Technologie d’externalisation, enjeux et limites en Afrique

L’avancée technologique est vraiment un phénomène sans limite. Il y a peu, tous les services des serveurs étaient configurés localement pour activer l’Intranet ou les clients distants d’un fournisseur d’accès Internet. De nos jours, le progrès technologique va au delà de ces réalités techniques comme celui de l’externalisation des services.
La technologie d’externalisation est un système informatique qui supporte des serveurs robustesses et des applications qui permettent aux clients distants par le biais d’un contrat dûment signé de bénéficier des services :

  • Hébergements de sites web,
  • Hébergement de noms de domaines de la messagerie,
  • Hébergement de bases de données dynamiques,
  • Utilisations des applications en lignes (progiciels, bureautiques,…),
  • Sauvegarde de données,
  • Etc.

L’exploitation de cette technologique (externalisation) exige cependant un minimum de présence d’équipements techniques chez l’utilisateur. Cette configuration technique de l’utilisateur doit permettre l’accès distant afin de bénéficier des services demandés chez le prestataire, quelque soit sa localité. Les équipements physiques et logiques représentatifs de l’utilisateur sont :

  • Serveur d’accès proxy avec un accès haut débit d’Internet,
  • Système réseautique,
  • Système de sécurité,
  • Progiciels,
  • Etc.

En Afrique, bien qu’avec l’arrivée de la technologie d’externalisation, les utilisateurs font toujours recours aux expertises locales afin de leurs permettre des études techniques pour la conception et la réalisation des systèmes réseautiques parvenant à des services locaux.
Cette attitude s’explique à plusieurs niveaux :

  • Limites des moyens financiers pour l’externalisation des services,
  • Manque de confiance pour l’exportation des données sensibles,
  • Limites technologiques,
  • Manque d’information,
  • Etc.

D’une part, l’Afrique a tout à gagner à se donner à la technologie d’externalisation (claud computing) car les sociétés en demande de dernière technologie sont nombreuses et pourraient bénéficier des plages de propositions techniques très larges. En effet, nul ne doute de l’existence des grande Firmes occidentales pouvant apporter des expertises.
D’autre part, l’Afrique n’a pas du tout intérêt de confier totalement son lentement technique aux Firmes occidentales. Ce comportement « facile » pourrait engendrer de grands dommages techniques et socio-politiques sans fin :

  • Manque d’entrée financière,
  • Baisse des expertises techniques Africaines,
  • Retard technologique,
  • Dépendance totale technologique,
  • Exportation des données sensibles,
  • Exposition aux « mouchards »,
  • Etc.

Certes l’Afrique ne doit dire un non absolu à l’avancée technologique, cependant, elle doit assurément faire le bon choix selon les contextes donnés.

Vu les enjeux, des politiques nationales sont ultimes permettant de prendre des décisions importantes afin de faire face aux intérêts, car, l’on parle de nos jours de cyber guère.

COMPAORE Abdramane
Ingénieur informaticien,
Enseignant vacataire/Formateur,
Expert en TIC et en Cybersécurité,
Consultant indépendant.

Cellulaire : (+226) 70 24 66 22
Blog: http://afric-teach.blog4ever.com

Publicités

Cybercriminalité, un fléau planétaire

Depuis les années 84, la naissance de la micro informatique à réjoui plus d’une personne. L’on était admiratif de l’outil et des services rendus.

Toute fois, on ne pouvait s’imaginer dès lors du progrès fulgurant qu’aurait connu l’informatique. De plus, son mariage avec les télécommunications et l’électronique a abouti à la naissance des TIC.

Ainsi, plus les années passèrent, plus les TIC évoluèrent vers le monde réseautique et Internet. Internet, le réseau des réseaux, à permis évidemment l’interconnexion planétaire et les échanges des données.

D’un succès planétaire des TIC et Internet, l’on avança tout doucement à la naissance des premiers cas d’intrusions informatiques plus au moins conséquentes et arriva la cybercriminalité.

La cybercriminalité ; l’attaque malveillante dans un cyber espace à l’aide des outils technologiques, est un fléau mondial qui parasite le développement socio-économique des individus ou internautes.

Dans les actualités médiatiques, il est souvent question :

 De piratage de comptes : twitter, facebook des personnalités. Ces piratages, bien que « moindres » pourraient ternir l’image des concernés.

 De scamming : l’envoi des messages d’arnaques sur les comptes mails afin de soutirer frauduleusement de l’argent.

 De vol de données sensibles : bancaires, académiques, industrielles, …

 D’usurpation : d’identité, de nom de domaine, d’adresse IP, …

 De déni de service : saturation de serveurs et mise « hors service »,

 De canular : des faux messages circulant sur internet pour détourner l’attention et la conduite des internautes à leur profit.

Ces pratiques malsaines témoignent l’impact social que pourrait engendrer l’effet de la cybercriminalité. Ces pratiques sont sans limites.

Evidemment, nul n’est à l’abri et ne peut être à l’abri de la cybercriminalité ; car, naturellement l’homme du 21 ème siècle utilise les TIC et Internet pour mener à bien ses activités professionnelles:

 La messagerie électronique,

 La téléphonie IP,

 La Vidéo conférence,

 La messagerie instantanée,

 Etc.

 Ces comportements courants facilitent les cyberattaques par des ouvertures des « portes dérobées » sur les serveurs hébergeant ces différents services. Alors, des outils de protections adaptés sont mieux indiqués et nécessaires.

En effet, la lutte contre la cybercriminalité n’est pas du tout une chose aisée, puisque le combat demande énormément des expertises à tenir et à conduire parallèlement sur plusieurs plans :

 Etatique : une politique visant la cybersécurité,

  Juridique : des projets de lois incriminant la cybercriminalité,

  Institutionnel : la création des agences,

 o administratives (création des bureaux de certifications)

 o techniques (sauvegarde des données nationales sensibles, contrôle du cyber espace national, plan de continuité d’activité, lutte contre les intrusions, les malwares, …).

 Informationnel : Information des sorties des malwares, sensibilisation, formation.

 Malencontreusement ; la cybercriminalité est un phénomène grandissant, elle touche d’avantage tous les secteurs et crée de sérieux dommages à travers la société. Alors, il est capital de trouver des voies et moyens pour mieux la combattre sur tous ces aspects.

COMPAORE Abdramane

Ingénieur informaticien,

Expert en cybersécurité,

Consultant Indépendant.

http://afric-teach.blog4ever.com

Hadopi largement censurée par le Conseil constitutionnel

Les Sages estiment notamment qu’il ne peut y avoir coupure de l’accès internet sans décision judiciaire. Ce que tous les détracteurs du texte dénonçaient jusqu’à présent. Christine Albanel et le gouvernement devront trouver autre chose…

C’est non. Saisi par le Parti socialiste en mai dernier, le Conseil constitutionnel vient de censurer en grande partie la loi Hadopi qui vise à combattre le téléchargement illégal. Ce qui pour le gouvernement devait être une formalité se transforme en cauchemar éveillé. Aujourd’hui, il lui faut donc repartir de zéro ! Les attendus des sages de la rue Montpensier, gardiens des droits et libertés constitutionnellement garantis, ont en fait retoquer ce qui était le plus critiqué : permettre à une autorité administrative de décider de couper l’abonnement d’un internaute en cas de téléchargements répétés, sans décision judiciaire, dans le cadre de la fameuse riposte graduée (article 5 et 11). L’Hadopi pourra néanmoins avertir, mais plus sanctionner.

La loi n’est donc plus qu’une coquille vide. Lire la décision complète du Conseil constitutionnel Présomption d’innocence Considérant qu' »Internet est une composante de la liberté d’expression et de consommation », et qu' »en droit français c’est la présomption d’innocence qui prime », le Conseil indique que « c’est à la justice de prononcer une sanction lorsqu’il est établi qu’il y a des téléchargements illégaux ». Et de préciser : « La liberté de communication et d’expression, énoncée à l’article 11 de la Déclaration des droits de l’homme et du citoyen de 1789, fait l’objet d’une constante jurisprudence protectrice par le Conseil constitutionnel [|…] Cette liberté implique aujourd’hui, eu égard au développement généralisé d’internet et à son importance pour la participation à la vie démocratique et à l’expression des idées et des opinions, la liberté d’accéder à ces services de communication au public en ligne« .

Le rôle de la Haute autorité (Hadopi) est d’avertir le téléchargeur qu’il a été repéré, mais pas de le sanctionner », conclut le Conseil. C’est clair comme de l’eau de roche. Cette position rejoint surtout celle des détracteurs du texte qui se sont battus des mois durant pour faire plier le gouvernement.

Le Conseil valide également le vote des députés européens qui ont adopté un amendement excluant justement la coupure du Net par une autorité qui ne dépend pas de la justice. Par ailleurs, le loi prévoyait que c’est à l’internaute de prouver que l’adresse IP repérée par les ayants-droit n’était pas la sienne.

Un point également rejetée par les Sages. Pour eux, « en méconnaissance de l’article 9 de la Déclaration de 1789, la loi instituait ainsi, en opérant un renversement de la charge de la preuve, une présomption de culpabilité pouvant conduire à prononcer contre l’abonné des sanctions privatives ou restrictives du droit« .

Camouflet 2.0

C’est un véritable camouflet pour le gouvernement et principalement pour la ministre de la Culture Christine Albanel qui a fait de ce texte une priorité. Un texte qui n’a jamais vraiment convaincu puisque les députés l’avaient déjà rejeté grâce, il est vrai, à l’absentéisme des députés de la majorité. Vivement critiqué, au sein même de la majorité, dénoncé par les associations de consommateurs, par de nombreux artistes, liberticide, impossible techniquement à appliquer, la loi Hadopi n’est plus.

Désormais, le gouvernement devra complètement revoir sa copie en remettant, par exemple, la justice au centre de la riposte graduée, une option qu’il refusait, expliquant que les délais de décision seraient bien trop longs. Et si le Conseil constitutionnel n’avait pas censuré la loi Hadopi… ZDNet.fr a imaginé deux scénarios de politique-fiction

Par Olivier Chicheportiche, ZDNet France

Le projet de loi Hadopi définitivement adopté

musique-justice-97x72

Projet de loi Hadopi

Le projet de loi Hadopi définitivement adopté Après les députés, les sénateurs ont approuvé le projet de loi Création et Internet sanctionnant le téléchargement illégal, mercredi 13 mai.

Le texte est ainsi officiellement adopté : le Sénat a largement voté en faveur du texte (189 voix pour, 14 voix contre), sans apporter d’amendements, La majorité UMP et Union centriste a voté pour, tandis que la gauche PCF et PS ont choisi de ne pas prendre part au vote.

Mardi, les sénateurs socialistes avaient annoncé qu’ils ne participeraient pas au vote et qu’ils ne déposeraient pas d’amendements, après avoir approuvé le texte en première lecture, puis s’être abstenu en Commission mixte paritaire (CMP).

Pourtant, la socialiste Samia Ghali a quand même voté contre, tout comme les sénateurs Verts, les centristes Nicolas About et Jacqueline Gourault, l’UMP Jean-Louis Masson et le fondateur du Parti de gauche, Jean-Luc Mélenchon.

Cet ultime vote constitue l’épilogue d’un feuilleton à rebondissements sur un texte dont le parcours parlementaire a commencé en octobre dernier. Après les premières lectures dans les deux chambres, le projet avait été rejeté à la surprise générale par les députés, il y a un mois, dans la version issue de la CMP.

« PAS DE VIOLATIONS DU DROIT COMMUNAUTAIRE EUROPÉEN » Quelques minutes à peine après l’annonce du Parlement, la commissaire européenne chargée des nouvelles technologies, Viviane Reding, a annoncé que le droit européen ne contredisait en rien le projet de loi Hadopi, même si ce texte lui déplaît « politiquement », selon un de ses porte-parole.

Au début du mois de mai, les eurodéputés ont pourtant approuvé l’amendement 138 du « paquet Télécom » qui semblait contredire le projet de loi français. Les eurodéputés avaient en effet estimé que la suspension de la connexion à Internet d’un internaute convaincu de téléchargement illégal ne pouvait intervenir que par décision de justice et non à la seule initiative d’une autorité administrative.

Dans le projet français, c’est en effet une autorité administrative et non judiciaire, l’Hadopi qui donne son nom à la loi, qui décide des coupures d’accès.

« Il y a peut-être des problèmes avec Hadopi au regard du droit national, c’est à la justice française d’en décider. Mais je n’ai aucune indication quant à des violations du droit communautaire européen et je ne vois rien légalement dans l’amendement 138 qui pourrait modifier cette situation« , a cependant déclaré Mme Redding.

Les propos de Mme Reding rejoignent donc ceux tenus par la ministre de la culture française, Christine Albanel. Celle-ci avait déclaré, après le vote des eurodéputés, que le projet de loi Hadopi « n’étais pas remis en cause » car « l’accès à Internet à son domicile ne s’est vu reconnaître le statut de ‘liberté fondamentale’ à l’égal, par exemple, de la liberté de croyance, de la légalité des peines ou du droit de propriété, dans aucun pays du monde ».

Pour Vivian Redding, le calcul est simple : « Un amendement à une directive européenne ne peut ni modifier le partage des compétences entre l’UE et les Etats membres ni étendre le champ des droits fondamentaux européens aux décisions nationales« , a-t-elle expliqué.

 LEMONDE.FR

Prévenir le vol et la modification non autorisée des données électroniques grâce à une nouvelle norme ISO/CEI

Osi

Prévenir le vol et la modification non autorisée des données électroniques grâce à une nouvelle norme ISO/CEI.

La sécurité est peut-être l’une des plus grandes préoccupations des millions d’utilisateurs qui échangent régulièrement des données sur le Web ou stockent des informations dans des ordinateurs auxquels peuvent accéder des tiers non autorisés. Pour protéger la confidentialité et l’intégrité des données transférées ou stockées, l’ISO et la Commission électrotechnique internationale (CEI) ont élaboré en commun une nouvelle norme qui définit les mécanismes de chiffrage authentifié produisant un niveau de sécurité optimum.

«Compte tenu de l’augmentation du volume des transactions électroniques impliquant des informations sensibles, telles que le transfert de données bancaires ou d’informations relatives à l’identité personnelle, cette norme répond à un besoin croissant d’exigences de sécurité de plus en plus rigoureuses», déclare M. Chris Mitchell, rédacteur de projet de la nouvelle norme ISO/CEI.

La norme ISO/CEI 19772, Technologies de l’information – Techniques de sécurité – Chiffrage authentifié, spécifie six méthodes de chiffrage (basées sur un algorithme de chiffrage par bloc) qui peuvent être employées pour garantir :

* la confidentialité des données (protection contre la divulgation non autorisée des données);

* l’intégrité des données (permettant aux destinataires de vérifier que les données n’ont pas été modifiées);

* l’authentification de l’origine des données (aider les destinataires à vérifier l’identité des données).

La norme prend en considération les besoins spécifiques de sécurité associés à différentes opérations. Par exemple, alors que le chiffrage peut être employé pour empêcher l’interception illicite lors de l’échange de données, les codes d’authentification de message (MAC) ou les signatures numériques sont parfaitement indiqués pour protéger les données contre les modifications.

Certaines situations peuvent exiger une combinaison d’opérations, mais les combinaisons ne fourniront pas toutes les mêmes garanties de sécurité. M. Mitchell explique: «il est de plus en plus admis depuis peu que l’utilisation du seul chiffrage (voire une combinaison non optimale de chiffrage et de MAC) peut présenter des failles dangereuses, comme l’ont récemment montré les attaques concrètes portées contre des applications de protocoles de sécurité d’usage courant tels qu’IPsec et SSH. Il y a ainsi d’excellentes raisons de penser qu’il est préférable de s’appuyer sur une méthode complète unique de protection des données.» Les mécanismes spécifiés dans la norme ont été conçus pour maximiser le niveau de sécurité et permettre un traitement efficace des données pour des résultats optimaux.

La norme inclut des mécanismes qui peuvent être appliqués pour garantir l’intégrité des données même sans chiffrage (par exemple pour empêcher des modifications d’adresses de courrier électronique, de numéros de séquence, etc.).

«ISO/CEI 19772 donnera confiance aux utilisateurs dans la sécurité des données les concernant. Elle sera utile pour protéger l’information, mais également pour poursuivre le développement des transactions et activités commerciales en ligne, et d’autres applications faisant intervenir des données sensibles», conclut M. Mitchell. La norme ISO/CEI 19772 a été préparée par le Comité technique mixte ISO/CEI JTC 1, Technologies de l’information, sous-comité SC 27, Techniques de sécurité des technologies de l’information.

La norme est disponible auprès des instituts nationaux membres de l’ISO (voir la liste complète avec les coordonnées). Il est également possible de l’obtenir directement au Secrétariat central de l’ISO, au prix de 118 francs suisses, par l’intermédiaire de l’ISO Store ou en contactant le Département Marketing & Communication (voir colonne de droite).

ISO.

Explosion de la cybercriminalité en 2008 : les chiffres en images

Explosion de la cybercriminalité en 2008 : les chiffres en images

Selon l’étude annuelle de Symantec, le nombre de nouveaux virus a progressé de 165% entre 2007 et 2008. Le spécialiste de la sécurité informatique pointe aussi du doigt les failles des navigateurs Web, importantes dans Firefox.

60% de tous les codes malveillants propagés en 2008

Selon l’enquête annuelle de Symantec sur la menace informatique, plus de 1,6 million de nouveaux programmes malveillants ont été détectés au cours de la seule année 2008. Depuis sa création, l’éditeur a recensé 2,6 millions de virus. Ceux apparus en 2008 représentent donc 60% de l’ensemble de ces codes malveillants.

La tendance à l’explosion du nombre de virus se poursuit donc, et s’accélère. Entre 2007 et 2008, la croissance du nombre de nouveaux programmes malveillants est d’environ 165%.

Les Etats-Unis : zone la plus active de la malveillance

Toutes menaces confondues, c’est aux Etats-Unis que l’activité malveillante est la plus forte. Le pays représentait à lui seul 23% de cette activité en 2008. C’est toutefois légèrement moins qu’en 2007, période à laquelle cette part était de 26%.

Les Etats-Unis restent néanmoins le premier pays en matière de virus et d’hébergement des sites de phishing. Dans le domaine du spam, les Américains arrivent en 3e position, derrière le Brésil et l’Allemagne.

Dans ce classement des nations, la France figure à la 8e place. Elle était 5e en 2007. Dans le détail, l’Hexagone est 8e pour l’activité des codes malveillants, 14e pour le spam et 9e pour l’hébergement des sites de phishing.

 

Mozilla le plus rapide à corriger ses failles

Outre l’étude de la cybercriminalité, Symantec a analysé la promptitude des éditeurs de navigateurs Web à corriger les vulnérabilités de leur logiciel. A ce jeu, Mozilla est le meilleur en 2008. La fenêtre d’exposition est ainsi inférieure à un jour. Cela signifie qu’entre la publication d’un code d’exploitation d’une faille de Firefox et la sortie d’un correctif, il s’est écoulé en moyenne moins de 24 heures.

Opera fait aussi office de bon élève en termes de réactivité. La fenêtre d’exposition est de 3 jours pour Chrome, mais de 7 jours pour Internet Explorer.

L’éditeur le plus lent aurait été Apple avec 9 jours. Cette durée importante, en hausse par rapport à 2007, s’explique par la lenteur d’Apple à corriger une faille en particulier : 156 jours se sont écoulés avant la publication d’un correctif.

Davantage de failles identifiées dans Firefox

Si Mozilla est le plus réactif en matière de correction des vulnérabilités, il doit aussi composer avec un plus grand nombre de failles. En 2008, ce sont 99 vulnérabilités qui ont été identifiées dans Firefox (122 en 2007). Toutefois, aucune de ces failles ne présentait un niveau de dangerosité critique. Au maximum le niveau de risque était « moyen » pour 59 d’entre elles, et « faible » pour les 40 restantes.

Compte tenu de sa jeunesse, Chrome n’a comporté que 11 vulnérabilités en 2008. Du côté des autres navigateurs, Symantec n’a recensé aucune faille critique en 2008. La sécurité du logiciel le plus répandu, Internet Explorer, semble même s’être accrue entre 2007 et 2008, avec une baisse du nombre de vulnérabilités (16 de sévérité faible, 31 de niveau moyen)

Les pertes et vols : incidents de sécurité les plus fréquents

En 2008, la première cause d’incident de sécurité de nature à permettre le vol d’identités était la perte ou le vol de matériel informatique, dont les PC portables et les supports de stockage amovibles. Les entreprises ont d’après Symantec mieux pris en compte ce risque l’année dernière, puisqu’en 2007 la part des vols et pertes était de 52%.

Souvent plus médiatisés, les intrusions informatiques ne représentent pas le risque premier pour les entreprises avec 17%.

Par La rédaction, ZDNet France

Recrudescence inquiétante des « malware » sur le Web

Recrudescence inquiétante des « malware » sur le Web

Recrudescence inquiétante des « malware » sur le Web            

En un an, le nombre d’URL dissimulant des programmes malicieux, conçus pour voler mots de passe ou données confidentielles, a pratiquement triplé. Et la dégradation de l’économie devrait accentuer le phénomène.

Les malware et autres programmes malicieux ne connaissent pas la crise, bien au contraire. Selon l’Anti-Phishing Work Group (APWG), le nombre d’URL cachant des sites ou programmes malveillants auraient quasiment triplés entre juillet 2007 et juillet 2008, atteignant 9 529 URL l’été dernier. Les membres de ce groupe de surveillance ont aussi constaté que le nombre de variantes des logiciels malicieux et malware était de 442 en mai.

« Les cybercriminels continuent à accroître leurs activités à des niveaux jamais constatés, depuis cinq ans que le APWG surveille le phishing et les logiciels criminels (crimeware) » a déclaré le directeur de l’APWG, Dave Jevans, cité par nos confrères de ZDNet UK.

Les sites de transactions financières touchés

Et il semble plutôt pessimiste pour le proche avenir, du fait principalement de la crise. « La crise financière actuelle a aussi été utilisée par les créateurs de phishing pour composer de nouvelles arnaques visant à capter les identifiants et mots de passe (des internautes, NDLR) sur des sites imitant ceux d’institutions financières bien connues, actuellement en détresse. » Et Dave Jevans ajoute : « Au fur et mesure que l’économie se dégrade, nous constatons une augmentation continue des activités malveillantes et criminelles sur internet. »

Les éditeurs de solutions de sécurité sont démunis face ce type d’arnaques qui se développe sur la crédulité des internautes. « Aujourd’hui , il n’y a pas de déclenchement majeur de virus ; les malware sont plus ciblés. » déclarait Eva Chen, directrice général de Trend Micro, il y a quelques mois à nos confrères britanniques.

Par Vincent Birebent, ZDNet France