Les élections présidentielles sont-elles menacées par des cyberattaques ?

A l’aube des présidentielles françaises, le cyberespace est déstabilisé par de nombreuses attaques visant directement les sites des plus importants partis politiques.

Si les entreprises privées sont confrontées chaque jour à ce type d’attaques, les partis politiques n’ont pas forcément suivi la tendance en s’armant suffisamment contre des hackeurs décidés à semer le trouble. Il s’agirait d’un « phénomène nouveau et inquiétant en train de se produire au cœur de l’élection présidentielle » selon Richard Ferrand, le secrétaire général du mouvement EnMarche!.

L’affaire des mails d’Hillary Clinton lors de la campagne américaine avait d’ores et déjà révélé des failles existantes. Aujourd’hui en France, François Hollande a demandé en Conseil des ministres que des « mesures spécifiques de protection et de vigilance, y compris dans le domaine cyber » soient prises dans le cadre de la campagne électorale.

Face à cette effervescence, les attaques ont-elles un réel impact sur la campagne présidentielle ? De quel type d’attaque parle-t-on ? Quelles mesures sont prises par l’Etat ou les partis pour y faire face ?

C’est le site d’Emmanuel Macron, en-marche.fr, qui fait le plus parler de lui. En effet, selon Mounir Mahjoubi, responsable de la campagne numérique du candidat, près de 4000 attaques ont été recensées en un mois, ralentissant ou rendant le site inaccessible.

Interviewé par Le Monde le 14 février dernier, Mounir Mahjoubi indique qu’il peut s’agir de plusieurs types d’attaque.

D’abord, on parle de simples DDoS (attaques par déni de service) consistant à faire tomber un site Internet en le surchargeant de connexions simultanées. Ces attaques peuvent être commandées à distance, et sont assez simples à mettre en œuvre.

A l’heure des objets connectés, le cabinet Deloitte indique qu’en 2017, les attaques par DDoS « prendront de l’ampleur, qu’elles seront plus difficiles à atténuer et plus fréquentes. Au cours des dernières années, on a assisté à un jeu du chat et de la souris, dans lequel aucune des deux parties n’est devenue trop puissante. Cependant, la situation pourrait changer en 2017 en raison de l’abondance de dispositifs Internet des objets non sécurisés et du fait que les attaques à grande échelle exploitant les vulnérabilités des appareils IdO sont devenues plus simples à exécuter. », souligne le cabinet dans son rapport TMT Prédictions 2017.

(source https://www2.deloitte.com/ch/fr/pages/technology-media-and-telecommunications/articles/tmt-predictions.html)

Cyberattaques présidentielles
Rapport du cabinet Deloitte sur les attaques par DDoS

 

Une infrastructure DNS sécurisée avec filtrage anti-DDoS permet aujourd’hui de pouvoir supporter de telles attaques.

Ensuite, des injections SQL, consistant à modifier une requête SQL en injectant des morceaux de codes non filtrés, font parties des « meilleures » failles de sécurité pour les hackers. L’attaquant détourne les requêtes en y injectant une chaîne non prévue par le développeur et pouvant compromettre la sécurité du système. Mounir Mahjoubi indique qu’il existe des outils automatisés reconnaissables et maîtrisables. Cependant, certaines attaques sont plus spécifiques et par conséquent plus dangereuses.

Un troisième type d’attaque est recensé : les scans de port. Ce type d’attaque consiste à trouver les failles de sécurité d’un serveur réseau pour généralement préparer une intrusion.

Enfin, EnMarche! serait concerné par des tentatives de connexion à leurs bases de données, qui pourraient être bien plus préjudiciables.

Si Richard Ferrand a trouvé son coupable (la plupart des attaques étant identifiées par des IP venant d’Ukraine) en dénonçant une « ingérence d’un régime russe déterminé à déstabiliser l’un des candidats susceptibles de remporter cette élection », rien ne prouve formellement l’identité des hackers. Certes, la Russie est réputée pour recruter des hackers qui seraient plus qualifiés que la moyenne, disposant de formations qualifiées, de moyens techniques bien plus développés qu’en Europe, et coutumiers de la « tradition informatique » datant d’avant la chute de l’ex-URSS. Cependant, des techniques très basiques et accessibles permettent de détourner l’origine des requêtes.

Comme l’indique Damien Bancal, fondateur de Zataz, les programmes malveillants automatisés cherchant un accès sont nombreux en Russie. Ces programmes représenteraient 54% des connexions Internet selon 20minutes. Ils cherchent des portes d’entrée. De plus, des sites sous WordPress sont très facilement attaquables, surtout lorsqu’ils ne sont pas mis à jour régulièrement comme les sites de Monsieur Macron ou de Monsieur Fillon !

Ce qui semble sûr, c’est que ces attaques sont organisées et coordonnées par un groupe structuré, et non par des hackers agissant en solitaire.

Le Parti Socialiste a également été touché par des intrusions. Le 26 janvier dernier, une attaque DDoS a été revendiquée par Anonymous en dénonçant l’état d’urgence mis en place par le gouvernement.

Cyberattaques présidentielles
Compte Twitter de Jean-Christophe Cambadélis

Il existe donc des attaques, et cela inquiète nos candidats. Mais quels sont les réels risques pour leur campagne ?

Depuis l’élection de Donald Trump, il flotte comme une odeur de suspicion quant au rôle que la Russie aurait joué sur sa campagne. En effet, le Washington Post accuserait Vladimir Poutine et la Russie d’avoir influencé la campagne électorale américaine en faveur de Donald Trump par le biais de Sputnik, ce média critiqué et présenté comme un journal de propagande russe.

Aujourd’hui, ce doute plane au-dessus du Front National. Selon la DGSE, les services secrets russes seraient en train de préparer une campagne virale en faveur de Marine Le Pen, grâce à leurs robots capables d’inonder les réseaux sociaux de messages de soutien. L’idée est du susciter un engouement collectif à l’égard de la candidate afin d’influencer les français via les réseaux.

On le sait, l’information circulant sur les réseaux sociaux est virale. Si le martelage peut porter ses fruits, le risque se trouve également dans les diffusions via les réseaux sociaux de fausses informations. Le fameux média russe Sputnik avait notamment publié des rumeurs sur la double vie d’Emmanuel Macron,  largement relayées, et ensuite démenties par ses proches. Une fausse information publiée à un instant stratégique d’une campagne peut s’avérer catastrophique, car le démenti arriverait trop tard.

Toutefois, le plus gros risque reste de voir des données personnelles volées et diffusées. C’est ce qu’il s’est passé lors de la campagne de Mme Clinton, qui s’est vue voler plus de 20.000 mails échangés entre cadres du parti démocrate, dévoilés par Wikileaks, et utilisés dans le but de déstabiliser sa campagne. Selon la CIA, cette cyberattaque viendrait de Russie pour aider Donald Trump à gagner la présidentielle. Si cela est avéré, on peut dire que l’opération a réussi.

Par ailleurs, une inquiétude quant à la sécurité des votes a été soulevée.

Aujourd’hui en France, le vote se fait sur bulletin papier donc a priori, aucun risque ne peut exister de ce côté-là. Le seul risque, bien que minime, serait au niveau de la centralisation et du transfert des résultats auprès de la préfecture le soir des élections. Toutefois, il suffirait de recompter les bulletins pour se rendre compte de l’erreur, et cela pourrait être rectifié rapidement.

Pour les français résidant à l’étranger, le vote électronique aux législatives avait été rendu possible pour la première fois en 2012 et s’était déroulé sans incident. Mais dans ce contexte précis, et lié aux menaces que nous venons d’évoquer, ce droit a été annulé pour les prochaines législatives. Ainsi, les français résidant à l’étranger voteront de manière traditionnelle en juin 2017 et non par vote électronique. « Qui aurait pu comprendre qu’en juin prochain, à l’issue de l’élection présidentielle, on laisse s’organiser des élections législatives qui ne soient pas 100% fiables et incontestables? », précise Matthias Fekl, secrétaire d’État chargé du Commerce extérieur, de la Promotion du tourisme et des Français de l’étranger. Cette annulation due au risque de cyberattaque a été dénoncée par plusieurs candidats, dont François Fillon :

Cyberattaques présidentielles
Compte Twitter de François Fillon

A ce jour, l’Agence Nationale pour la Sécurité des Systèmes d’Informations (ANSSI) n’aurait pas détecté d’intrusions ou de tentatives de manipulation dans des opérations électorales, selon David Martinon, ambassadeur pour la cyber diplomatie.

Quelles sont les mesures prises pour répondre aux attaques ?

Côté Républicains, la politique de sécurité informatique semble être prise très au sérieux. Les Républicains ont décidé de renforcer leur système de sécurité. Gérald Darmanin, ancien secrétaire général adjoint du parti indique qu’une politique de mots de passe forts a été mise en place, que les prestataires informatiques sont choisis selon de hauts critères de qualité, que les données ou les documents sensibles ne sont pas transmis par mail. Ces pratiques relativement simples permettent aujourd’hui de parer d’éventuelles attaques.

Si l’ANSSI est rattachée à Matignon et sert aujourd’hui les intérêts de l’Etat, elle recommande toutefois aux différents partis d’adopter de bonnes pratiques en leur transmettant son Guide de l’Hygiène Informatique. « Paru en  janvier  2013  dans  sa  première  version,  le  Guide édité par l’ANSSI s’adresse aux entités publiques ou privées dotées d’une direction des systèmes d’information (DSI) ou de professionnels dont la mission est de veiller à leur sécurité. Il est né du constat que si les mesures qui y sont édictées avaient été appliquées par les entités concernées, la majeure partie des attaques informatiques ayant requis une intervention de l’agence aurait pu être évitée » peut-on lire en introduction.  42 points d’attention y sont listés, dont :

      • La sensibilisation et la formation de ses équipes
      • La politique de mot de passe et de gestion sécurisée des utilisateurs
      • Le chiffrage des données sensibles transmises par Internet
      • L’utilisation des protocoles réseaux sécurisés tels que HTTPS
      • La protection de la messagerie (antivirus, chiffrement TLS, anti-spam, bonne configuration des records DNS publics liés à la messagerie etc.)

Les partis politiques ont donc du retard sur les questions de sécurité et doivent traiter le sujet comme des entreprises privées le feraient. Il n’y aucune raison qu’ils soient épargnés par les hackers, bien au contraire. Si le sujet commence doucement à être pris en compte, un certain manque de réactivité, d’information ou de structure peut être désastreux pour une campagne.

Pourtant, ces problèmes ne sont pas nouveaux, rappelons par exemple que le site de Nicolas Sarkozy avait déjà fait l’objet d’attaques en 2007.

Si les leçons n’ont pas correctement été tirées du passé, c’est aussi parce que les attaques ont depuis très largement augmenté, de plus de 56% entre 2015 et 2016 et ce chiffre ne risque pas de faiblir et la sophistication de ces dernières croit chaque jour un peu plus.

C’est donc également en raison de cette augmentation et de la visibilité des attaques relatives aux partis politiques en temps d’élection que les menaces doivent être prises très sérieusement et les moyens de protection appliqués sur l’ensemble de la chaine.

 

Nameshield au Gala des DSI – Créer le futur par l’innovation numérique

Le Gala des DSI est un évènement leader de la profession, organisé chaque année par Agora Fonctions, accueillant plus de 200 directeurs des systèmes d’information des entreprises innovantes françaises, venus échanger au cours d’un diner-débat.

Nameshield a eu la chance d’être partenaire de cette soirée prestigieuse, alliant rencontres de qualité et contenu à valeur ajoutée. Lors de la soirée, le topic Gala des DSI a été vu 3 400 000 fois sur Twitter et a touché 275 000 personnes uniques. Cette 5ème édition a réuni pendant une table ronde Marie Cheval, DG de Boursorama, Serge Papin, PDG de Système U et Edouard Carle, DG du groupe Babilou.

Ces trois chefs d’entreprises considérées comme faisant partie des plus innovantes, ont pu témoigner de la transformation numérique dans leur secteur d’activité respectif.

Si Edouard Carle considère que le digital permet aujourd’hui une proximité et une meilleure compréhension de l’attente client, Marie Cheval nous met en garde : « le digital radicalise considérablement la stratégie de marques » de l’entreprise. Pour Serge Papin, le digital oblige l’entreprise à devoir repenser son organisation et son management.

L’agilité était au cœur des débats. L’entreprise d’envergure peut parfois être dépassée par l’évolution fulgurante du monde digital. Il est indispensable de pouvoir s’organiser (en terme de ressources, de management), de pouvoir s’informer, innover et surtout se sécuriser en amont. C’est ce que nous rappelle Marie Cheval : « Personne n’est totalement invulnérable, mais les menaces sont internes et externes ». Dans le secteur bancaire plus que jamais, quand on sait qu’en France, un compte sur trois est ouvert en ligne, la vigilance est de rigueur.

Se sécuriser sur le plan juridique via une stratégie de marques (déposer sa marque auprès d’un organisme officiel, déposer son nom de domaine, surveiller les atteintes sur le web, les réseaux sociaux, les places de marché etc) mais aussi sur le plan technique (veiller aux infrastructures, aux certificats SSL, aux accès, etc) sont deux aspects essentiels de la transformation digitale et numérique en 2017.

Nous vous invitons à découvrir plus de photos de l’événement sur le compte twitter de Nameshield.

Nameshield au Gala des DSI – Créer le futur par l’innovation numérique
Gala DSI 2017

Un parc de 3600 noms de domaine made in Trump

En 20 ans, le Président américain aurait déposé un total de 3643 noms de domaine, selon une enquête menée par CNN. Un parc de noms de domaine colossal montrant que Donald Trump, soucieux de la préservation de son image en ligne, a mené une politique de gestion de ses actifs immatériels relativement proactive et ce bien avant semble-t-il la naissance de ses ambitions présidentielles.

Dès 1997, Donal Trump entame la protection de son identité numérique avec l’enregistrement de l’évident DonaldjTrump.com, suivront de nombreux dépôts relatifs à son patronyme ou à ses activités professionnelles tels que TrumpOrganization.com ou trump.com.

L’homme d’affaire a également au fil des années déposé les noms de domaine composés de termes négatifs associés à son nom qui auraient pû lui desservir si enregistrés par des opposants ou adversaires, tels que trumpfraud.com (Trump fraudeur), trumpscam.com (Trump escroquerie), ou encore donaldtrumpSucks.com (Donald Trump Craint.com), déposé par un domainer et racheté par le businessman dès sa retombée dans le domaine public en 2014.  Amusant, l’habitué des dépôts de plaintes avait également acquis ImBeingSuedByTheDonald.com (Le Donald Me Poursuit En Justice).

Dès ses débuts en politique, le Président a enrichi son portefeuille de nombreux noms qui auraient pu servir à créer des sites en sa défaveur, tels que VoteAgainstTrump.com (Votez contre Trump), TrumpMustGo.com (Trump doit partir), and NoMoreTrump.com (Trump, ça suffit). Notons d’ailleurs que le dépôt du slogan de campagne de Trump, MakeAmericaGreatAgain.vote et MakeAmericaGreatAgain.us, avaient été déposés dès 2015, deux mois avant l’annonce officielle de sa candidature. Il semblerait que l’on puisse parfois lire dans les whois des noms de domaine comme dans un livre ouvert.

Extensions pays, alphabet et code ISO : et si le Kazakhstan changeait d’alphabet, que deviendrait le .KZ ?

La création des extensions dites « pays » s’est faite selon la norme ISO3166-2, donnant un identifiant à deux caractères à un pays donné (par exemple, FR pour la France ou encore PE pour le Pérou). Cette norme étant basée sur l’alphabet latin, les pays utilisant un autre alphabet ont alors dû se contenter du fameux code ISO en caractère latin. Ce fut le cas entre autres de la Chine avec le CN, de la Russie avec le RU, etc.

Au sein des anciennes républiques socialistes soviétiques, le Kazakhstan, représenté par le code ISO KZ, utilise depuis de nombreuses années l’alphabet cyrillique à 42 caractères. Cependant, le pays souhaite désormais utiliser l’alphabet latin, ce qui remettra en cause l’écriture même du nom du pays.
https://www.wsj.com/articles/a-quarrel-over-the-letter-k-breaks-out-in-an-unfortunate-place-kazakhstan-1486744336

Ainsi, la compagnie aérienne kazak s’écrit en caractères latins et se nomme Qazaq Air. De facto, si le nom du pays change selon l’alphabet latin, passant de KAZAKHSTAN à QAZAQSTAN, on peut se poser la question du ccTLD associé : les noms de domaine kazakhs utiliseront-ils le suffixe QZ en lieu et place de KZ ? Le code ISO associé évoluera-t-il et l’extension pays avec lui ? La question reste entière.

Historiquement, les mouvements géopolitiques ont eu des incidences sur les ccTLDs, ces codes n’étant que les reflets des territoires existants. Cependant, la règle d’application de la norme ISO 3166-2 n’a pas toujours été parfaitement respectée : le Royaume-Uni utilise par exemple le .UK et non .GB, l’Australie .AU et non .OZ et la chute de l’Union Soviétique n’a pas donné lieu à l’extinction du .SU.

Car en effet, l’économie liée à la vente de noms de domaine en fonction d’une homophonie intéressante reste lucrative lorsque l’on sait que l’enregistrement de .ME représente 2 % du PIB du Montenegro et que les îles de Tuvalu ont émis une série de timbre lors de la signature du partenariat avec Dot TV pour la gestion du .TV
Cependant, même si l’on imagine le lucratif marché que le voisin Turkmène génère avec son .TM (homophonie avec TradeMark), il est moins aisé d’imaginer le business occasionné par .KZ.

Alibaba utilise la technologie pour endiguer la contrefaçon et récolte ses premiers lauriers

En décembre 2016, la plateforme Alibaba a été placée sur la liste noire américaine des contrefaçons. Les défenseurs de l’industrie américaine ont même qualifié le site de la société Taobao (la plus grosse plateforme e-commerce au monde) de place de marché « notoire » pour la contrefaçon et la piraterie.

Alibaba cherche depuis lors à combattre cette réputation. Aussi un programme appelé Opération Cloud Sword, usant de la technologie big data, telle que des algorythmes avancés, l’utilisation du Machine learning (apprentissage automatique), la reconnaissance optique de caractères (ROC), la technologie de cartographie, est utilisé pour fournir des indices permettant d’aider à l’identification et à la suppression des contrefaçons.

En janvier, Alibaba a poursuivi pour violation de contrat deux revendeurs de montres Swarovski contrefaites qui auraient relié des marchands désireux de falsifier leurs achats et écrit des commentaires positifs sur la plateforme e-commerce Taobao. La société a réclamé 1,4 millions de Yuan de dommages, soit environ 193 000 €. La police de Shenzhen a perquisitionné et saisi plus de 125 montres contrefaites à la suite de la plainte déposée par Alibaba. Le site avait alors utilisé des données recueillies et analysées pour identifier les marchands de montres Swarovski contrefaites, puis acheté une montre au vendeur dans le cadre d’un programme d’achat-test.

Zheng Junfang, l’un des dirigeants du groupe chinois Alibaba a déclaré : « Nous allons déployer tous les moyens légaux contre ces contrefacteurs afin de décourager tous ceux qui penseraient s’engager sur cette voie criminelle, et ce où qu’ils soient ».

Un nom de domaine racheté 1,5 millions de dollars : un investissement expliqué par l’acquéreur

rachat de nom de domaine

Selon la valorisation d’un nom de domaine existant, son rachat peut représenter un investissement conséquent. De quelques centaines à plusieurs milliers d’euros, des cas plus rare de transaction colossale existent également.

Dernièrement, le cas d’une acquisition pour un montant digne des cas d’école en la matière de 1,5 millions de dollars a été rendue publique. Noah Kagan, co-fondateur de SUMO.COM explique que le jeu en vaut parfois la chandelle dans une récente interview parue sur le site entrepreneur.com[1].

En effet, ancien cadre chez Facebook et créateur de Sumo (outil de web-marketing qui connait un franc succès), Noah a dépensé 1,5 millions de dollars pour racheter le nom de domaine qu’il espérait tant et ainsi « rebrander » sa société sumoMe.com en Sumo.com.

Après 7 ans de tentative d’acquisition du nom sumo.com, une multitude de mails au titulaire, de rachat de noms approchant pour se rassurer (comme SumoS.com), ce chef d’entreprise a enfin pu reprendre la titularité du nom pour l’équivalent, comme il le souligne dans l’article, du prix de cinq maisons à Austin où sa société est basée !
Voici les arguments de Noah Kagan expliquant sa stratégie et la raison de cet investissement conséquent :

– C’est juste un mot. Il y a un vrai choix stratégique à communiquer sur le web via un seul et unique mot. De la même manière que Mark Zuckerberg a beaucoup investi pour transformer thefacebook.com en facebook.com, Noah estime que la communication d’un seul nom a beaucoup plus d’impact et de prestige aux yeux des internautes.

– C’est un nom de domaine court, en quatre lettres. Plus un mot est court, plus il est identifiable, mémorisable et surtout, ce mot inspire confiance

– La distinction via le nom. Noah raconte que beaucoup d’entreprises communiquent avec « sumo » au contenant ou approchant dans leurs noms de domaine. Mais grâce à l’acquisition de sumo.com, Noah communique fièrement sur sa marque et peut dire sans scrupules « We are the Sumo.com »

Pour toute estimation et valorisation, n’hésitez pas à contacter les experts Nameshield.

[1] https://www.entrepreneur.com/article/288629

Trouver assistance lors d’une cyber malveillance : c’est possible grâce à ACYMA

acyma

Fin janvier 2017, lors du FIC (Forum International de la Cybersécurité) à Lille, ACYMA « Actions contre la cyber malveillance »,  a été dévoilé au public. C’est un nouveau dispositif du gouvernement français d’aide aux victimes de cyber malveillance pour les TPE, les PME, les collectivités locales et les particuliers face au piratage informatique tels que les ransomware, les botnets, les vols de données, et autres tentatives d’espionnage ou de sabotage devenus malheureusement de plus en plus fréquents ?

Aujourd’hui, nous constatons que les victimes des cybers attaques ne sont pas seulement les sociétés du CAC40 et les entreprises les plus connues du grand public, mais aussi et de plus en plus les TPE et PME. Avoir un rayonnement national ou international pour les entreprises n’est plus un critère de choix pour les cybersquatteurs. Tout le monde y passe, il faut parvenir à cette prise de conscience. C’est en réponse à ce constat que ce nouveau dispositif entend apporter une assistance aux victimes de cyberattaques et anticiper leurs questions.

Ce portail permettra ainsi aux victimes de poser un premier diagnostic sur leur attaque et rédigera les utilisateurs vers des prestataires de proximité capables de les aider à résoudre leur problème. Cette mise en relation débloquera de nombreuses situations techniques.

De plus, l’ACYMA sera également chargé d’une mission de sensibilisation sur les bonnes pratiques en matière de cyber sécurité et de sécurité numérique grâce notamment à une campagne de publicité pour toucher le plus grand nombre.

Enfin, cette plateforme sera la naissance d’un observatoire du risque numérique  grâce au recueil de statistiques et de données concernant les actes de cyber malveillances en France.

Aujourd’hui, cette plateforme se développe au sein de l’ANSSI (Agence Nationale de Sécurité des Systèmes d’informations) Pour remplir ces objectifs, un Groupement d’intérêt public (GIP) permettant l’implication financière et opérationnelle d’acteurs privé sera constitué.

La plateforme sera lancée dans une phase pilote dans la région des Hauts de France dans deux mois.

#FIC2017 #ACYMA #CyberSecurité #Ransomware #ANSSI

Quand les fake news font l’actualité : de l’importance de bien gérer son identité Internet

Fake news

La récente affaire d’usurpation d’identité dont a été victime une société du CAC 40 dernièrement montre les failles de la confiance sur Internet. Dans un monde journalistique en péril, la recherche de la viralité, donc du clic, donc du profit, est constante. Quitte à ne pas vérifier ses sources. Comprenons-nous, la majorité des journalistes n’est pas tombée dans le panneau. La minorité, elle, a communiqué sur les pertes de la société en question, fakes news, entraînant la circonspection de ses actionnaires, avec le résultat que l’on connaît.

Le temps du journal tiré à la rotative à 6h du matin semble désormais dépassé. Le monde de l’information asynchrone est révolu, l’alerte de l’information se synchronise avec l’information et celui qui dégaine le premier la nouvelle remporte l’audience. Dans notre cas, essayons de faciliter le regard du journaliste et au-delà du commun des mortels : comment faire en sorte que son identité soit effective ?

Prenons l’exemple de Bloomberg qui a souffert d’une affaire similaire. Regardons comment l’entreprise communique : WWW.BLOOMBERG.COM est le vaisseau numérique amiral : tout est lié. Excepté lorsque l’on regarde les adresses mail proposées dans la rubrique contact : inquiry1@bloomberg.net. Le service communication est donc joignable via cette adresse ! Si l’on ne tient pas rigueur de ‘inquiry1’ , pourquoi Bloomberg communique en .NET et .COM ?

En d’autres termes, une cohérence numérique est plus que jamais importante et surtout nécessaire : si une entreprise ne communique que via une adresse physique unique (quartier général), pourquoi ne le fait-elle pas de manière identique au niveau numérique ? A l’inverse, quand différentes entités locales existent, la cohérence extension/pays doit également être de mise.

L’absence de stratégie numérique peut entraîner une confusion de l’internaute, qu’il soit un particulier ou un professionnel : si demain vous recevez un courriel @bloomberg.cx, vous pourrez être amenés à penser qu’il s’agit probablement de Bloomberg puisqu’ils communiquent en .COM et .NET . C’est pourquoi il est primordial de mettre en place des stratégies numériques cohérentes et claires.

Le décret du président Trump sur la «Sécurité publique» a-t-il tué le Privacy Shield ?

Les gouvernements accordent beaucoup d’attention au respect de la vie privée et des droits de l’homme et ce à juste titre.  Pourtant, ils sont aussi conscients que certaines situations exigent que les autorités publiques accèdent au contenu des communications électroniques. Les trois dernières décennies de négociations et d’accords sur ce qui constitue les niveaux acceptables de partage des données personnelles et des communications entre les États-Unis et l’Europe ont débouché, en début d’année 2016, sur le Privacy Shield, accord prévoyant les obligations de protection et de contrôle des données personnelles des citoyens Européens.

Dès sa première semaine à la Maison Blanche, le Président Donald Trump a signé six décrets exécutifs (Obama en avait signé cinq dans la même période). Parmi ces derniers, l’ordonnance «Améliorer la sécurité publique à l’intérieur des États-Unis» a provoqué une réaction et une controverse sans précédent dans la mesure où elle induit une tentative d’interdiction aux citoyens de sept pays de fouler le plancher américain. Cette même ordonnance annonce également des retombées quant à la protection des données et des droits de l’homme en dehors des frontières américaines.

L’article 4 du décret ordonne aux organismes d’employer «tous les moyens légaux pour assurer la parfaite exécution des lois d’immigration des États-Unis contre tous les « étrangers déportables ». L’article 14 stipule que «les agences veilleront, dans la mesure où cela est compatible avec la loi applicable, à ce qu’en matière de protection de la vie privée, soient excluent des protections offertes la Loi sur la protection des renseignements personnels tous ceux qui ne sont ni citoyens des États-Unis ni résidents permanents légaux».

Ces articles concernent tous les visiteurs et les ressortissants étrangers, quelle que soit leur nationalité. Un « étranger déportable » se référant donc à tous les non-citoyens des États-Unis, il sera très aisé, une fois cette ordonnance en place, de considérer tout ressortissant non américain comme représentant un risque pour la sécurité publique, donnant ainsi un motif légal aux autorités pour accéder au contenu des communications électroniques et des informations personnelles.

L’accord Privacy Shield indique que les entreprises opérant dans l’UE peuvent partager et envoyer des données personnelles à des «pays tiers» en dehors de l’EEE (Espace économique européen) si, et seulement si, ceux-ci garantissent des niveaux de protection adéquats et assurent l’équivalence de la protection de la vie privée aux données des citoyens européens aux Etats-Unis et que la surveillance s’avère nécessaire et raisonnable (contrairement aux programmes de surveillance de masse du gouvernement américain qui ont entraîné l’invalidation de l’accord Safe Harbor). L’essence même du droit fondamental au respect de la vie privée ne doit pas être violée.

En considérant tout non-citoyen américain comme un « étranger déportable », il est difficile de voir de quelle manière l’équivalence de la protection pour les citoyens des États-Unis et de l’UE peut être assurée.

Game over HTTP, welcome HTTPS

Chrome 56 et Firefox 51 sont arrivés et sonnent le glas de l’ère du HTTP.

Annoncée depuis longtemps, l’apparition des termes « Non sécurisé » dans la barre d’adresse est maintenant effective pour toutes les pages contenant la saisie de mots de passe qui seraient encore en HTTP.

Plus qu’un long discours, voilà à quoi cela peut ressembler sur un site à très fort trafic :

Traitement HTTP sur la page d’accueil du site, à gauche Chrome 56, à droite Firefox 51, depuis le 27 janvier 2017
(Traitement HTTP sur la page d’accueil du site, à gauche Chrome 56, à droite Firefox 51, depuis le 27 janvier 2017)

Nous vous laissons imaginer les conséquences sur l’image de marque qui n’offre pas la sécurité attendue à ses internautes peu enclins à poursuivre leur navigation avec de telles alertes : perte de confiance, baisse des taux de clic et conversion, augmentation du taux de rebond et, au final, perte de chiffre d’affaires au profit d’autres sites web. Dramatique.

N’oublions pas non plus que les pages concernées pour l’instant sont uniquement celles contenant des données à sécuriser (mot de passe, paiement en ligne), mais que la volonté des deux géants du web est de considérer à l’avenir toutes les pages en HTTP comme « Non Sécurisé », affiché en rouge.

Pas de calendrier annoncé pour l’instant, mais la machine est en marche comme l’a confié Emily Schechter, chef de produit Chrome Security dans son fameux post de septembre 2016 :

“Historically, Chrome has not explicitly labelled HTTP connections as non-secure. Beginning in January 2017 (Chrome 56), we’ll mark HTTP sites that transmit passwords or credit cards as non-secure, as part of a long-term plan to mark all HTTP sites as non-secure,”

Comment s’organiser

Le trafic HTTPS mondial vient de passer le cap symbolique des 50% (50,15% à fin janvier 2017, contre 39% un an plus tôt), porté notamment par l’initiative Let’s Encrypt. Actuellement, au niveau mondial le protocole HTTPS est déployé sur plus de la moitié du top 100 des sites figurant sur l’indice Alexa et 44 % d’entre eux l’ont activé par défaut.

Mais la France est en retard (voir notre article précédent sur le sujet ici), en particulier dans le monde de l’entreprise où l’inertie est importante, de même que la peur du déréférencement ou de la chute des revenus publicitaires.

Demain tous les sites web seront concernés, du site web de vente en ligne au simple site vitrine, tous devront passer au HTTPS pour rassurer les internautes. Si la réflexion n’est pas déjà lancée au sein des équipes web et marketing de votre entreprise, il est plus que temps de se positionner.

• Former et informer vor équipes : HTTPS, certificats SSL ;
• Définir votre stratégie de certification : Autorité de Certification, types de certificats, workflow ;
• Identifier l’ensemble des sites web de votre société… et définir les priorités d’action :

1-Sites contenant un espace de saisie de données personnelles (formulaire, login, mot de passe, récupération de mot de passe, achats en ligne) => vérifier la présence de httpS
2-Sites corporate, vitrine, flagship : prévoir de passer en httpS par défaut en 2017
3-Sites secondaires

• Préparer la transition vers le httpS avec vos équipes web
• Effectuer la transition vers le httpS des sites identifiés et surveiller le bon déroulement
• Gérer vos certificats

Nameshield vous accompagne

Notre équipe d’experts SSL vous accompagne dans la formation de vos équipes en organisant régulièrement des réunions d’information au sein de ses locaux pour vous permettre d’échanger avec d’autres acteurs du marché.

Nous mettons également à votre disposition les outils nécessaires à la prise de décision (audit, analyse, conseil).

Nameshield est fournisseur reconnu de solutions de sécurisation de vos sites web : certificats SSL, DNS, registry lock, n’hésitez pas à contacter nos équipes pour plus de renseignements.

SAVE THE DATE – 11 mai 2017 : le SSL café

Nous vous proposons de nous retrouver autour d’un petit déjeuner dans nos locaux pour échanger sur le marché des certificats SSL/TLS, l’actualité, les problématiques et les solutions à mettre en place pour un passage au HTTPS sans encombre. Inscrivez-vous par email ou téléphone auprès de votre contact habituel.