Total Pageviews

Monday, November 21, 2016

ANR table-ronde Internet des Objets

Le jeudi 17 novembre 2016 s'est tenue une table-ronde "Sécurité des objets connectés" organisée dans le cadre des rencontres numériques de l'ANR (Cité des Sciences et de l'Industrie. Paris).
Ont participé au panel:
- Daniel Ventre, CNRS
- Christine Balagué, Institut Mines-Telecom
- Silvia Giordano, Networking Lab
- Thomas Gayet, CERT-UBIK, Digital Security.
La table-ronde était animée par José Araujo (ANSSI). 

Friday, November 4, 2016

Création de bases de données à caractère personnel et conscience des risques

Les citoyens sont fichés de mille et une manières, que ce soit par l’administration ou le secteur privé. Pour chaque individu, des données sont créées avant même sa venue au monde, et le processus le poursuit tout au long de sa vie et au-delà. Pourtant, toutes ces données sont très vulnérables. 

Les bases de données, fussent-elles créées et gérées par les Etats (ou leurs prestataires) ne sont pas des forteresses inattaquables. Les bases de données sont des objets extrêmement fragiles, vulnérables aux cyberattaques, aux vols, à la copie, à l’altération des données, au sabotage. Les exemples peuvent être cités, par centaines, d’atteintes aux bases de données un peu partout dans le monde. Les plus volumineuses des bases, qui regroupent les données de millions de citoyens, ne sont pas nécessairement les mieux sécurisées :
  • En 2006, l’administration américaine des vétérans a vu les données de 26 millions de citoyens exposées suite à un vol d’ordinateur
  • Au Royaume-Uni, en 2007, l’HM Revenue and Customs Department a perdu des supports contenant les données de 25 millions de personnes bénéficiant d’aides sociales
  • En 2012, la police de Manchester perd une clef usb contenant les données personnelles d’un millier de témoins impliqués dans des enquêtes criminelles  
  • Les systèmes du gouvernement américain ont subi des attaques se soldant par le « vol » de données de plus de 21 millions de citoyens du pays. L’affaire a été révélée en juillet 2015. Les données volées concernaient les citoyens ayant travaillé pour l’Etat. Les données contenaient numéros de sécurité sociale, adresses, noms, historiques médicaux et financiers, etc.
  • En février 2016, des hackers piratent les bases de données de l’administration américaine et divulguent les données de 10 000 employés du DHS, puis celles de 20000 employés du FBI

Tous les secteurs sont concernés par les vols et pertes de données : banques, industries, éducation, santé, police, défense, secteurs sensibles…  Car tous les systèmes, toutes les organisations, ont leurs failles (techniques, humaines).  


A la lumière de cette seule brève énumération d’incidents, ne semblerait-il pas plutôt recommandé d’opter pour d’autres stratégies que la mise en fiches de populations entières ? Et de lui préférer a contrario une segmentation des données, une réduction des volumes des bases, du nombre de données collectées et regroupées ?