100 Intérêts

Des étudiants de l’Université de Princeton ont démontré il y a bientôt un an que cette attaque était possible. Aujourd’hui, ils ont amélioré leur technique et ils ont désormais des outils pour simplifier l’attaque. Voici un vidéo le démontrant:

Plusieurs personnes me demandent ce qu’ils doivent faire pour protéger les informations qu’ils détiennent. Comme il est souvent le cas avec les technologies, la réponse n’est pas noir ou blanc, elle se situe souvent à mi-chemin.

Une entreprise doit d’abord évaluer l’information qu’elle détient sur ses clients et/ou employés. Dans le cas d’un notaire, les renseignements personnels peuvent s’avérer nombreux. On pense au permis de conduire, numéro d’assurance-social, assurance-maladie, photo, signature, testament et j’en passe. Ceci est beaucoup plus d’information que la majorité des entreprises du Québec.

Le commissariat à la protection de la vie privée du Canada a un site web bien garni et voici ce qui est écrit:

En vertu du principe 4.7 de la Loi sur la Protection des Renseignements Personnels et les Documents Électroniques (LPRPDE), les organisations doivent protéger les renseignements personnels au moyen de mesures de sécurité correspondant au degré de sensibilité, à la quantité, à la répartition et au format de ces renseignements. Plus le degré de sensibilité des renseignements est élevé, plus les mesures de sécurité doivent être rigoureuses. Le principe 4.7.1 précise que ces mesures doivent « protéger les renseignements personnels contre la perte ou le vol, ainsi que contre la consultation, la communication, la copie, l’utilisation ou la modification non autorisées. »

Le principe 4.7.3 recommande aux organisations d’inclure les méthodes de protection suivantes dans les mesures de sécurité :

1. des moyens matériels, par exemple le verrouillage des classeurs et la restriction de l’accès aux bureaux;
2. des mesures administratives, par exemple des autorisations sécuritaires et un accès sélectif;
3. des mesures techniques, par exemple l’usage de mots de passe et du chiffrement.

Pour un notaire, ceci pourrait se traduire par les moyens suivants:

1. carte d’accès à proximité, système d’alarme avec NIP et évidemment, les classeur-voûte à l’épreuve du feu.
2. séparation des tâches entre les employés (accès sélectif, granularité)
3. identifiant unique pour chaque employé sur les postes de travail et les logiciels spécialisés. Chiffrement des données en transit sur des supports amovibles tel que clé USB, disque dur et cassette de sauvegarde. La biométrie peut être utilisé afin de simplifiez certaines tâches tel que la reconnaissance faciale ou les empreintes digitales.

Les notaires croient souvent à tord que les mesures de sécurité en place sont suffisantes. Toutefois, il faut prendre en considération qu’une mesure adresse souvent un seul aspect de sécurité. Assurez-vous de bien couvrir tous les aspects de sécurité, tel que la perte, le vol et la fraude.

Voici un exemple pris sur le site du Commissariat à la protection de la vie privée du Canada :

Au début de 2007, TJX a informé le Commissariat que ses systèmes informatiques avaient fait l’objet d’une intrusion et que les renseignements personnels associés à environ 45 millions de cartes de paiement pouvaient être touchés.

Le Commissariat a constaté que TJX avait en place des mesures de protection physiques, administratives et techniques au moment de l’intrusion.

Cependant, le Commissariat a constaté certaines lacunes dans les mesures de sécurité techniques de TJX, comme l’utilisation d’un protocole de chiffrement peu fiable et son échec à implanter une norme de chiffrement plus stricte dans un délai raisonnable.

Au moment de la découverte de l’intrusion à la fin de 2006, TJX travaillait toujours à la conversion de son réseau sans fil du protocole WEP (protocole de confidentialité équivalant aux transmissions par fil) au protocole de sécurité Wi-Fi Protected Access (WPA) pour améliorer le chiffrement de ses données. Le Commissariat a fait remarquer que l’utilisation du protocole WEP comme norme de sécurité était remise en question depuis au moins 2003 et que la version 1.1 des normes de sécurité sur les données de l’industrie des cartes de paiement, qui exigeait l’utilisation du protocole de chiffrement WPA, était en circulation depuis septembre 2006. Par conséquent, TJX aurait dû avoir adopté la norme de l’industrie, une norme beaucoup plus stricte que celle que TJX utilisait, avant la fin de 2006. De plus, TJX avait le devoir de surveiller ses systèmes, et si une surveillance appropriée avait été en place, l’organisation aurait eu connaissance de l’intrusion bien avant.

Par conséquent, si nous revenons à la Chambre des notaires du Québec, elle exige actuellement que les accès sans fil soit sécuritaire, mais elle ne fait pas de distinction entre les différents protocoles. Vous savez désormais que les protocoles WEP et WAP ne sont pas considérés comme sécuritaire par le Commissaire et par conséquent, il est probable qu’un juge arrive à la même conclusion lorsqu’il se positionnera sur “les mesures de sécurité raisonnables” demandées par les lois du Québec et le règlement sur la tenue des dossiers et des études des notaires.

En espérant que cela a pu vous éclairer sur le sujet.

Avec tous les documents que Wikileaks dévoilent au grand jour et les gouvernements qui tentent de les arrêter, il faut évidemment avoir un espace des plus sécuritaire et à l’abri des intempéries car la CIA ou quelconques services-secret pourraient bien vouloir lancer une bombe sur les infrastructures de Wikileaks. (Lire ici que Interpol a lancé un mandat d’arrêt contre Julianne Assange pour agression sexuelle)

Je trouve que Julianne Assange est bien brave dans tout ceci et la cause de Wikileaks, je la trouve nécessaire à la transparence que nos gouvernements devraient démontrer à la société qui les a élu.

Tous ces documents remettront bien des évènements en perspective, du moins, je l’espère.

Mais revenons à nos moutons, Wikileaks fonctionnent sur des serveurs hébergés en Suède. Le centre d’hébergement Pionen est la propriété de la compagnie Bahnhof. Cet établissement était auparavant un abri nucléaire pendant la guerre froide. Il repose en dessous de 30 mètres de roches de la montagne “White Mountain” au cœur de Stockholm.

Pour les plus geek d’entre vous, ce centre possède des engins de sous-marins allemands comme source d’énergie secondaire. Il y a également trois sources d’accès à l’Internet redondant (backbone access) et une salle de conférence en verre au dessus de tous les serveurs.

Le président de la compagnie a affirmé que les serveurs de Wikileaks étaient à l’abri des attaques physiques et légales.

Dominic Côté, ancien chef d’équipe TI du cabinet Ogilvy Renault, a plaidé coupable à 14 chefs d’accusation portés par l’Autorité.

Dominic Côté a effectué des transactions boursières sur les titres de 13 sociétés inscrites en utilisant des informations privilégiées qu’il obtenait à partir de son profil d’administrateur du système informatique au cabinet d’avocats.

L’amende qui lui a été imposée équivaut au double du profit qu’il a réalisé pour l’ensemble de ses transactions. L’amende s’élève à 1 260 336,56 $.

Le standard PCI-DSS (Payment Card Industry Data Security Standard) a été mis à jour aujourd’hui après presque 3 ans de travail et de consultation.

Les changements sont intéressant. Entre autre:

• Clarification au niveau de la segmentation des réseaux. La segmentation peut être physique ou logique.
• Clarification au niveau des réseaux sans fil
• Une explication est désormais nécessaire pour les éléments non-applicables.
• Ajout d’exemple pour les services et ports jugés non sécuritaire.
• Clarification des procédures de test
• Clarification du traffic réseau entrant et sortant
• Clarification sur l’utilisation du NAT
• Clarification sur l’utilisation de la virtualisation et de la règle “un service par serveur”.
• Les clés de chiffrement doivent désormais être changé lorsque celle-ci arrive à la fin de leur vie crypto plutôt qu’annuellement.
• Ajout d’exemple de gestion des clés de chiffrement
• Ajout d’une échelle de risque pour les vulnérabilités.
• Ajout des caméras vidéos dans les outils possibles pour la surveillance des accès.

Rien de nouveau me direz-vous? Effectivement, ce n’est pas une nouvelle fracassante. Cette nouvelle est plutôt revenu à la mode suite à des petits malins qui allaient dans les Apple Store pour débloquer les iPhone en magasin grâce au site jailbreakme.com. Apple a répondu à ces petits malin en redirigeant ces requêtes vers son propre site web (Apple.com).

Fait intéressant, les services d’OpenDNS ne sont pas très cher, même que le service de base est gratuit et un bureau d’avocat ou de notaire peuvent tirer profit de ce service. Les services d’OpenDNS protège un réseau d’entreprise contre les logiciels pernicieux et l’hameçonnage. Il s’agit donc d’une couche supplémentaire de protection qui est beaucoup plus proactive qu’un antivirus.

OpenDNS.com - N’hésitez pas à utiliser ce service.

Il est possible de voir l’évolution des TI dans nos vies et très souvent, il est rapporté que les juristes tardent à suivre la vague. Bien que sur certains aspects, il est impossible de le nier, le Barreau du Québec entame une initiative pour rectifier le tir envers ses membres.

En effet, le Barreau du Québec imposera aux avocats certaines obligations face aux technologies de l’information. Dans un texte de Dominic Jaar et François Sénécal intitulé “DéonTIlogie : les obligations de l’avocat face aux technologies de l’information”, voici ce qui en ressort (à mon sens).

• Le prochain Règlement sur la comptabilité et les normes d’exercice professionnel des avocats, impose à l’avocat d’«avoir accès à un ordinateur à son domicile professionnel et posséder une adresse de courrier électronique professionnelle établie à son nom »

• L’Association du Barreau canadien souligne que la compétence dépasse la simple connaissance de principes juridiques. [...] L’avocat devrait également acquérir et entretenir son aptitude à recourir à la technologie spécifique à son domaine d’exercice afin de conserver un niveau de compétence auquel on peut raisonnablement s’attendre de la part des avocats dans le cadre de leur pratique..

• Comme le mentionne le Barreau dans son guide sur la sécurité et les technologies dans la pratique du droit «connaître et savoir comment utiliser les TI constituent indéniablement aujourd’hui une des composantes importantes de la notion de compétence».

• Dans le domaine de la protection des renseignements personnels, des commissaires à la protection de la vie privée sont d’avis que les renseignements personnels «doivent être cryptés lorsqu’ils sont stockés sur des dispositifs vulnérables, tels que des ordinateurs portatifs ou des clés USB»

• La criminalisation de l’interception des communications justifie une expectative raisonnable du respect de l’aspect privé des communications. C’est ainsi que les communications par courriels non sécurisés ont été reconnues comme étant généralement acceptables, au début des années 2000.
• Publicité et offre de conseil en ligne : il est suggéré à l’avocat de «donner de l’information exacte et complète, et d’indiquer clairement que l’information est de nature générale, est pertinente à un ressort précis et ne pallie pas le besoin de conseils juridiques propres à une situation particulière.

Les documents sont disponibles à partir du site web de Ledjit

Ce qu’il faut retenir, c’est que les démarches du Barreau du Québec obligeront les avocats à évoluer. Dans le cadre d’un mandat, il m’a été possible de découvrir un réseau dans un bureau d’avocat qui était complètement accessible et qui me permettait de consulter tous les documents de cet avocat. Si j’avais voulu, j’aurais pu imprimer tous les documents sur son imprimante et tout ceci à partir du stationnement. Les juristes doivent être sensibilisés à la sécurité de l’information.

That is where we are heading!

http://www.appleinsider.com/articles/10/04/30/kraft_foods_adds_new_support_for_employees_choosing_macs.html

Companies will support the computer that we will enjoy and be more productive with.

Pour ceux que ça intéresse, le 18e colloque aura lieu à Charlevoix le 18 et 19 octobre prochain.