du 09 octobre 2018
Date

Choisir une autre édition

À compter du 1er novembre 2018, une « Agence du numérique de la sécurité civile » sera chargée d’appuyer les nombreux services d'incendie et de secours français.

Un décret paru ce matin au Journal officiel confie à ce nouvel établissement public « la conception, le déploiement, la maintenance et le fonctionnement des systèmes d'informations et applications nécessaires notamment au traitement des alertes issues des numéros d'appels d'urgence 18 et 112 », mais aussi « aux communications entre la population et les services de secours d'urgence ».

Les sapeurs-pompiers attendaient visiblement cette réforme de longue date, en vue de la mise en place, à horizon 2021, de dispositifs adaptés aux « nouveaux usages » (applications pour smartphones, objets connectés...), comme l’évoque « Le Mag » des sapeurs-pompiers de France.

Au Journal officiel, création de « l'Agence du numérique de la sécurité civile »
chargement Chargement des commentaires...

À découvrir dans #LeBrief
Copié dans le presse-papier !

Lundi 10 décembre, le Parlement, le Conseil et la Commission européenne se sont accordés sur ce paquet, centré sur la sécurité informatique de l’Union.

L’ENISA, l’agence de cybersécurité européenne, obtient un mandat permanent. Il remplace l’actuel, censé expirer en 2020. L’agence obtient aussi des capacités d’assistance aux États dans la réponse aux cyberattaques.

Certains voulaient voir l’ENISA devenir un cyberpompier, capable d’intervenir dans n’importe quel pays. L’idée était rejetée par la France, qui voulait garder cette compétence nationale et renforcer les capacités permanentes de chaque autre pays.

Un système de certification de sécurité, avec guichet unique pour les entreprises, doit aussi permettre de valider « produits, processus et services ». Cette certification (logiquement à trois niveaux) devra être validée dans plusieurs pays, rapporte Euractiv. La principale cible sont les objets connectés, dont la sécurité déplorable a permis d’importants dégâts depuis deux ans.

Une liste des produits destinés à être obligatoirement certifiés doit être finalisée en 2023. Il n’est pas dit que les objets connectés grand public ou professionnels soient obligés de subir cette validation.

Copié dans le presse-papier !

L'affaire remonte au mois de juin, lorsque le patron envoie un email pour expliquer qu'un employé aurait effectué un « important et destructeur sabotage » au sein de l'entreprise.

Quelques jours plus tard, Tesla passait à l'offensive et attaquait Martin Tripp en justice. Ce dernier se présentait alors comme un lanceur d'alerte (une procédure est toujours en cours auprès de la SEC) : « Je n'ai pas piraté le système. Les données que je collectais étaient si graves que je devais alerter les médias ».

Dans des documents repérés par CNBC, nous apprenons que Tesla réclame désormais 167 millions de dollars de dommages et intérêts à Martin Tripp. Selon l'avocat de la défense, « ce prétendu montant » correspondrait à la baisse en bourse de l'action suite aux informations transmises à la presse, une notion qu'il qualifie d'« absurde ».

Copié dans le presse-papier !

Le 30 novembre, SFR plaçait son activité de déploiement de fibre en zones peu denses dans une entreprise dédiée, dont 49,99 % a été vendue à trois investisseurs.

Cette fois, Bouygues Telecom et Axione signent un accord sur 30 ans avec le fonds Mirova, pour déployer 3,4 millions de prises restant en zones très denses (les 100 agglomérations les plus peuplées), rapportent Les Échos. Une nouvelle société nait, CityFast, détenue par Axione et Mirova.

Pour rappel, Axione est une filiale de Bouygues Énergies, à la collaboration longtemps difficile avec la partie Telecom du groupe. Elle gère désormais des réseaux d’initiative publique (RIP) en zones rurales pour le compte de départements.

Selon le quotidien, le contrat est en négociation depuis un an et demi. Jusqu’ici, Bouygues Telecom comptait principalement sur SFR pour déployer la fibre en zones très denses, s’évitant cette charge sur trois millions de lignes.

La contrepartie a été un long gel des déploiements après le rachat de SFR par Numericable, qui lui a valu une sanction de 40 millions d’euros par l’Autorité de la concurrence. Malgré ce contrat signé en 2010, Bouygues Telecom devait encore connecter lui-même les lignes restantes. CityFast récupère les infrastructures de l’opérateur, qui gagne entre 43 et 45 millions d’euros.

Copié dans le presse-papier !

Alors que les discussions autour d’une taxation européenne des GAFAM patinent, le ministre de l’Économie a prévenu hier à l’Assemblée nationale que faute d’accord entre États membres, la France opterait pour une réforme « à l’échelon national », « s l’année 2019 ».

Cette taxation « portera sur la publicité, sur les marketplaces et sur la revente de données personnelles, cela afin que les géants du numérique ne puissent plus échapper à un impôt juste en France », a-t-il déclaré, lors des questions au gouvernement.

Copié dans le presse-papier !

Microsoft a corrigé récemment plusieurs importantes failles de sécurité dans son bouquet de services Office 365.

Les vulnérabilités ont été découvertes par le chercheur indien Sahad Nk pour le compte du portail de sécurité Safetydetective. Mises bout à bout, elles permettent à terme la prise de contrôle d’un compte si le pirate peut amener l’utilisateur ciblé à cliquer sur un simple lien.

Source du problème selon le chercheur, un sous-domaine success.office.com insuffisamment protégé. Il a ainsi pu en changer le CNAME, se retrouvant en capacité de détourner le trafic y transitant vers son propre serveur.

Une fois découvert la manière d’enchainer les failles, il décrit une grande simplicité d’exploitation. Il a pu utiliser son propre compte Microsoft et sa double authentification pour prendre le contrôle du sous-domaine, renvoyant les données vers son compte Azure. Conséquence supplémentaire, l’implémentation d’OAuth était donc défaillante également à cet endroit.

Et comme si la découverte n’était déjà pas assez gênante, Sahad Nk ajoute que les applications Office, le Store et Sway peuvent envoyer leurs jetons d’authentification vers le sous-domaine nouvellement contrôlé.

Selon Safetydetective, le lot de failles a pu affecter jusqu’à 400 millions d’utilisateurs. On ne sait malheureusement pas s’il y a des victimes : le chiffre est théorique, et Microsoft n’a pas réagi au-delà de la correction des failles.

« Consolation », les détails des brèches ne sont normalement pas publics. Ils ont été communiqués confidentiellement à Microsoft par Safetydetective, expliquant la correction rapide. Sahad Nk a confirmé à TechCrunch avoir reçu une récompense via le bug bounty de Microsoft, mais le montant n’est pas précisé.