Nouveau cadre de gouvernance de la sécurité de l'information
Sites de réseautage social, un petit monde où la confiance est aveugle
1. Sites de réseautage social :
Un petit monde où la confiance est aveugle
Christophe Reverd
cReverd@Auditia.ca
514-660-8281
Présentation à
Lors de la journée de formation sur la “Sécurité de l’Information”
le 28 octobre 2009 à l’hôtel Gouverneur de Québec
2. Présentation
• Pionnier de l’Internet en France, aujourd’hui Président d’Auditia, compagnie
montréalaise spécialisée en Sécurité de l'Information (audits technologiques et
de processus, revues et de la conception d’architectures de sécurité, élaboration
et implantation de politiques de sécurité, appels d’offres, formation,
configuration, implantation, gestion et supervision de gardes-barrière) ainsi
qu'en Gouvernance des réseaux pour les acteurs de l'Internet dans le monde.
• Il détient les certifications professionnelles CISA, CISSP, ISSMP, ainsi qu’un
diplôme d’études supérieures spécialisées (DESS) de second cycle en
« Gouvernance, audit et sécurité des technologies de l'information » de
l’Université de Sherbrooke (Québec, Canada) où il enseigne la Gouvernance TI.
• Aujourd'hui, son intérêt pour la Gouvernance d’Internet le conduit à s'impliquer
dans des organisations internationales telles que l'Internet Society (ISOC) ou
encore l'Internet Corporation for Assigned Names and Numbers (ICANN) dont il
est un des conseillers du Security Stability Advisory Committee (SSAC).
9. Réseaux de tous les maux
• Les "réseaux" sont omniprésents
• Propulsés par l'essor des technologies
• Un lien facile entre réseaux informatiques
et réseaux humains
• Alimentés par les internautes,
les sites sociaux forment aussi le Web 2.0.
• Basés sur la théorie des "six degrés" de séparation
du sociologue Stanley Milgram.
• Avec la mondialisation, regain d’intérêt pour cette
idée dans le but de constituer des clientèles cibles
pour les annonceurs.
10.
11. Différents types de sites
• Partage d'intérêts
– FaceBook, MySpace, etc
• Partage d’amis
– Classmate, Copainsdavant
• Partage de photos
– Flickr, etc
• Partage de contacts professionnels
– Linkedin, Viadeo, etc.
12. Tous partagent :
• Un profil utilisateur
• La fonction de mise en relation
• La fonction recherche d’utilisateurs
• L’incitation à partager
13. Différents types d’environnements
• Mondes virtuels
– Second Life, Habbo, etc.
• Mondes miroirs
– Google Map, Google Earth, etc.
• Réalitée augmentée
– Monde physique agrémenté d’informations
dynamiques
• Microblogage
– Tweeter, Facebook, etc.
14. Vos relations les intéresse
Ce n’est pas tant vos « amis » qui ont de la
valeur que les relations qui vous unissent
15. De nombreux "amis"
• Le 18 mai 2008, Tom avait 233 millions d'amis sur
MySpace…
• Le système en procure un à chaque création de
compte!
• Terme galvaudé pour des différents types de
contacts : amis, collègues, relations d'affaires…
• Utilisés sans discernement faute de cloisonnement
• Nombreux sont les sites a jouer sur la confiance en
permettant une communication directe aux amis
de vos amis.
16. De nouveaux usages
• Augmenter son capital social, augmenter sa visibilité
• Trouver un nouvel emploi via son réseau de contacts
• Entretenir sa cyber-réputation
• Participer, interagir, communiquer, échanger avec les
autres membres de la communauté sur vos intérêts
communs.
17. De nouvelles opportunités
• Présence accrue de recruteurs, de grandes
compagnies et de gouvernements
• Accès à un vivier important de candidats éduqués
• Nouveau moyen d’entrer en contact avec ses clients
et partenaires
• Création et/ou participation à diverses communautés
• Renforcement de l’image des marques de commerce
18. De nouveaux débouchés
• Plus que jamais l’amitié vaut de l’or
– Microsoft a investi 240M$ dans FaceBook
• Profilage publicitaire
– Vos amis voient ce que vous faites, aimez,
publiez… « Beacon », le système publicitaire de
Facebook aussi !
20. De nouveaux enjeux…
• Faux sites et faux profils dans le but :
– d'inciter à cliquer sur des liens contenant trojans
ou générant des connexions sur des sites
rémunérés au clic
– Via la diffusion de logiciels gadgets (Widgets) qui
se propagent tels des vers sociaux d'amis en
amis.
23. Tous les moyens sont bons
Source : Zataz http://www.zataz.com
24. Dans quels buts ?
• Hameçonnage
• Envois en masse de pourriels
• Denis de service distribués
• Fraudes au clic
• Installations de logiciels malicieux et publicitaires
• Vols d’identité
• Intimidation et extorsion de fonds
• Enregistrement des noms d’usagers et mots de passe saisis
• Vols de données et de fichiers
25. Un réseau furtif difficile à détruire
Source : "BotNets/Cyber Terrorism : Battling the threats of internet“, Dr. Sureswaran Ramadass, Director, National Advanced IPv6 Center
26. « Botnets » : une armée de robots
Opérateur
(client)
Architecte
(propriétaire)
Source : "BotNets/Cyber Terrorism : Battling the threats of internet“, Dr. Sureswaran Ramadass, Director, National Advanced IPv6 Center
29. De nouveaux enjeux…
• Non respect de la vie privée :
– Fonctionnalités et bris de confidentialité
– Publication volontaire d’informations personnelles
– Difficile de supprimer ses traces
30. Tout le monde en parle !
Source : Panorama cybercriminalité 2008 Clusif / Rézonance
31. De nouveaux enjeux…
• À votre avis, a-t-elle pensé qu’un jour elle illustrerait
un aspect d’une présentation sur les réseaux
sociaux ?
• Savez-vous a quand remontent vos premières traces
sur l’Internet ? Quelles sont-elles ? Votre employeur
pourrait-il y avoir accès en vous « googlant » ?
32. De nouveaux enjeux
• Imposture :
– Faux sentiment de sécurité vis-à-vis du virtuel
– Crédulité de certains utilisateurs.
– Opérations ciblées (CxO par exemple)
33. Les entreprises vulnérables
• Productivité :
– Utilisation abusive (FaceBook, Microblogage)
• Manque de discrétion professionnelle
– Communication institutionnelle court-circuitée
– Divulgation volontaire ou non d’informations
inappropriées, sensibles ou confidentielles dans
certains profils y compris de sites sociaux
professionnels
– Atteinte à l’image de marque
34. La société vulnérable également
• Propagande
• Désinformation
– Recrutement d’adeptes par des groupes de
déstabilisation
– Collecte d’informations pour porter atteinte à
l’ordre public
35. Les joueurs du marché…
• Portabilité des données personnelles
– Projet « DataPortability » soutenu par les grands
noms du Web : Google, Yahoo!, Facebook,
Netvibes, MySpace et LinkedIn pour un partage
de données automatiquement encodées puis
transmises par RSS telles que les liens (XFN) ou
les centres d'intérêts (APML), de profils (hCard) et
leur synchronisation et authentification unique
centralisée
• Concrétisée par Open ID supporté par AOL,
Orange et depuis l’an passé par Yahoo!
36. Les joueurs du marché
• En réponse à Facebook (aux cotés de Microsoft) qui
s’est déjà ouvert aux développements tiers,
OpenSocial a été lancé par Google (Orkut) et
MySpace aux cotés de Hi5, Friendster, Plaxo, Ning,
Engage.com, Hyves, imeem, Six Apart, Tianji, Viadeo
et XING, ainsi que le fabricant de logiciel Oracle et le
site de logiciels en ligne Salesforce.com.
– Partage de plateforme applicative Widgets
(logiciels gadgets)
37. Encore loin d'un réel succès…
• L’environnement virtuel : Second Life de Linden Lab
• Fin mars 2008, il y aurait eu 13 millions d’avatars, les
doubles numériques
• Il s’y serait transigé pour 8,2 millions d’équivalents
dollars en janvier 2008
• Amazon, Dell, Dior, Microsoft, Cisco, IBM, Postes
Canada et certains hommes politiques y ont leur
« îlot » et leurs activités virtuelles
• On y achète du T-shirt au condo en payant en Linden
• La monnaie locale à un cours vis-à-vis du billet vert
ce qui permet d’établir un pont avec l’économie réelle
38. Encore loin d'un réel succès
• Un million d’utilisateurs se connectent par mois pour
faire évoluer leur avatar
• Les utilisateurs augmentent de 5% par mois
• Mais le nombre de nouveaux inscrits chute
• Sony maintenant aussi un monde virtuel parallèle
pour sa console de jeu PS3
• Fin annoncée de l’isolement
virtuel : comme leurs créateurs
les avatars veulent s’amuser…
et contracter. Juste un jeu ?
39. Mon Avatar a-t-il une âme ? …
• Certains chercheurs et avocats français se posent de
drôles de questions :
• L'Avatar est-il encore un double numérique, la
projection de son créateur ou une entité à part,
indépendante et dotée du pouvoir de s'engager
juridiquement.
• Pourrait-on mettre sa responsabilité en cause ?
• Quel degré d'autonomie devrait-on / pourrait-on lui
accorder?
40. Quel statut pour mon Avatar ?
• Les intéractions sociales des avatars peuvent avoir
des conséquences financières
• Un avatar serait-il un agent intelligent capable de
s’engager dans un contrat via la validation d’un
formulaire ?
• Que se passerait-il en cas de litige virtuel dans un
monde parallèle ? Cas de la diffamation par un
avatar ? Ou de l’usurpation d’identité ?
• En France, la législation impose la divulgation de
l’identité du client de l’hébergeur
• Aux Pays bas des adolescents ont été condamnés
pour vol d’objets virtuels sur Habbo.nl
41. En résumé
– Identifiez les avantages et les inconvénients des
différents sites sociaux dans votre contexte
personnel ou d’affaires
– Prenez conscience de la sensibilité des
informations publiées
– Gérez votre risque afin de prendre une décision
éclairée en activant leur publication et partage
– Enfin, il n’est pas recommandé de prendre des
décisions sur la seule base d’informations
recueillies sur des sites sociaux.
42. Merci de votre attention
Des questions ?
cReverd@Auditia.ca
514-660-8281
www.Auditia.ca
(à partir du 15 novembre 2009)