Alerte de sécurité sur les bases de données Oracle 11g

Une alerte a été lancée par un expert en sécurité travaillant pour AppSec Inc. (Société spécialisée dans la sécurisation des bases de données) concernant une faille de sécurité sur la version 11g 1 & 2 d’Oracle Database.

Cette faille a un impact sur l’authentification des mots de passe et permet, à un « informaticien chevronné » ayant récupéré un identifiant et le nom de la base de données, de trouver le mot de passe associé via une attaque par force brute.

Pour comprendre cette faille et y remédier, vous trouverez ci-joint quelques articles explicatifs :

En français :
Les bases de données Oracle simples à hacker
Ou en Anglais :
http://e-university.wisdomjobs.com/oracle-11g/chapter-336-282/database-security.html
http://www.commitdba.com/blog2/dbaspeak/are-your-oracle-11g-databases-secure.html

Les articles ci dessus permettent de revoir la configuration de vos bases Oracle et  d’activer certains paramètres au démarrage de la base de données (entre autre le « FAILED_LOGIN_ATTEMPTS » et le « SEC_CASE_ SENTITIVE_LOGON »). Ou de restreindre les connexions  (plage d’adresses IP exclue ou autorisée…)

Adopter le fonctionnement en mode SaaS… ? Oui…mais sous conditions !

La mode actuelle des Sociétés de Service Informatique (SSII) est de proposer à leurs clients des applications en mode… SaaS.

Quelle est la signification de cette nouvelle méthode d’utilisation des outils informatique ? Est elle entièrement sécurisée ? Quels sont les avantages directs (Financiers, Techniques, Délai de mise en place…) ? Quels sont les risques et comment s’en prémunir … ? 

Nous allons aborder ces questions tous le long de cet article, en espérant vous donnez des bases de réflexions sur cette nouvelle façon d’utiliser « l’Informatique Professionnel ».

Fonctionner en mode SAAS ?? Qu’es aquò ?

Le SaaS ou « Software as a Service » (Logiciel en tant que service) est arrivé en 2009 (après l’arrivée du Cloud computing en 2006 par la Société Amazon) avec l’annonce  de Microsoft et de SAP (spécialisée dans les outils de gestion pour l’ensemble des process d’une entreprise)  – et quelques autres grands fournisseurs, tels que IBM, CISCO, HP…  – de mutualiser leurs offres afin d’offrir à leurs clients des solutions modernes, de centralisation des prestations informatiques (Matériels, logiciels, maintenance).

Concrètement, une solution SaaS permet à une entreprise de déporter logiciels, matériels (Serveurs, outils de sauvegarde…) ainsi que tous les services liés à l’assistance  chez son fournisseur informatique. Le client ne paie donc pas pour posséder le logiciel mais plutôt pour l’utiliser. Le coût (s’apparentant à un loyer mensuel) est donc lié au nombre d’utilisateurs et englobe le coût des licences, de la maintenance et de l’infrastructure.

On assimilera donc cette dépense à un coût de fonctionnement plutôt qu’à un investissement.

L’utilisation du logiciel nécessite uniquement l’acquisition d’ordinateurs et d’un accès internet.

Les avantages semblent assez clairs, surtout en matière financière :

Le coût cumulé du fonctionnement en mode SaaS est très souvent supérieur à l’acquisition du logiciel et du matériel.

Cependant, il faut tenir compte du service fourni par le prestataire :

  • Dans le domaine technique : Maintenance 24/24 du matériel, Sauvegarde des données, migration des serveurs, installation des correctifs système (Microsoft par exemple)…
  • Dans le domaine fonctionnel : Changement de version de l’application, hotline pendant les heures d’ouverture voir même plus (WE par exemple), gestion des risques en matière d’anomalies (ou Bug) fonctionnelles….

L’ensemble des services fourni permet au client de ne pas avoir en interne ces compétences techniques et fonctionnelles (et donc de limiter des ressources en personnel).

Autre avantage, et non des moindres, le client ne paye uniquement ce qu’il consomme, aussi bien en terme de ressources matérielles que d’accès aux logiciels.

Quels sont alors les inconvénients ?

Certains inconvénients sont évidents, et c’est même pour cela que le marché du SaaS  n’a pas explosé en France.

  • La sécurité des données du client :

Les premières questions sont très souvent les mêmes : Ou sont stockés les serveurs et donc les données ? Quelles sont les actions préventives contre le vol ou le piratage ? Quel niveau de confidentialité le client peut espérer … ?

Mais les questions sont encore plus complexes que cela. Car il est nécessaire de connaître le fonctionnement en interne du fournisseur (Qui a accès aux salles serveurs, comment sont gérées les mots de passe administrateurs des applications…), de vérifier ses certifications (Iso 9001 et Iso 9004) et ses process écrits (Documents de contrôle d’accès, Plan de continuité d’Activité…).

Il est donc recommandé d’auditer sur pièces (vérification des process, des certifications…) et sur place (vérification des installations et procédures de sécurité) le fournisseur.

  • La disponibilité de l’application :

Des garanties doivent être apportées par le fournisseur sur la disponibilité de l’application c-a-d contre l’arrêt intempestifs de serveurs (avoir par exemple un groupe électrogène conséquent), l’arrêt de la connexion internet – côté fournisseur -, l’arrêt de l’application elle-même….

Mais il faut aussi s’assurer, du côté client, que sa connexion internet soit sure et disponible à 100%…

  • La liberté d’action face au fournisseur :

Le dernier point abordé est la relation avec le fournisseur. S’engager vers une solution SaaS, c’est se lier au fournisseur dans le long terme et, peut être, générer des contraintes supplémentaires en cas de conflits ou de changement d’avis. La liberté d’action n’est pas nécessairement du côté du client…Ou alors, il faut définir juridiquement les clauses de ruptures de contrat.

En conclusion, adopter un fonctionnement en mode SaaS signifie revoir la politique globale de son Système d’information. Cela nécessite une réflexion en amont du projet, des compétences pour gérer le projet et le fournisseur …mais qui au final apportera une qualité de services supérieure pour un coût directement lié à votre utilisation. Il ne faut pas oublier que chaque entreprise doit principalement se concentrer sur son activité, ses points forts…et dépenser le moins de temps sur des activités annexes.

Pendant les vacances, la pêche est dangereuse…Alerte au Phishing (ou l’hameçonnage)

En période estivale, les sociétés se relâchent et certaines personnes peu scrupuleuses profitent pour tenter des actions de piratage.

Et en ce moment, le phishing (ou l’hameçonnage) est redevenu à la mode et prend des proportions de plus en plus inquiétantes.

Généralement , ce type de piratage concerne plus particulièrement des particuliers mais les TPE voir les PME peuvent aussi être attaquées par ce biais.

Qu’est ce qu’un Phishing ? Quel est son objectif ?

Le phishing (contraction des mots anglais « fishing », en français pêche, et « phreaking », désignant le piratage de lignes téléphoniques), traduit parfois en « hameçonnage », est une technique frauduleuse utilisée par les pirates informatiques pour récupérer des informations auprès d’internautes ou de salariés.

La technique du phishing consiste à exploiter non pas une faille informatique mais la « faille humaine » en dupant les internautes par le biais d’un courrier électronique semblant provenir d’une entreprise de confiance, typiquement une banque, un organisme public ou un site de commerce.

L’émail envoyé par ces pirates usurpe l’identité d’une entreprise et invite le destinataire de l’émail à se connecter en ligne par le biais d’un lien hypertexte :

L’objectif est évidemment de récupérer comptes, mots de passe et informations personnelles, voir même bancaires du destinataire.

Quels sont les modes de protection contre cette attaque?

La seule protection contre ce type d’attaque est la vigilance.

La vigilance sur le format de l’émail :

1 – Vérifier l’adresse de l’expéditeur et du destinataire.

  • Une banque, un organisme public ou un commerce n’envoi que rarement un email de demande d’information via un lien URL dans l’émail.

L’expéditeur demande le plus souvent de vous connecter à son site et à vous identifier directement via votre navigateur.

Exemple ci-dessous : Les adresses expéditeurs comme destinataire semblent suspectes. L’email est envoyé à m et, entre crochet, mon adresse email. Une société envoi un email directement à votre adresse sans passer par un pseudonyme.

2 – Regarder le message lui même en vérifiant l’orthographe ou le vocabulaire utilisé.

  • Des emails d’hameçonnage sont souvent rédigés avec des fautes d’orthographe ou un vocabulaire peu approprié.

3 – Vérifier si le logo de la société est présent ainsi que les informations légales (N° de RC, Capital, Adresse etc…) qui doivent être identiques à celles envoyées par courrier.

La vigilance sur le lien URL présent dans l’e-mail :

1 – Si vous décidez de cliquer sur le lien de l’email, il est important de vérifier que le site ouvert soit sécurisé. Tous les éléments ci-dessous doivent apparaître :

  • L’adresse du site doit commercer par HTTPS (S pour Sécurisé)
  • Le logo de l’entreprise doit être présent dans l’adresse URL
  • Un cadenas doit être présent à l’affichage de la page Web. (soit sur la barre du haut, soit sur la barre du bas)

Actuellement, deux sociétés sont manipulées pour du Phishing : EDF et Orange.

Orange (et non France Télécom comme indiqué dans l’email du phishing) est informé du problème et demande aux destinataires de renvoyer cet email à l’adresse suivante : abuse@orange.fr

D’ailleurs, vous pouvez retrouver sur le site d’Orange toutes les informations et recommandations sur le phishing : http://assistance.orange.fr/signaler-un-cas-de-phishing-3743.php

EDF a aussi mis en place une note d’information : http://entreprises.edf.com/le-mag-de-l-energie/actualites-et-temoignages/actualies-edf-entreprises-83329.html

Ces notes d’informations vous proposent aussi de exemples de phishing.

Restez donc attentif et vigilant avant de donner des informations confidentielles par email (ou par téléphone).

En cas de doute, contactez l’entreprise « soit disant émettrice », ou votre responsable informatique.

Alerte de Sécurité : Tous les colis d’UPS ne sont pas bon à ouvrir…

Information du 26 Juin 2012 :

Une société d’Antivirus (Dr Web, pour ne pas la citer) signale la propagation d’un Virus de type Trojan (Trojan.Inject1.4969) par l’intermédiaire d’un faux é-mail envoyé aux utilisateurs d’UPS. Cet é-mail, contenant le logo d’UPS, indique que la « Livraison s’est avérée impossible » et que le destinataire doit renvoyer une adresse correcte à UPS via une pièce jointe compressée contenant un exécutable  affichant une icône Microsoft Word.

Le Virus installé, celui-ci a pour fonction de voler des informations, télécharger des applications depuis des serveurs distants pour prendre le contrôle de votre ordinateur.

Comme indiqué lors de mes dernières alertes, un fournisseur n’envoi que très rarement un é-mail avec une pièce jointe. Celui-ci indique plutôt de vous connecter sur son site, avec vos identifiants et mots de passe afin de revérifier l’état de votre commande. De plus, évitez de cliquer sur le lien indiqué dans l’é-mail. Passez plutôt par votre lien habituel via votre explorateur internet.

 

La réglementation de la Messagerie au sein de l’Entreprise

Internet comme la messagerie sont les deux outils les plus utilisés au sein de l’entreprise. Or, il faut savoir que la messagerie d’entreprise est basée sur une législation précise, complétée par une jurisprudence extrêmement riche.

Nous allons donc détailler dans cet article la législation en vigueur sur l’utilisation et le contrôle de la messagerie d’Entreprise.

 

 Bases de la législation : Le code Civil et la protection de la vie privée 

L’article 9 du Code civil prévoit un principe général de protection de la vie privée.

Dès lors, même au travail, le salarié à droit à une vie privée, et donc à son respect.

 «Chacun a droit au respect de sa vie privée. Les juges peuvent, sans préjudice de la réparation du dommage subi, prescrire toutes mesures, tel que séquestre, saisie et autres, propres à empêcher ou faire cesser une atteinte à l’intimité de la vie privée : ces mesures peuvent, s’il y a urgence, être ordonnées en référé».

«Le fait, commis de mauvaise foi, d’ouvrir, de supprimer, de retarder ou de détourner des correspondances arrivées ou non à destination et adressés à des tiers, en d’en prendre frauduleusement connaissance, est puni d’un an d’emprisonnement et de 300 000 F d’amende. Est puni des mêmes peine le fait, commis de mauvaise foi, d’intercepter, de détourner, d’utiliser ou de divulguer des correspondances émises, transmisses ou reçues par la voie de télécommunications ou de procéder à l’installation d’appareils conçus pour réaliser de telles interceptions » (Cf Code Civil)

La décision la plus significative est à ce jour l’arrêt qui a été rendu le 2 octobre 2001 par la Cour de cassation dans l’affaire NIKON.

Concrètement un courriel dont l’objet affiche clairement le contenu personnel n’a, en principe, pas le droit d’être contrôlé.

Les jurisprudences :

La jurisprudence issue de l’arrêt Nikon interdit à un employeur de prendre connaissance des messages qualifiés de privés par le salarié.

(Un message considéré comme privé doit nécessairement avoir les mots « Privé » ou Personnel » dans l’objet et / ou dans le type du message).

Les courriers électroniques ne sont pas différents des courriers traditionnels. Le salarié, qui a droit même au temps et sur le lieu de travail au respect de l’intimité de sa vie privée, bénéficie donc du principe du secret des correspondances : un employeur n’a pas le droit de prendre connaissance des messages personnels émis par le salarié et reçus par lui, même dans le cas où l’employeur aurait interdit une utilisation non professionnelle de l’ordinateur.

Suite à cet arrêt de la Cour de Cassation, plusieurs décisions ont été prises, entre 2000 et 2010, et ont amené les jurisprudences résumées ci dessous :

 Droits et Obligations de l’employeur :

Surveillance de la messagerie et d’Internet :

L’employeur doit lancer une procédure d’information et de consultation du Comité d’entreprise préalable à la décision de mise en oeuvre de moyens ou techniques permettant un contrôle de l’activité des salariés. A défaut d’informer le CE (si le nombre de salarié est insuffisant), celui-ci doit informer par voie d’affichage ou via une charte signée par l’ensemble des salariés (Intérimaires y compris).

L’employeur a tout à fait le droit de contrôler et de surveiller l’activité des salariés.

Il peut donc librement surveiller l’utilisation de l’internet ou intercepter les courriels.

En revanche, il ne pourra pas utiliser les informations récupérées comme mode de preuve s’il n’a pas informé les salariés que l’utilisation de la messagerie peut être contrôlée et être utilisée dans le cas d’une procédure disciplinaire.

Lorsqu’on parle d’intercepter les mails, il s’agit de vérifier les destinataires ou les expéditeurs des emails mais en aucun cas de lire le contenu du mail, sinon l’employeur commettrait un délit prévu à l’article 226-15 alinéa 2 du nouveau Code pénal qui protège le secret des correspondances.

De plus, la loi Informatique, fichiers et Libertés rend obligatoire la déclaration préalable auprès de la Commission nationale de l’informatique et des libertés (CNIL) de tout fichier automatisé d’informations nominatives. À défaut, des sanctions pénales sont prévues, et l’outil de contrôle mis en place ne pourra pas être utilisé comme moyen de preuve en cas de litige. (CF billet sur la CNIL)

Comment faire pour lire le contenu d’un e-mail :

Un employeur peut obtenir du président d’un Tribunal de grande instance, sur requête, une ordonnance autorisant un huissier de justice à accéder aux données contenues dans l’ordinateur mis par elle à la disposition du salarié et à prendre connaissance, pour en enregistrer la teneur des messages électroniques échangés par l’intéressé.

Cette mesure d’instruction, si elle a pour effet de donner à l’employeur connaissance de messages personnels émis et reçus par le salarié, ne porte pas atteinte à une liberté fondamentale et est légalement admissible si l’employeur a des motifs légitimes de suspecter des actes de concurrence déloyale. L’huissier doit cependant remplir sa mission en présence du salarié.

En résumé, soyez prudent avant d’engager une procédure disciplinaire à l’encontre de vos salariés. Faites vous conseiller auprès de votre correspondant juridique ou consultez pour une première approche les sites spécialisés.

La CNIL : Son origine, ses fonctions & ses impacts sur l’Entreprise

La CNIL est souvent citée dans les différents médias, mais quelle est sont rôle et ses impacts dans le monde de l’Entreprise.

C’est ce que nous allons voir tous le long de cet article et essayer de vous éclairer sur les risques encourus.

 

Son origine :

En 1971, profitant de l’informatisation des cartes perforées (vers un système de bandes magnétique), l’INSEE décida de mettre en place le projet SAFARI – Système Automatisé pour les Fichiers Administratifs et le Répertoire des Individus – permettant l’interconnexion des fichiers de la Sécurité Sociale, de la Caisse Nationale d’Assurance Vieillesse et de la carte d’Identité (Ministère de l’intérieur).

Le 21 Mars 1974, le journal Le Monde sorti une tribune « SAFARI ou la chasse aux Français » qui provoqua un tollé politique, auquel du faire face le ministre de l’Intérieur de l’époque Jacques Chirac.

Le 2 Avril 1974, le même Jacques Chirac, alors 1er ministre, demande à son ministre de l’intérieur, M. Poniatowski, de créer la Commission de l’informatique et des Libertés qui aboutira le 6 Janvier 1978  à la création de la Commission Nationale de l’Informatique et des Libertés (CNIL).

Ses missions et fonctions :

La CNIL, autorité administrative indépendante, est chargée de veiller au respect des dispositions de la loi. A ce titre, elle assure des missions d’information, de conseil, d’expertise et de veille technologique.

La CNIL dispose de pouvoirs particuliers pour faire respecter la loi : elle contrôle la mise en oeuvre des fichiers informatiques et peut également procéder à des vérifications sur place.

Son Impact dans le monde de l’Entreprise :

La CNIL est à l’origine basée sur la Loi Informatique et Libertés (LIL) composée de 13 articles juridiques.

Voici les recommandations de la CNIL sur les obligations des employeurs et employés :

     1Gestion des risques :

La gestion des risques permet au responsable de traitement d’identifier quelles sont les précautions utiles à prendre «au regard de la nature des données et des risques présentés par le traitement, pour préserver la sécurité des données et, notamment, empêcher qu’elles soient déformées, endommagées, ou que des tiers non autorisés y aient accès» (article 34 de la Loi du 6 janvier 1978 relative à l’informatique, aux fichiers et aux libertés)

(CF Information de la CNIL sur la Sécurité des Données)

Par gestion des risques, on entend la mise en place au sein de l’Entreprise de mesures Techniques (Sécurisation des données, des postes informatiques et des outils mobiles ; Sécurisation du réseau, des serveurs et des applications…)  et Organisationnelles (Définir une politique de contrôle d’accès – Modification régulière de mots de passe, vérification des habilitations, suppression des comptes de connexion de non salariés… –  sensibiliser des salariés à la Sécurité, rédiger une charte informatique annexée au règlement intérieur….)

Pour prévenir de ces différents risques, il faut :

  • Définir les risques potentiels par une phase d’évaluation du niveau de sécurité des données, de l’infrastructure et des personnes.
  • Rédiger l’ensemble des procédures techniques de sécurisation des données & leurs méthodes de contrôles ;
  • Auditer régulièrement ces points de contrôles ;
  • Associer l’ensemble du personnel par la signature d’une charte Informatique et l’acceptation des règles et procédures de sécurité,
  • Mettre à jour régulièrement ces procédures.

     2Les obligations de l’employeur comme des employés :

L’autorisation de la CNIL :

Les traitements informatiques de données personnelles qui présentent des risques particuliers d’atteinte aux droits et aux libertés doivent, avant leur mise en oeuvre, être soumis à l’autorisation de la CNIL.

Le non-accomplissement des formalités auprès de la CNIL est sanctionné de 5 ans d’emprisonnement et 300 000€ d’amende.

En quelques clics, vous pouvez vérifier ci-dessous quel fichier doit être déclaré et comment le déclarer :

http://www.cnil.fr/vos-responsabilites/declarer-a-la-cnil/

La sécurité des fichiers :

Tout responsable de traitement informatique de données personnelles doit adopter des mesures de sécurité physiques (sécurité des locaux), logiques (sécurité des systèmes d’information) et adaptées à la nature des données et aux risques présentés par le traitement.

Le non-respect de l’obligation de sécurité est sanctionné de 5 ans d’emprisonnement et de 300 000 € d’amende.

La confidentialité des données :

Seules les personnes autorisées peuvent accéder aux données personnelles contenues dans un fichier. Il s’agit des destinataires explicitement désignés pour en obtenir régulièrement communication et des «tiers autorisés» ayant qualité pour les recevoir de façon ponctuelle et motivée (ex. : la police, le fisc).

La communication d’informations à des personnes non-autorisées est punie de 5 ans d’emprisonnement et de 300 000 € d’amende.

La divulgation d’informations commise par imprudence ou négligence est punie de 3 ans d’emprisonnement et de 100 000 € d’amende.

La durée de conservation des informations :

Les données personnelles ont une date de péremption.

Le responsable d’un fichier fixe une durée de conservation raisonnable en fonction de l’objectif du fichier.

Le code pénal sanctionne la conservation des données pour une durée supérieure à celle qui a été déclarée de 5 ans d’emprisonnement et de 300 000 € d’amende.

L’information des personnes :

Le responsable d’un fichier doit permettre aux personnes concernées, par des informations qu’il détient, d’exercer pleinement leurs droits. Pour cela, il doit leur communiquer : son identité, la finalité de son traitement, le caractère obligatoire ou facultatif des réponses, les destinataires des informations, l’existence de droits, les transmissions envisagées.

Le refus ou l’entrave au bon exercice des droits des personnes est puni de 1500 € par infraction constatée et 3 000 € en cas de récidive.

Voici un exemple d’intervention de la CNIL dans le cas du non respect de la réglementation en matière d’information et de conservation des informations.

http://www.cnil.fr/la-cnil/actualite/article/article/cloture-de-la-mise-en-demeure-a-lencontre-de-la-societe-oceatech-equipement

Pour plus d’informations, consultez le site de la Cnil.

Le Virus Flamer est maintenant détectable sur vos ordinateurs

Flamer, également connu sous le nom de Skywiper, est un virus qui peut dérober des données, copier des mots de passe, enregistrer des conversations vocales, créer des captures d’écran et même recueillir des informations sur les appareils Bluetooth situés à proximité de l’ordinateur infecté.

Flamer n’est pas un simple outil d’espionnage, mais plutôt une « boîte à outils » complète sous le contrôle d’attaquants. En termes de taille de fichier, c’est le plus gros outil d’attaque connu à ce jour. En raison de sa taille, il faudra sans doute plusieurs semaines d’analyse aux chercheurs pour découvrir toutes ses fonctions.

Il aurait (le conditionnel est à utiliser dans ce cas) été créé par « un groupe de spécialistes, organisé et financé » donc, en d’autres termes un ou plusieurs Etats, grandes Organisations ou Sociétés.

Il est en activité depuis au moins cinq ans et a été retrouvé principalement au Moyen Orient (Cisjordanie, Liban, Iran) mais aussi en Autriche, à Hong Kong, en Russie ou aux Emirats Arabes Unis.

Vous pouvez télécharger un outil permettant de détecter ce « Ver » et de l’éradiquer grâce à l’action de la société BitDéfender, éditeur spécialisé dans la sécurité Informatique.

http://www.bitdefender.fr/news/bitdefender-lance-un-outil-pour-eradiquer-larme-despionnage-flamer-2485.html

Il semble cependant que le virus ait reçu un « ordre de désinstallation » afin d’être présent sur plus aucun PC, et donc, de ne pas être analysé en profondeur par des experts. De plus, il n’est pas reconnu que ce virus attaquerait les ordinateurs Mac.

La Lettre Recommandée peut maintenant être envoyée de manière Numérique

Suite à la publication en 2011 du décret 2011-144 sur la lettre recommandée électronique (LRE), il est désormais permis d’envoyer un courrier recommandé de manière 100% numérique, pour l’expéditeur comme pour le destinataire, tout en bénéficiant de la même valeur juridique qu’un recommandé traditionnel.

La génération automatique de courriers est de plus en plus utilisée dans les PME. Aussi, plusieurs éditeurs informatique se lancent dans l’envoi de Courriers Recommandés.

En effet, Le Journal Officiel du 4 févier vient de valider le « Décret n° 2011-144 du 2 février 2011 relatif à l’envoi d’une lettre recommandée par courrier électronique pour la conclusion ou l’exécution d’un contrat »

Comment fonctionne ce nouveau procédé?

Une personne (physique ou morale) peut faire envoyer un courrier En recommandé avec (ou sans) AR par voie électronique. Cet envoi comporte la même valeur probante qu’un courrier papier envoyé par la Poste en Recommandé.

Quelles sont les caractéristiques de ce décret ?

Ce texte précise les obligations de l’opérateur c-a-d du Tiers chargé de l’acheminement de la lettre recommandée par voie électronique.

– Sur l’identité du Tiers :

  • Celui ci peut être une personne physique ou morale
  • Il doit fournir au client toutes les informations pour entrer en contact (adresse géographique, courriers électroniques, numéros de téléphones…)

– Sur les obligations de l’expéditeur (ou clients) :

  •  Celui ci doit fournir lors du dépôt de la lettre recommandée électronique ses coordonnées et celles de son destinataire, le choix du courrier (Recommandé avec ou sans avis de réception), de son impression sur papier ou non & le niveau de garantie contre les risques de vol, perte ou détérioration.

– Sur les obligations contractuelles du Tiers :

  • Le tiers chargé de l’acheminement de la LRE doit renvoyer par courrier électronique à l’expéditeur une preuve de son dépôt (N° du recommandé ;  date & heure du dépôt ; identification du prestataire chargé du dépôt du courrier papier (le cas échéant)
  • Il doit conserver pendant 1 an les informations ci-dessus ainsi que le document original et son empreinte informatique.

Vous trouverez ci-dessous le lien internet vers le texte de loi :

http://legifrance.gouv.fr/affichTexte.do?cidTexte=JORFTEXT000023513151&categorieLien=id

Plusieurs sociétés se lancent dans ce nouveau marché dont Keynectis avec leur produit « LETRECO », mais aussi des sociétés spécialisées dans la relance clients telles que « Altisys » avec un ERP regroupant l’assistance au recouvrement et l’édition Automatique de courriers simples et recommandés.

Responsable de l’implémentation d’outils de recouvrement au sein d’une multinationale, je suis à même de vous conseiller dans la mise en place d’applications Editique ou de Relance Clients. N’hésitez pas à me contacter à l’adresse suivante :

contact@stephaneseban.com

Les Mac sont maintenant la cible d’attaques malveillantes (Janvier 2012)

Des é-mails malveillants contenant un cheval de troie a été découvert par une société spécialisée en sécurité. Ces é-mails proviendraient de la chine et avaient pour destinataires des organisations tibétaines militantes.

Ces E-mails exploiteraient (encore une fois) une faille de sécurité de Microsoft Word (pour Mac).

La méthode utilisée : Des é-mails diffusent des fichiers Word contenant un cheval de troie. Celui-ci, installé sur le Mac, permettrait le contrôle à distance de l’ordinateur.

D’après les experts de la Société Intego, éditeur d’antivirus pour Mac,

« Ce malware est assez sophistiqué et il est important de signaler que ces documents Word ne sont pas chiffrés, ce qui signifie que tout producteur de malware qui en récupérait des copies pourrait être en mesure de modifier le code et de diffuser ses propres versions de documents. »

La nouveauté vient du fait que ce type d’attaque, exclusivement réservée aux ordinateurs Windows, touche de plus en plus les systèmes Mac.

« …il apparaît clairement que les choses ont évolué et que nous sommes entrés dans une nouvelle phase de propagation de virus (malwares) sur Mac » (Cf Commentaire d’Intégo)

Il est donc préconisé de mettre à jour sa suite Office sur Mac et d’installer un anti-virus. Cependant, la meilleure protection est de ne pas ouvrir de mails provenant de personnes inconnues et d’analyser toutes pièces jointes avant de les ouvrir.

Pour plus d’informations, consultez le billet suivant : http://www.malwarecity.fr/news/des-malwares-infectent-les-mac-via-une-faille-office-1144.html 

 

Les risques d’utilisation des Smartphones, Tablettes ou Portables en dehors de l’Entreprise

De plus en plus, les outils mobiles sont utilisés pour travailler en dehors du bureau : Consulter un devis sur Smartphone dans le train, préparer une réunion sur Tablette à l’hôtel, consulter ses mails de l’Entreprise avant un rendez vous….

Toutes ces données confidentielles doivent être protégées. Pour cela, il est nécessaire de mettre en place des règles et outils permettant une sécurité optimum, tout en privilégiant l’utilisation de ces outils de communication.

Voici un résumé des principes et règles à adopter :

1 – Adopter une attitude sécuritaire en fonction du lieu de consultation de ces informations.

Lors d’une utilisation des outils portables dans des lieux publics, il est recommandé de ne jamais les abandonner sans protections :

            – Pour les Smartphones, il existe des applications permettant de les verrouiller voir même de les désactiver à distance en cas de vol, de les géo-localiser etc…

           – Pour des ordinateurs portables ou tablettes, verrouiller sa session dés que l’on s’absente et raccorder les à un élément fixe (table, siège, poteau…) via un câble de protection .

Il est aussi recommandé de vérifier si aucune personne ne peut voir les données de l’écran (ou même des dossiers papiers). Il est ainsi fortement déconseillé de consulter des données sensibles dans les halles de gare, ou cafés et restaurants.

 2 – N’hésitez pas à crypter les données sensibles.

Enfin, le cryptage des données est indispensable dés l’utilisation d’informations professionnelles (Contacts clients, données comptables ou financières, devis clients….). Il peut être activé par le Smartphone  (comme pour le Blackberry, par exemple), ou rajouté à celui-ci, via une application complémentaire.

Suivant un récent article de la société Proofpoint, société spécialisée dans des outils de sécurisation de messagerie, des solutions simples existent pour mettre en place le chiffrement des données sensibles sur tous les Smartphones.

(Retrouver  l’article en cliquant sur le lien suivant : http://experts-it.fr/2011/09/01/le-cryptage-mobile-pour-une-meilleure-productivite-et-une-securite-renforcee/)

3 – Sécuriser l’accès aux données de l’entreprise.

Les smartphones ayant des navigateurs internet, il devient facile de se connecter aux données de sa société via les applications webs. Les Smartphones sont donc utilisés comme des ordinateurs portables. De plus, travailler de chez soi, via son réseau wifi personnel est maintenant chose courante.

La méthode la plus simple pour utiliser tous ces modes de connexion en toute sécurité (Smartphone, ordinateurs portables… de chez soi ou d’une borne Wifi Publique) est la mise en place de Token  de type RSA SecurID…

N’hésitez pas à me consulter par mail à l’adresse suivante Contact@stephaneseban.com pour plus d’informations sur ces outils de sécurisation des données et des accès.