Viadeo : le caractère viral de vos news

Le réseau social qui a probablement fait le plus couler d’encre est Facebook. Souvent décrié, toutefois toujours plus utilisé, Facebook s’est illustré pas toujours sous le bon angle vis a vis de sa politique de sécurité ou de confidentialité. Ce n’est toutefois pas de Facebook dont je vais vous parler aujourd’hui mais d’un réseau social à caractère professionnel très utilisé dans les pays francophones : Viadeo.

Plus particulièrement, je vais parler aujourd’hui du caractère viral des news, et la consultation des articles postés sur Viadeo. Prenez cet exemple :

En cliquant sur le lien « Viadéo encore une arnaque », on est logiquement redirigé vers le site en question (qui est l’arnaque en elle-même, et non une explication de cette arnaque d’ailleurs !). Toutefois, en visitant ce lien, si votre compte Viadeo est paramétré par défaut, vous partagez automatiquement à votre tour cet article avec vos contacts. S’ils visitent également ce lien, l’article sera également proposé à vos contacts …

La question qui se pose donc est : avez-vous réellement besoin que tous vos contacts sachent quel article vous avez consulté ? Souhaitez-vous que vos contacts professionnels sachent précisément quel sujet vous intéresse à l’heure actuelle ? Peut-être, dans ce cas, utilisez judicieusement votre fil de nouvelles, et supprimez les entrées que vous ne souhaitez pas diffuser :

Ou alors, une solution peut-être plus automatique est de correctement paramétrer votre profil Viadeo pour ne pas partager automatiquement vos lectures avec vos contacts … pour ce faire, configurez votre profil comme suit en positionnant le paramètre « consultation d’articles » à « personne » :

Smartphones : l’avis de la CNIL

Le sujet smartphones est récurent dans les discussion ayant attrait à la sécurité de l’information pour diverses raisons.

Les sujets sont variés, et tournent principalemlent autour de la capacité de ces terminaux à se protéger contre les codes malveillants et des moyens de protection existants, des applications un peu trop mais également sur la confidentialité des informations stockées et transitant par ces terminaux.

Les remarques de la CNIL dans cet article restent très généralistes, mais ont tout de même le mérite d’être claires. On notera en bloc les applications prenant peu ou pas en compte la confidentialité (localisation GPS, utilisant et « transmettant » des numéros de téléphone, etc.), et une mention spéciale pour les Blackberrys qui continuent à utiliser le réseau RIM pour la capacité push-mail.

La CNIL rappelle à juste titre que l’installation d’une application sur un terminal mobile n’est pas une action anodine, et peut avoir des conséquences néfastes en terme de sécurité si cette application est malveillante.

La CNIL nous rappelle au passage que le service de téléphonie mobile assuré par une entreprise française (typiquement votre flotte de mobiles) est soumis et doit se conformer à la loi Informatique et Libertés. La CNIL rappelle à cet effet qu’elle peut contrôler une entreprise dans ce contexte.

La problématique Smartphones est en fait complexe, et relève autant de la partie technologique que de la partie organisationnelle. L’idéal serait de pouvoir gérer la flotte de terminaux mobiles comme on gère le parc de machines bureautique et portables. Malheureusement, entre les terminaux gérés par l’informatique interne, les terminaux professionnels non gérés par l’informatique interne, et les terminaux personnels utilisés avec des puces GSM d’entreprise, le casse-tête des responsables sécurité n’a pas fini de faire couler de l’encre.

Des solutions existent aujourd’hui afin d’assurer un minimum de sécurité sur les terminaux mobiles. Blackberry propose la gestion des politiques de sécurité sur les terminaux déployés, Apple assure la protection des utilisateurs contre les applications malveillantes en auditant les applications disponibles sur l’Apple Store (ce qui ne protège pas les iPhones « jailbreakés » sur lesquels l’utilisateur peut installer une application sans passer par le service en ligne d’Apple), et il reste possible sur les terminaux Windows Mobile de gérer les applications d’entrerprise.

Reste toutefois les utilisations détournées qui sont faites de ces terminaux par les utilisateurs. Installation d’applications en tout genre qui peuvent compromettre la sécurité, utilisation du smartphone en média amovible qui fait courir un risque à vos données en cas de perte ou de vol du terminal …

En résumé, un terminal mobile doit impérativement être considéré comme une machine cliente. Il doit être clairement fait mention de l’utilisation des terminaux dans le cadre de la charte informatique et les limites imposées aux utilisateurs qu’il ne faut pas oublier de sensibiliser. Il est également impératif lors du choix de la flotte de smartphone de prendre en compte la gestion centralisée de la flotte, de sa protection en cas de perte ou de vol, et régulièrement auditer les applications installées sur ces derniers.

60% des membres de Facebook envisagent de se désinscrire pour des raisons de confidentialité

Récemment, Sophos a réalisé une étude auprès de 1588 utilisateurs de Facebook, qui met en lumière l’ampleur de l’inquiétude des membres quant aux réglages de confidentialité mis en place par le célèbre site de réseau social. L’enquête en ligne montre que près des deux tiers des utilisateurs envisagent de quitter le site, 16% d’entre eux affirmant même avoir déjà cessé d’utiliser Facebook à la suite d’un contrôle inadéquat des informations privées. Seuls 12% affirment ne pas souhaiter quitter Facebook pour cette raison, et 12% mentionnent qu’ils ne quitteront probablement pas le réseau social pour cette raison.

A la question : « Pensez-vous abandonner Facebook pour des raisons liées à la confidentialité ? », les réponses se répartissent comme suit :

Peut-être 484 30%
Très probablement 469 30%
Déjà fait 254 16%
Non 191 12%
Probablement pas 190 12%
Total des réponses : 1588

Facebook fait face à des critiques croissantes concernant les changements effectués sur la manière dont le réseau peut partager les données des utilisateurs au sein du site lui-même et avec des sites Web extérieurs.

Rappelons au passage que pour que vos données ne soient pas partagées par Facebook à des ressources extérieures, l’opt-out a été choisi par le réseau social, au lieu de l’opt-in, ce qui implique forcément que la plupart des membres de Facebook « autorisent » l’utilisation de leurs données personnelles par des tiers.

En réponse à la multiplication des critiques, plusieurs campagnes de sensibilisation des utilisateurs sur ces questions ont été lancées, dont un « Quit Facebook Day » prévu le 31 mai prochain.

Même s’il est peu probable que Facebook perde 60% de ses membres dans quelques jours, la multiplication de ce genre d’initiatives peut sensibiliser le plus grand nombre sur l’utilisation des réseaux sociaux. Vous pouvez trouver des informations utiles dans le kit de sécurité pour médias sociaux que vous pourrez réutiliser pour l’éducation de vos utilisateurs directement sur le site de Sophos : http://www.sophos.fr/lp/threatbeaters/ (téléchargement gratuit)

Perte de données personnelles : enfin une loi en France ?

Savez-vous que 95% des fuites d’information sont accidentelles ?

De nombreux pays tels que l’Angleterre ou les Etats-Unis ont déjà depuis longtemps pris des mesures contraignantes en cas de perte ou de vol de données personnelles. C’est ainsi que l’on a pu voir différents scandales apparaître concernant des pertes de centaines de milliers d’enregistrements personnels comme par exemple : 600.000 données personnelles perdues en grande bretagne ou encore Vol de dossiers médicaux et demande de rançon aux Etats-Unis, mais pas de scandale Français.

Ces pays ont pris la mesure de l’impact potentiel de la divulgation d’information personnelles, notamment des dates de naissance qui servent encore aujourd’hui trop souvent de mot de passe, de combinaisons classiques des lettres du prénom et du nom qui servent de login, etc.

Le fait d’avoir pris conscience que l’exposition de données personnelles peut engendrer pour la personne physique ou morale concernée de gros problèmes permet aux interréssé(e)s d’agir le plus rapidement possible afin de s’assurer que leur identité est sauvegardée, et que leur sécurité n’est pas compromise. Je trouve que c’est une bonne chose que d’informer le plus rapidement possible ces personnes si cette mésaventure leur arrive.

En France, il n’existe pas à ce jour de mesure contraignante quand à la notification de personnes concernant perte ou au vol de leurs données. Nous nous souvenons tous de la clé USB perdue en Angleterre, et Des 8 millions de dossiers medicaux de Virgnie pour lesquels une rançon avait été demandée

Personne n’est dupe, et nous Français ne sommes pas exempts de défauts, avons avec nous des documents sensibles qui ne sont pas systématiquement chiffrés, ou accessibles à un trop grand nombre de personnes au sein d’une entreprise, ou encore imprimées puis pas forcément détruites, etc.

Le problème, c’est qu’en France, quand cela arrive, on ne dit rien. Pourquoi me direz-vous ? Tout simplement parce qu’aucune loi contraignante n’oblige la personne ou l’organisation ayant perdu ces enregistrements à le déclarer, donc évidemment, rien n’est dit, rien ne s’est jamais passé … évidemment …

Il semblerait heureusement que les choses soient en train de changer, avec notamment une proposition de loi du 24 février visant une modification de la loi de 1978 (Informatique et Libertés), et instaurant un caractère contraignant en cas de perte, de vol ou de compromission de données personnelles.

Voici l’extrait de l’article y faisant référence, et en mettant en gras les éléments que je trouve les plus intéressants dans ce contexte :

En cas de violation du traitement de données à caractère personnel, le
responsable de traitement avertit sans délai le correspondant « informatique
et libertés », ou, en l’absence de celui-ci, la Commission nationale de
l’informatique et des libertés. Le correspondant « informatique et libertés »
prend immédiatement les mesures nécessaires pour permettre le
rétablissement de la protection de l’intégrité et de la confidentialité des
données et informe la Commission nationale de l’informatique et des
libertés. Si la violation a affecté les données à caractère personnel d’une ou
de plusieurs personnes physiques, le responsable du traitement en informe
également ces personnes. Le contenu, la forme et les modalités de cette
information sont déterminés par décret en Conseil d’État pris après avis de
la Commission nationale de l’informatique et des libertés.

Il était temps ! A mon sens n’attendez pas l’application de cette adaptation de la loi Informatique et Libertés pour prendre les devants, et étudiez rapidement l’utilisation de solutions de DLP, de contrôle des ports de stockage amovible, d’application de partage documentaire, ainsi que de chiffrement des données stockées ou mobiles.

Je vous laisse avec des propos à méditer que je n’ai que trop entendus ces derniers temps, qui concernent malheureusement bien plus d’une entreprise et dont je ne communiquerais évidemment jamais les noms :

Je suis conscient du problème, mais nous n’avons pas d’obligation légale de le dire si nous perdons des données personnelles. Je pense par ailleurs que la plupart du temps nous ne le savons même pas. Nous savons qu’un scandale va éclater comme ça a été le cas dans d’autres pays et qui conduira à une loi, je ne peux actuellement espérer que cela ne sera pas mon entreprise qui sera sous les projecteurs, mais à ce moment là, oui, nous agirons car on nous l’imposera.