simultanément toutes les solutions possibles. » soulignent Antoine Gourévitch, Directeur associé senior à BCG et Jean-françois Bobier, Directeur à BCG, dans un billet de blog. « En plein essor, l’informatique quantique porte de spectaculaires progrès et de nouvelles sources de création de valeur dans de nombreux secteurs comme celui de la biopharmacie ou de la finance. Mais, en gagnant en puissance, cette technologie fragilise les fondations de la cryptographie à clé publique reposant sur la factorisation de grands nombres premiers. Or c’est cette méthode qui sécurise les activités numériques, de l’accès aux sites d’e-commerce aux transactions financières en passant par les applications internet. », ajoutent ces derniers.

Dans quel contexte, l’enjeu s’inscrit purement dans un sens stratégique. Les défenses cryptographiques doivent s’adapter à la puissance de calcul qu’offre l’ordinateur quantique. Par ailleurs, il y a un fort risque de compromission de tout ce développement digital qui a été propulsé par la pandémie à coronavirus. Les gens sont devenu une cible facile pour les pirates informatiques. Les choses risquent de s’empirer avec l’ordinateur quantique.

« Certes, une nouvelle norme de cryptographie post-quantique (PQC) se construit. Les standards de ce qui remplacera le chiffrement RSA devraient être établis d’ici 2022/2024. Les nouveaux algorithmes de cette cryptographie post-quantique reposent sur une panoplie de problèmes mathématiques qu’aucun ordinateur classique ou quantique n’a encore réussi à résoudre dans des délais raisonnables. Pas encore. À la vitesse des progrès de l’informatique quantique se joue donc une course contre la montre. Cela ne laisse qu’une dizaine d’années aux nouveaux systèmes de sécurité pour être déployés à l’échelle, un délai historiquement court pour de tels changements. », écrivent nos deux spécialistes. Ils ajoutent par ailleurs : « Dans ce contexte, seules les entreprises suffisamment agiles dans leur stratégie de sécurité informatique réussiront à traverser cette période délicate en préservant la protection de leurs données et en réduisant les coûts de la transition. Cette agilité passe par une approche hybride adressant, selon les cas d’usage et selon les normes en vigueur des différentes zones géographiques, les standards classiques ou post-quantiques. ».

En débutant par cette approche, la première chose à faire sur est d’identifier et de faire une priorité l’ensemble des activités du secteur du numérique se présentant comme les plus vulnérables où les plus sensibles à cause de la nature des données produites. On peut faire notamment allusion au secteur de l’aéronautique, de l’automobile, de la santé, sans oublier de la défense. Ces secteurs sont déjà sensibles. Une sensibilité inhérente même à la nature de leur activité. Le besoin d’élever encore plus la cryptographie qui les protège s’impose et cela dans les plus brefs délais.

Toutefois, il ne faut pas rester figé sur les inconvénients de l’informatique quantique. En effet l’ordinateur quantique apportera son lot d’avantages. Par exemple les spécialistes de la cybersécurité pourront profiter de nouvelles solutions.

« Si le cryptage post-quantique repose sur des algorithmes capables de résister aux attaques d’ordinateurs quantiques, la distribution quantique de clé (QKD) exploite les principes mêmes de la mécanique quantique pour garantir une sécurité inconditionnelle du transfert. Cette technologie émergente reste aujourd’hui limitée à certains usages. », expliquent Antoine Gourévitch et Jean-françois Bobier.

Sur le plan financier, la société japonaise Toshiba, estime le marché de l’informatique quantique à 12 milliards de dollars américains d’ici 10 ans. Cette somme est censée doubler d’ici 15 ans.

« L’informatique quantique n’est plus du domaine de la science-fiction. Devenue une réalité de plus en plus proche, cette puissante technologie impose aux entreprises d’adapter leurs systèmes de cybersécurité en investissant dans de nouveaux outils et en adoptant une approche hybride et agile. », conclut nos spécialistes.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

L’utilisation de l’intelligence artificielle dans la réduction des risques informatiques

Pour développer correctement la technologie de l’intelligence artificielle, il est clair qu’il faut imposer un regroupement d’une quantité importante de données personnelles.

Cette situation inquiète plus d’un spécialiste à cause des dérives pouvant occasionnées. Pourtant le ministre délégué à la transformation numérique du gouvernement canadien monsieur Éric Caire, l’intelligence artificielle aura un impact bénéfique pour la sécurisation des données des Québécois.

Dans un contexte général, pour la facilitation des partages de données entre les différents organismes du gouvernement canadien et institutions affiliées, le gouvernement n’a pas manqué de limiter au maximum les organismes qui sont chargés d’intervenir dans la manipulation de ses données ainsi que les individus affectés à cette tâche. C’est d’ailleurs ce qui explique le ministre Caire dans un échange avec la presse dans le cadre de la publication de la stratégie d’intégration de l’intelligence artificielle dans l’administration publique canadienne pour 2021- 2022.

Cet article va aussi vous intéresser : Sécurité des données : l’intelligence artificielle et le défi du pseudonymat

À ce propos le ministre n’a pas manqué de donner quelques exemples concernant la démarche au dentiste faisait allusion : « L’établissement m’a demandé le certificat de naissance de mon enfant. Pourquoi ne pas le demander directement à l’État civil? J’ai apporté le certificat à l’école – et il y a beaucoup d’informations là-dessus – puis je l’ai remis à une personne qui n’a peut-être pas les habiletés nécessaires pour protéger ce genre de document. Elle en a fait une photocopie et l’a renvoyée à l’État civil pour en confirmer l’authenticité. Dans ce simple geste-là, on a ouvert une brèche de sécurité sur des informations qui sont sensibles. »

Le gouvernement exprime depuis un moment une volonté de numériser son administration. C’est d’ailleurs ce que démontre la stratégie d’intégration de l’intelligence artificielle pour une meilleure appréhension de l’univers numérique mais aussi pour l’optimisation des capacités de l’administration dans ce secteur. « On veut fédérer tout le monde dans une même direction. Il y a des projets d’intelligence artificielle qui sont en cours au gouvernement, mais on ne sent pas cette vision globale. C’est organisme public par organisme public. Ce fonctionnement en silo, on travaille déjà depuis un certain temps pour le briser. », nous explique le député de La Peltrie.

En se passant ici de certaines règles préétablies, Le gouvernement canadien pourra facilement optimiser la transformation numérique de son administration. Selon les dires du ministre chargé de la transformation numérique, cette digitalisation ne va pas se faire sans forcément de la cybersécurité.

 « Depuis trois ans, on travaille à améliorer la sécurité informatique. Un des grands problèmes était le fonctionnement en silos. Quand un organisme était victime d’un incident de sécurité, c’était adressé hermétiquement. Ça montait au bureau du sous-ministre qui voyait ça comme un évènement honteux. Il n’y avait pas de leçons qui étaient tirées de tout ça. », souligne le ministre.

L’intelligence artificielle permet à la machine à de simuler les fonctions d’une intelligence humaine un ensemble de donnée à l’aide d’algorithme précis. Au Canada, il existe déjà un exemple pareil, sur le site internet Quebec.ca, qui n’est autre qu’un service de clavardage automatisé, déployé très récemment par le gouvernement. Grâce aux données qui sont déjà disponibles sur le site internet, l’application se permet de répondre aux citoyens de manière précise que possible.

Si l’intention a été clairement manifestée, le gouvernement canadien n’a pas précisé pour le moment quels sont les applications qui seront développées et sur quelle période. Ce que nous savons c’est que chaque ministère doit produire un plan de digitalisation. Un processus booster par l’intelligence artificielle.  « Trois à cinq projets maximum qui seront priorisés afin de ne pas s’éparpiller », explique le ministre.

L’avantage avec l’intelligence artificielle, c’est bien évidemment que ce secteur ne soit pas encore dominé par des géants de l’informatique américain ou autre. « Il n’y a pas de grandes entreprises en intelligence artificielle qui nous mettraient dans le même contexte. Ce que nous souhaitons, c’est de développer notre expertise à l’interne. », explique le ministre à Caire. Cependant, il met en évidence la difficulté au niveau du recrutement pour une pénurie évidente de mains d’œuvres. Mais ce dernier reste confiant car il estime que le secteur public a beaucoup à offrir. « Là où on a un avantage concurrentiel, c’est sur l’ampleur et la diversité des projets, ce qui est très attractif. », explique ce dernier.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La cybersécurité face aux tendances nouvelles

Selon plusieurs spécialistes de la cybersécurité, le secteur de la sécurité informatique sera fortement impacté par 3 tendances majeur sur le plan technologique.

Cet article va aussi vous intéresser : Le secteur de la santé à l’épreuve des attaques informatiques

Il s’agira notamment de :

– Connectivité omniprésente

– La componentisation

– L’hyper-automatisation au niveau de la livraison des programmes informatiques.

Aujourd’hui c’est un fait, de nombreux projets dans l’ordre de l’informatique ont été retardé à cause de la pandémie à coronavirus. Cependant la transformation numérique n’a pas cessé pour autant. On a plutôt observé une accélération durant l’année 2020. Les modèles d’entreprise typiquement numériques sont en plein essor. Pour ce qui en est des cycles de publication le délai a raccourci énormément.

Avec les infrastructures distribuées, utilisation toujours au massive de l’Internet des objets, la sécurité informatique devient un champ très complexe.

« Nous évoluons rapidement vers un monde d’interconnexion totale. Fin 2019, 7,6 milliards d’appareils étaient connectés, et d’ici 2030, ce nombre pourrait atteindre 24 milliards. Ce réseau dense en connexions crée également de plus en plus de vecteurs d’attaque pour les cybercriminels. À mesure que les données circulent entre les applications d’entreprise, les logiciels dans le cloud ou en SaaS et les objets connectés, le risque pour les entreprises augmente considérablement. », explique Nabil Bousselham de Veracode.

Dans un rapport publié par Verizon portant sur les violations de données, il a été retenu que les applications Web étaient en majorité l’origine des fuites de données dans 43 % des cas. Par rapport à l’année 2019, ce chiffre aura connu une multiplication par 2. Bien sûr cela se comprend avec la généralisation du télétravail et la migration massive vers le Cloud à cause de la pandémie à coronavirus.

« Dans le secteur informatique, ces évolutions prendront la forme d’un modèle de responsabilité partagée : les fournisseurs de cloud se concentreront sur la sécurité des infrastructures, tandis que les entreprises donneront la priorité à la sécurité des applications. En outre, les solutions et fournisseurs de sécurité doivent désormais couvrir les infrastructures mobiles et IoT aux côtés des environnements informatiques traditionnels. Au fil du temps, les risques liés à la connectivité croissante conduiront à des modèles de confiance zéro (zero trust), dans lesquels aucun réseau, service ou appareil n’est fiable en soi et où tout doit être validé. », souligne Nabil Bousselham.

Par ailleurs, il faut mettre en évidence un autre facteur important concernant la place que la technologie et les programmes informatiques dans les entreprises. C’est d’ailleurs la troisième tendance qui affectera la sécurité informatique.

« La technologie et les logiciels deviennent le centre névralgique des entreprises, qui sont, par conséquent, continuellement à la recherche de méthodes pour innover et concevoir des logiciels plus rapidement. Cette quête de rapidité a entraîné une tendance à la componentisation : les équipes de développement décomposent ce qui était auparavant des applications complètes en blocs réutilisables les plus petits possibles – ou micro-services – afin de les combiner à leur tour pour former diverses applications. Cela permet aux entreprises de travailler de manière synchrone sur de nombreux éléments et de favoriser la réutilisation dans toute l’entreprise, ce qui augmente l’efficacité et la rapidité. Dans cet environnement, les interfaces de programmation d’applications (API) deviennent plus importantes que jamais, et les entreprises se tournent de plus en plus vers les bibliothèques open source pour accroître encore la vitesse de développement. », note Nabil Bousselham.

C’est un fait l’évolution dans ce secteur va augmenter grandement l’efficacité du développement logiciel. Cependant il ne faudra pas oublier que cela va rendre encore plus complexe l’ensemble du système et dans une certaine mesure plus venir le système.

Pour la troisième tendance il faudra préciser aussi son lot de spécification. « Le DevOps et l’automatisation du pipeline joueront un rôle plus important à l’avenir. Comme la vitesse de développement et de livraison des logiciels continue d’augmenter, la sécurité devra suivre le mouvement. Et à mesure que le développement de logiciels s’automatise, il en va de même pour tous les processus qui interagissent avec sa livraison. Cela entraînera l’évolution de la sécurité en tant que code, de la conformité en tant que code et de l’infrastructure en tant que code. En fin de compte, tout ce qui peut être du code sera du code, ce qui signifie que les changements ne seront introduits que lorsque le nouveau code sera mis en production. », décrit le spécialiste.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage

La sécurité cloud

La technologie du Cloud est en plein essor de nos jours.

Peu à peu, les entreprises sont en train de migrer vers l’utilisation des structures dans le but d’améliorer au mieux leur numérisation. Cet intérêt est motivé par plusieurs raisons. Et cela, Stephan Hadinger, directeur de la technologie chez AWS France nous l’explique en ces termes : « Le cloud offre de nombreux avantages aux entreprises en matière de cybersécurité, notamment le contrôle et la visibilité. Les organisations contrôlent à tout moment l’endroit où sont stockées leurs données, les personnes qui peuvent y avoir accès et les ressources consommées. Les contrôles d’accès et d’identité sophistiqués associés à la surveillance continue fournissent des informations de sécurité quasiment en temps réel, et garantissent que les bonnes ressources bénéficient des bons accès à tout moment, quel que soit l’endroit où les informations sont stockées. Un autre avantage d’une infrastructure cloud réside dans l’automatisation des tâches de sécurité. En réduisant le risque d’erreurs de configuration humaines, l’automatisation des tâches de sécurité permet une meilleure sécurisation des données et libère les équipes, qui peuvent se concentrer sur l’innovation ou sur d’autres tâches essentielles à l’activité de l’entreprise. Grâce aux nombreuses solutions intégrées disponibles qui peuvent être associées pour automatiser des tâches de manière innovante, l’équipe de sécurité et les équipes de développement coopèrent facilement pour créer et déployer du code plus rapidement et de façon plus sécurisée. D’un point de vue financier, le cloud est par ailleurs très avantageux puisque les entreprises ne paient que pour les services qu’elles utilisent. ».

Toutefois, si l’intérêt de Cloud grandit, cela aussi est question de sa sécurité. Car qui dit numérique dit obligatoirement sécurité informatique. Surtout dans une période où la cybercriminalité a le vent en poupe. Pour le responsable technique de Amazon Web Services France, la responsabilité en matière de sécurité informatique, « c’est une responsabilité partagée ». « La responsabilité partagée établit une distinction claire entre la sécurité du cloud et la sécurité dans le cloud ».

En effet si l’utilisation de l’automatisation, de l’intelligence artificielle, et du chiffrement réduisent conséquemment le risque de menaces informatiques, il faut néanmoins préciser que cela ne les annuler pas pour autant. Il faudrait alors pour les entreprises se fonder sur une stratégie particulière. « Pour prévenir les cyber-incidents et y réagir, les entreprises doivent mettre en place des stratégies complètes de sécurité : créer une application sécurisée et segmenter leur réseau d’une part ; détecter l’existence d’une menace dès le début d’autre part ; et bien sûr sauvegarder et chiffrer leurs données. » explique Stephan Hadinger. « Il est important de déployer une infrastructure sécurisée et conforme sur le cloud. Concrètement, il s’agit de mettre en place une stratégie basée sur un accès contrôlé, des systèmes mis à jour et cloisonnés, la détection précoce des menaces, des sauvegardes régulières, ainsi que des plans de continuité et de reprise d’activité prédéfinis et testés. Le cœur du modèle de l’utilisation d’AWS est construit sur un modèle « zero trust », plaçant l’authentification de l’accès au centre de toutes les actions sur la plateforme. » explique ce dernier. C’est d’ailleurs ce modèle qui est utilisé par Amazon Web services à travers son service AWS IAM (« AWS Identity and Access Management »), un service qui est sensé faciliter la mise en œuvre de politiques permettant aux privilèges d’être tracés dès qu’une action est effectuée sur le compte de client.

Un autre point important au niveau de la sécurité Cloud réside dans l’appréhension de la réponse à un incident « Pour réagir à un cyber-incident, il faut être capable de détecter l’existence d’une menace dès le début. Si un ransomware est détecté quand la demande de rançon apparait sur l’écran de l’ordinateur, cela signifie que l’hacker s’est déjà infiltré dans le réseau. La détection précoce des comportements anormaux des utilisateurs ou de l’activité du réseau est primordiale pour déjouer les menaces de logiciels malveillants et lancer les processus de contre-attaque. » expert l’expert de Amazon Web Services.

En définitive, le client est le fournisseur d’accès au service cloud doivent chaque de leur côté jouer un rôle particulier précis dans le but d’améliorer non seulement la protection des infrastructures et des données, mais aussi la prévention contre certaines menaces informatiques.

Accédez maintenant à un nombre illimité de mot de passe :

Découvrez nos logiciels de piratage