Le smartphone est désormais un terminal universel notamment concernant l’ email. Selon ReturnPath*, la consultation des emails en mobilité s’accentue et Webmail et application mobiles sont privilégiées aux clients de messagerie « classiques ». Par exemple, la consultation des emails sur l ’iPad a bondi de 73 % entre avril et septembre 2011 et celle depuis une plate-forme mobile affiche une hausse de 34%… Le problème est que la plupart des possesseurs de smartphone stockent des données personnelles sur leur téléphone que se soit via leur messagerie ou dans le téléphone lui-même. Les chiffres parlent d’eux-mêmes : 89% téléchargent des contacts et des coordonnées, 86% téléchargent des données multimédias telles que des photos ou vidéos enfin 52% conservent leur agenda. Fait encore plus significatif, 40% stockent des informations confidentielles telles que leurs coordonnées bancaires, leurs codes secrets.

Le problème est que ces données personnelles sont mal protégées. En effet, 30% des utilisateurs n’ont aucun code de protection et 64% ne se soucient pas ou ne savent pas comment installer un anti-virus sur leur smartphone. Ils sont cependant 65% à considérer leurs données comme n’étant “pas bien protégées”. Il existe donc une ambiguïté entre l’interconnexion croissante des individus et leur problème d’intimité. Ainsi, il devient urgent de travailler à la sécurisation des données (surtout à l’heure du cloud et de l’exploitation multi-canal : PC, tablette) !

Cette inquiétude est justifiée car les dits smartphones sont réellement smart et s’amusent à jouer les espions ! Quand on transfère cette problématique au réseau professionnel ou même national où les smartphones et autres terminaux sont de plus en plus utilisés, la question de la protection des données devient réellement inquiétante et les menaces réelles. Pour répondre à cela, la France a créé l’ANSSI** le 8 juillet 2009. De nos jours, la compromission d’un ordinateur ou d’une interface mobile est facile (cf. article Symantec). Le Directeur de l’ANSSI rappelle qu’administrations et entreprises sont souvent attaquées via leurs interfaces mobiles et ceci à des fins d’espionnage. Selon ce dernier, « la limitation des droits d’accès, l’analyse des mouvements suspects sur les systèmes d’information, la sanctuarisation des éléments les plus critiques comme les dispositifs de gestion des droits d’accès, l’application régulière des correctifs de sécurité » sont donc de rigueur.

Ainsi, la CNIL a émis des conseils permettant aux dits utilisateurs de smartphones de mieux protéger leurs données. Voici les principaux:

1. Ne pas enregistrer des informations confidentielles (codes d’accès, coordonnées bancaires) au risque de subir vols, piratages ou pire usurpation d’identité ;

2. Modifier le code PIN par défaut et l’activer une fois celui-ci changé;

3. Définir un délai de verrouillage automatique du téléphone qui rend le smartphone inactif après un certain temps et empêche la consultation des informations en cas de perte ou de vol ;

4. Installer un antivirus, « pour le moment, les seuls virus détectés se contentaient de gonfler les factures en passant des appels à l’insu de l’utilisateur. Mais la prochaine génération s’attaquera aux données stockées sur le téléphone » ;

5. Noter le numéro “IMEI” (International Mobile Equipment Identity soit en français « identité internationale d’équipement mobile”) du téléphone pour le bloquer en cas de perte ou de vol ;

6. Pour télécharger des applications, privilégier les plateformes officielles ;

7. Vérifier à quelles données du smartphone les applications installées ont accès ;

8. Régler les paramètres du téléphone ou des applications concernant la géolocalisation.

Suite à ces constatations, la CNIL cherche également en 2012 à sensibiliser équipementiers et développeurs. En partenariat avec l’INRIA, une plate-forme technique va être mise en place pour découvrir les informations stockées et transmises sur les différents téléphones et applications. Le but étant au final, de préserver la vie privée des utilisateurs.

* Spécialiste de la certification des courriels et de la gestion de la réputation, selon les conclusions de la seconde édition de son étude mondial.

** Agence nationale de la sécurité des systèmes d’information.

On peut dire que le Cloud Computing rend l’accès à l’informatique très similaire à celui de l’électricité : on se branche sur une « prise informatique » pour disposer d’applications, de puissance de calcul, de stockage,… sans se préoccuper de la transformation, ni du réseau de distribution, ni de la centrale de production et des ressources primaires nécessaires.

Les réels avantages du Cloud et les principales mesures à adopter avant la migration sont regroupés dans cet article.

Rappel des avantages du Cloud

Au niveau de l’entreprise, l’adoption d’une solution en mode Cloud permet avant tout de réaliser des économies et d’optimiser ses activités en se consacrant uniquement à son cœur de métier.

Les économies sont réalisées grâce au faible investissement initial. Dans une solution en mode Cloud, ce dernier est très faible en comparaison avec une solution sur site. En effet, il n’y a pas de serveur ni de logiciel à installer, de plus, les mises à jours et le support technique sont assurés par le prestataire.

Le prestataire dispose de spécialistes de la solution déployée (messagerie, CRM, …) ce qui permet à l’entreprise de bénéficier d’une expertise et d’un savoir-faire de qualité mais surtout de pouvoir se concentrer sur son cœur de métier sans se soucier des détails techniques liés à la solution adoptée.

Problématiques principales autour du Cloud

Les principales problématiques soulignées lors de l’adoption d’une solution en mode Cloud sont la législation, la sécurité, la disponibilité et la réversibilité. Le plus souvent mal connu des utilisateurs, le Cloud demande la prise de certaines précautions, décrites ci-dessous.

• Aspects juridiques et légaux

Il faut faire attention lors de l’adoption d’une solution en mode Cloud à vérifier le lieu d’hébergement des serveurs. En effet, la législation appliquée en cas de conflit pour une solution de Cloud Computing est celle du pays de résidence des serveurs. Le contrat doit donc stipuler le pays d’exécution du contrat. Le mieux reste de s’assurer que le fournisseur se conforme à des réglementations comme la Directive Européenne de Protection des Données.

• Sécurité et confidentialité

La sécurité et la confidentialité des données d’une solution déployée en mode Cloud représentent le principale frein quant à son adoption. L’important est donc, avant tout, de répondre à toutes les interrogations possibles concernant la sûreté de la solution :

* Quels types d’informations sont accessibles dans le Cloud ? Qui peut y accéder et comment sont-elles isolées des éléments non sécurisés ?

* Qui dispose de droits pour envoyer et recevoir des données sensibles en dehors du périmètre de l’entreprise ?

* Quelles sont les données qui ne doivent pas sortir de l’entreprise ?

* Comment les données sensibles doivent-elles être envoyées ? En clair ou en cryptant certaines d’entre elles ?

Le chiffrement des données, la gestion des droits d’administration et des audits réguliers permettent de sécuriser au mieux sa solution Cloud.

Enfin, il est important de déployer des outils de traçabilité des accès aux données pour garantir que ces dernières n’ont pas étés modifiées ou pour définir la source d’une modification si elle a lieu.

• Disponibilité

La disponibilité des services est un facteur important lors du choix de la solution en mode Cloud Computing.

Les pannes liées au Cloud ne sont pas plus fréquentes qu’avec une solution sur site. Les principales interruptions du service sont généralement dues à des pannes logiciels et réseaux ou encore à des malwares comme des virus par exemple.

La durée de la réparation est très importante puisque l’utilisation du service dans l’entreprise en dépend. Il faut donc choisir un prestataire avec un bon niveau de service. Or, pour s’assurer de la qualité du taux de service d’un prestataire, il faut regarder son SLA -Service Level Agreement ou délais impératif d’intervention. Généralement, le niveau de service est encore plus élevé que le SLA contractuel car lors d’une panne, plusieurs clients sont bien souvent impliqués et la réparation se doit d’être encore plus rapide !

Enfin, pour assurer un service toujours disponible il est possible de souscrire à des solutions applicatives traditionnelles comme la mise en place d’un plan de continuation d’activité.

• Réversibilité et récupération de données

Il est important d’inclure dans le contrat une accessibilité aux données, mais aussi d’anticiper les fins de contrat et d’avoir un plan de réversibilité ou qui organise le transfert des données. Il faut être prudent quant aux outils, normes et standards utilisés par le fournisseur et rester attentifs aux processus proposés par le fournisseur tout au long du contrat, pour garantir à tout moment la réversibilité.

Conclusion

Le Cloud Computing apporte beaucoup d’avantages à l’entreprise en lui permettant de se décharger de certaines tâches comme la gestion de la messagerie, des outils collaboratifs, …

Mais avant d’adopter une solution en mode Cloud Computing il est donc nécessaire d’effectuer certaines vérifications notamment en terme de sécurité, de législation et de réversibilité de la solution déployée. Il est également important de connaître le niveau de service de son prestataire et à fortiori le taux de disponibilité des services proposés.

En effet, l’achat d’une solution de sécurité en mode Cloud est un bon investissement puisque, comme le Cloud en général, vous ne payez que les licences du produit. De plus, vous n’avez plus à vous soucier de la maintenance puisque les mises à jours sont générées automatiquement par l’entreprise compétente qui vous fournit les services. Cette dernière s’occupe également de la gestion de la solution, vous déléguez les problèmes d’ordre technique, votre prestataire est là pour ça !

Sur le plan technologique, l’adoption d’une solution en mode SaaS (Cloud Computing) pour la sécurité de votre messagerie permet un allégement de votre bande passante et de votre serveur de messagerie interne. En effet, seuls les emails légitimes arrivent sur votre serveur de messagerie et donc il n’y a plus d’encombrement de votre serveur puisqu’il est beaucoup moins sollicité pour filtrer les spams, le fournisseur du Cloud s’occupant de cette opération. De plus votre serveur ne conserve plus les données considérées comme Spam et vous gagnez donc en espace libre sur votre disque dur.

Sur le plan de la sécurité, votre courrier électronique arrive sur un premier serveur de messagerie chez votre prestataire, où s’effectue un premier tri anti-spam. On appelle cela un système de relais de messagerie ou relais SMTP. Ce premier tri effectué en amont de votre serveur interne allège le travail de celui-ci et le rend alors plus rapide et efficace. De plus, le relais de messagerie protège votre serveur des attaques externes puisqu’il n’est pas visible directement sur internet.

Pour sécuriser votre messagerie, il existe différents moyens, l’installation de logiciels anti-virus et anti-spam sur votre ordinateur, un logiciel spécifique installé sur votre serveur, ou bien l’externalisation.  Ce service de sécurité de la messagerie en mode SaaS est très facile à installer, il suffit en effet de modifier les champs MX  de votre nom de domaine.

De plus ce système regorge d’avantages, tant sur le plan technique que commercial, puisqu’il induit une réduction des coûts non négligeables.

Malgré ces avantages, beaucoup d’entreprises ont encore peur du Cloud Computing notamment pour des raisons de sécurité des données comme nous le disions dans un précédent article:

Les entreprises interrogées considèrent comme frein à une démarche vers le Cloud :

• à 44% la Sécurité et la Confidentialité

• 14% la Dépendance du réseau et les Facteurs liés au réseau

• 14% la Perte de contrôle sur les données et l’Externalisation vers un tiers

En mars 2010, la “Cloud Security Alliance” (CSA) a publié les “10 menaces relatives à l’adoption du Cloud Computing”. Le but de cet article est d’aider les entreprises à mieux comprendre les risques du Cloud et par conséquent de les informer sur les risques liés à l’adoption du Cloud.

Avec une intégration réussie et sécurisée, le Cloud est aussi sûr que n’importe quelle autre solution.

Les recommandations publiées par la CSA pour les entreprises ayant choisis le Cloud Computing :

1-    Chiffrer les données sensibles –les informations confidentielles détenues par votre entreprise.  Les opérations systèmes et les applications n’ont pas besoin d’être cryptées car celles-ci sont simplement redirigées sous forme d’image. Ce sont vos informations propres, ou celles de vos clients et partenaires, qui ont généralement besoin d’une protection.

2-    S’assurer que votre Pare-feu, votre IPS (système de prévention d’intrusion)  et votre IDS (système de détection d’intrusion) protègent tous vos machines virtuelles séparément. Et ceci en particulier dans un environnement de Cloud Public  car les autres machines tournant sur le même matériel physique que le vôtre, doivent être considérées comme potentiellement dangereuses.  Le pare-feu de votre fournisseur du Cloud peut vous aider sur ce point.

3-    Ne décryptez vos données qu’au sein d’un environnement sécurisé que vous avez établi sur vos machines « virtuelles ». Vérifiez que vous êtes protégé contre la falsification et contre le vol de données –malwares avant de décrypter vos données.

4-    Assurez-vous que vous avez le contrôle du décryptage de vos données !

Botnet : quand les pirates prennent le contrôle de votre ordinateur

Un botnet est un réseau créé pour donner des ordres à but malveillant à un groupe d’ordinateurs pouvant atteindre des millions. Il est très difficile de détruire un botnet car plus le réseau de celui-ci (composé d’ordinateurs zombies contaminés) est grand plus il est difficile de stopper la propagation.

Un botnet agit en plusieurs étapes :

1/Création du botnet

2/Envoi du botnet sur des ordinateurs choisis au hasard. Un PC sans anti-virus et sans anti-spam est infecté en 4 minutes. On appelle les ordinateurs infectés des machines zombies car ils sont commandés à distance par le pirate informatique.

3/Lorsque le pirate décide d’activer un logiciel malveillant (spam, malware, etc.) tous les ordinateurs zombies lui obéissent. Un spam met ainsi moins de 10 min à être envoyé sur plusieurs milliers d’ordinateurs.

Est-il possible de stopper les botnets ?

Une société japonaise, Cyber Clean Center (CCC), propose un système anti-botnet qui s’organise comme ci-dessous :

Tout d’abord, l’entreprise est chargée de la détection d’une infection botnet et de la prise d’un échantillon de ce dernier. Grâce à cet échantillon, CCC crée un outil de désinstallation pour le botnet. Puis CCC identifie les utilisateurs infectés et leur envoie un email avec un lien pour utiliser l’outil de désinstallation du botnet.

Lorsque l’ordinateur est infecté par le botnet, ce dernier prend alors le contrôle de l’ordinateur devenu zombie. Il peut alors décider d’activer un logiciel malveillant qui aura différentes répercussions sur l’ordinateur touché.

Liste des principales intentions prêtées à un botnet :

• La diffusion de spam

• L’usurpation d’identité / Ingénierie sociale

• Propagation de malware (virus, vers,…)

• Rendre indisponible un service (internet, email, …), ce sont des attaques DDos.

1/La diffusion de Spam

L’agence européenne ENISA (Agence européenne de la sécurité des réseaux et de l’information) a sorti une étude en 2009 selon laquelle 95,6% des messages électroniques ont été identifiés comme étant des spams par les chaînes de filtrage des fournisseurs d’adresses email. Les spams sont particulièrement nombreux. Enno Cramer a identifié en 2010 le contenu des spams et 80% du contenu des spams,  concerne des publicités pour des produits à caractère sexuel, répertorié comme Xpharmacy; viennent ensuite les publicités pour maigrir puis les publicités pour les casinos en ligne.

Comment diminuer le nombre de Spams reçus ?

Signal Spam est un système de recensement des emails considérés comme spam par les utilisateurs grâce à l’intégration d’un bouton Signal Spam sur les clients de messagerie. Ce système permet de repérer les spams non-filtrés par un anti-spam classique et de comprendre leurs fonctionnements pour mieux lutter contre ces derniers.

Ce service sera prochainement disponible sur certaines messageries électroniques en ligne (webmail) comme Alinto …

2/L’usurpation d’identité ou Ingénierie sociale

Ce terme est surtout utilisé pour définir les méthodes des pirates informatiques qui usent de cette méthode d’ingénierie sociale pour obtenir un accès à un système informatique ou simplement pour satisfaire leur curiosité. L’ingénierie sociale ou « social engineering » peut être assimilée à un abus de confiance, à une manipulation de l’utilisateur.

Généralement mis en place par des actions de phishing ou avec de fausses annonces (offres d’emploi, …), l’hameçonnage (ou phishing) est une technique utilisée par des fraudeurs pour obtenir des renseignements personnels dans le but de perpétrer une usurpation d’identité. La technique consiste à faire croire à la victime qu’elle s’adresse à un tiers de confiance — banque, administration, etc. — afin de lui soutirer des renseignements personnels : mot de passe, numéro de carte de crédit, date de naissance, etc.

Comment s’en protéger ?

La meilleure façon de se protéger des techniques d’ingénierie sociale est d’utiliser son bon sens pour ne pas divulguer à n’importe qui des informations pouvant nuire à sa sécurité.

3/Propagation de malware (virus, vers,…)

Un logiciel malveillant (en anglais, malware) est un logiciel développé dans le but de nuire à un système informatique. Les virus et les vers sont les deux exemples de malwares les plus connus. En revanche, il en existe beaucoup d’autres. D’après le site ZDnet, 48% des 22 000 ordinateurs scannés seraient infectés par des malwares. Il existe différentes façons d’attraper un malware sur son ordinateur : via internet, via du P2P (partage de fichier), par email, par la navigation sur un site web, par un email avec une redirection vers un site malveillant ou par l’utilisation d’appareil externe (MP3, appareil photo, disque dur externe,…).

La durée de vie d’un malware est généralement courte et le temps de la transformation du malware est, dans la plupart des cas, inférieur à 24h avant que ce dernier ne se transforme en danger pour l’ordinateur visé.

Comment éviter les malwares

La signature numérique est un mécanisme permettant d’authentifier l’auteur d’un document électronique et de garantir son intégrité, par analogie avec la signature manuscrite d’un document papier. Un mécanisme de signature numérique doit présenter les propriétés suivantes :

• Il doit permettre au lecteur d’un document d’identifier la personne ou l’organisme qui a apposé sa signature.
• Il doit garantir que le document n’a pas été altéré entre l’instant où l’auteur l’a signé et le moment où le lecteur le consulte.

Ce système permet seulement d’éviter au mieux les malwares, mais la signature numérique est payante et peu de gens l’utilisent aujourd’hui.

4/Rendre indisponible un service (internet, email, …), ce sont des attaques DDos.

Définition du mot DDOS : “Distributed Denial Of Service“, “déni de service distribué”, utilisation de démons sur différentes machines pour provoquer un déni de service.

Un exemple d’organisation de DDos en Corée sur 4 jours en juillet 2009 :

L’attaque a eu pour but l’infection et la création d’ordinateurs zombies (115 044 cibles) pour contaminer des sites internet (49 sites coréens et américains) en seulement 3 jours.  Le denier jour, les pirates ont détruits tous les disques durs des 115 044 ordinateurs zombies.

Mesures à prendre contre les DDos

Au niveau technique, on souhaite aujourd’hui, accélérer et augmenter la prévention, la détection et la réponse aux DDos. Toutes les données relatives à ce genre d’attaques devraient être mises en commun pour mieux connaître et combattre l’infection. Certaines entreprises pensent que créer des lois de prévention pour les PC zombies serait une bonne idée.

Conclusion

Aujourd’hui, les pirates usent de plus en plus d’ingéniosité et de créativité pour s’introduire dans le système informatique de l’ordinateur. Ce mois-ci par exemple, j’ai reçu un email frauduleux soi-disant de la Caisse d’Epargne (cliquez ici pour voir le mail frauduleux) me demandant de vérifier mes accès et de retaper mes identifiants en cliquant sur le lien intégré dans le mail. Mais en posant le curseur de la souris sur le lien et en le comparant avec l’URL affiché en dessous on voit que celui-ci ne dirige pas vers la caisse d’épargne mais vers un site complètement inconnu.

De ce 8^ème sommet Anti-Spam, il ressort notamment que la prévention, couplée à l’utilisation d’anti-virus et d’anti-spam, est le meilleur moyen de lutter contre les attaques informatiques.

Après Signal Spam en France, Cyber Cleaner Center au Japon, l’Allemagne décide, elle aussi, d’aider les particuliers contre la cybercriminalité avec l’accord des fournisseurs d’accès internet qui enverront un email (ou un courrier) à l’utilisateur lorsque son ordinateur est infecté.

A l’échelle mondiale, l’Europe veut elle aussi mettre en place des moyens de lutter contre la cybercriminalité par la répression avec la mise en place de peine de prison pour les pirates informatiques.

Enfin, une idée intéressante, proposée par un chercheur de Microsoft, consisterait en la mise en place de « certificat de santé » pour les ordinateurs avec une mise en quarantaine comme si les ordinateurs étaient des personnes physiques touchées par une maladie contagieuse.

Priority Inbox, une fonctionnalité supplémentaire dans quel but ?

Depuis peu, les utilisateurs du webmail Gmail peuvent activer sur leur compte de messagerie une nouvelle fonctionnalité appelée Priority Inbox, un outil permettant de trier les emails par degré d’importance (faible, moyenne, haute) et selon divers critères : le rythme d’échange avec chaque contact, la proportion de réponse par destinataire ou encore le taux d’ouverture des emails.

Cette fonctionnalité n’a, en soit, rien de révolutionnaire et consiste simplement à appliquer des filtres.

Ce service a déjà su convaincre plusieurs utilisateurs, mais restons sur nos gardes. Serait-ce encore un tour du géant Google pour mieux connaître notre vie privée ? Priority Inbox est-il réellement pertinent pour tous les utilisateurs ?

Encore un moyen d’en savoir plus sur nous, consommateurs ?

On peut évidemment se poser des questions de sécurité sur la conservation des données personnelles de ce nouveau service. En effet, Google va pouvoir recueillir encore davantage d’informations sur ses utilisateurs : fréquentations, contenus d’emails, éléments prioritaires propres à chaque individu, etc. Toute une base d’informations sur chacun d’entre nous et nos préférences, et pouvant un jour ou l’autre se retourner contre l’utilisateur comme cela s’est déjà produit.

Paranoïa ou véritables faits? A vous de juger…

Dans une interview au Wall Street Journal, Eric Schmidt, Président Directeur Général de Google, explique :

la société évolue et s’adapte aux nouvelles technologies. Il ne s’agit donc plus, selon lui, de contrôler les éventuels dérapages du Web, mais de s’en accommoder, au point de permettre à une majorité d’individus de changer de nom pour ne pas avoir à affronter leur passé numérique.

Dans son interview, Eric Schmidt déclare:

Nous savons grosso modo qui vous êtes, ce qui vous tient à cœur, qui sont vos amis. […] Le pouvoir du ciblage individuel – la technologie sera tellement parfaite qu’il sera très dur pour les gens de voir ou de consommer quelque chose qui n’a pas été, d’une certaine manière, taillé sur mesure pour eux.

Le filtrage automatique, une bonne idée… Mais pas pour tout le monde

Mise à part ces considérations sur le respect de la vie privée, on peut essayer de comprendre dans quelles mesures ce service est ou non profitable pour tous. Car ce filtrage automatique, très utile pour certains, risque d’en décevoir d’autres, en effet Priority Inbox est un service plus ou moins pertinent en fonction de votre usage de l’email. Un utilisateur qui ne recevrai qu’une quantité limitée d’emails ne verrait pas l’utilité du service car il faut une grande quantité d’information pour pouvoir obtenir un tri convenable des emails.

Même si la plupart des utilisateurs semblent satisfaits de cette version bêta, l’utilisation et la pertinence de Priority Box n’est pas du goût de tout le monde.

Un commentaire d’un internaute soulève les limites de ce service :

Si un nouveau client me demande une offre, j’aimerai – contrairement à la logique de cette fonction – avoir sa demande en tête de liste, plutôt qu’elle se retrouve tout en bas, car c’est la première fois que cette personne m’écrit!

Un client qui me confirme une commande ou me valide un devis, ce n’est pas “prioritaire”, même si nous avons déjà eu de nombreux échanges de courrier. Alors qu’avec des nouveaux clients, il faut être très très réactif!

Pour les plate-formes d’emailing, ce service ne va pas leur rendre pas la tâche plus facile. En effet les mails à contenu commercial risquent d’être très affectés par ce tri automatique. Les avantages : seul un email personnalisé et interactif sera “bien classé”. Les envois d’emailing vont donc devoir mettre du cœur à l’ouvrage pour nous donner envie d’ouvrir et de répondre à leurs emails : mots-clés pertinents, contenus interactifs, …

On peut penser que c’est une bonne chose pour l’utilisateur, mais à y regarder de plus près on remarque la faille : les mails appelé “Bacn“, sont des mails désirés (newsletters,..) mais qu’on ne regarde pas souvent, ceux-ci sont triés dans la catégorie “faible” de Priority Inbox.

Malgré tout…

Ce nouveau service de filtre automatique reste profitable à ses utilisateurs dans la mesure où il permet un gain de temps. Maintenant, sa réelle pertinence se vérifiera dans l’usage. Quoiqu’il en soit, Google inscrit un peu plus son webmail dans l’ère du web 3.0 et de la messagerie sémantique, terrain d’étude et de développement de DLM 3.0.

Que vous utilisiez le service de messagerie électronique de votre fournisseur d’accès Internet ou un service gratuit (du type laposte.net, gmail, Live Mail, etc.), vous accédez à vos messages électroniques (ou courriels) soit via votre navigateur Internet (accès « WebMail »), soit via un logiciel client de messagerie (Windows Mail, le remplaçant de Outlook Express, Mozilla Thunderbird, Outlook…).

Pour récupérer vos courriels, vous devez « transmettre » au serveur de messagerie votre identifiant (login) et votre mot de passe, soit en les saisissant à chaque fois sur la page Web d’accès WebMail, soit en les ayant paramétrés lors de la configuration de votre compte dans votre client de messagerie. Dans les deux cas, votre identifiant et votre mot de passe transitent donc sur Internet entre votre ordinateur et le serveur de messagerie. Or, si cet échange entre votre ordinateur et le serveur n’est pas protégé, votre identifiant et surtout votre mot de passe sont vulnérables et peuvent être interceptés. Science-fiction ? « Ca n’arrive qu’aux autres » ?

Pas si sûr… Certes, si l’interception de ce type de données au cœur d’Internet n’est pas forcément à la portée de n’importe qui, en revanche, sur un réseau WiFi non-protégé, c’est une toute autre histoire. Or, cela vous est déjà certainement arrivé d’accéder à votre messagerie électronique depuis votre ordinateur portable en étant connecté au réseau WiFi non-protégé d’un restaurant, d’un hôtel ou d’un centre de conférence. Le problème c’est que, intercepter les informations qui transitent sans protection sur ce type de réseaux est à la portée de pratiquement n’importe qui : un ordinateur portable et quelques logiciels accessibles librement sur Internet, il n’y a même plus besoin de compétences spécifiques et pointues. D’où la nécessité d’utiliser un canal sécurisé entre votre ordinateur et le serveur de messagerie. Pour un accès en WebMail, ça se traduit par une adresse du site commençant par « https:// » et la présence du fameux « cadenas fermé » sur le navigateur.

Pour un accès via un client de messagerie, dans les paramètres du compte, l’option « ce serveur nécessite une connexion cryptée (SSL) »(2) doit être sélectionnée aussi bien pour le serveur entrant (POP3) que sortant (SMTP) et les ports d’accès diffèrent souvent des ports des serveurs non-sécurisés (en général, pour POP3, c’est le port 995 au lieu du port 110 et pour SMTP, c’est le port 465 au lieu du port 25) : renseignez-vous auprès de votre prestataire du service de messagerie ou sur la page d’aide correspondante. Mais encore faut-il que ce prestataire mette en œuvre ce mécanisme de sécurité de base, ce qui est loin d’être le cas de tous ! Votre prestataire fait partie de ceux qui ne le mettent pas en œuvre ? A vous de voir, mais il serait peut-être nécessaire d’en changer(3), en faisant part à votre prestataire actuel de votre mécontentement ! Vous trouverez sur Internet la liste des prestataires de messagerie électronique qui offrent un accès sécurisé et ceux qui ne le font pas.

Source : MID e-news – l’actualité des T.I.C. dans le Sud-Ouest

(1) D’au moins 10 caractères, mélangeant lettres majuscules, minuscules, chiffres et caractères spéciaux.

(2) Le libellé précis de l’option dépend du client de messagerie.

(3) Vous pouvez tout à fait ouvrir un compte de courriel chez un autre prestataire que le fournisseur d’accès Internet chez qui vous êtes, l’avantage étant, en plus, que le jour ou vous changerez de fournisseur d’accès vous ne changerez pas d’adresse de courriel.

Au mois de mars 2010, l’assemblée générale de l’association loi 1901 a repensé l’organisation interne, lui conférant ainsi « un nouveau souffle ». Une réforme statutaire a permis de confirmer l’implication active des autorités publiques au sein de l’association. Par ailleurs, il a été créé un Conseil Stratégique où collaborent pouvoirs publics (CNIL, Direction Générale de la Gendarmerie Nationale, OCLCTIC, BEFTI), associations (SNCD, AFA, UDA) et entreprises (CERT Lexsi, Microsoft, Orange, SFR) dans une parfaite équité, ainsi qu’un Conseil Opérationnel où interviennent les membres accompagnés de consultants experts. Les missions de ce dernier Conseil sont de l’ordre de la mise en œuvre opérationnelle sur les plans juridique et technique.

Signal Spam, au commencement…

C’est au cours du 3ème Comité Interministériel pour la Société de le l’Information (CISI) qui s’est déroulé en juillet 2003 que la Direction du Développement des Médias (DDM) s’est vue confier la mise en place d’actions visant à lutter contre le spam. Le déroulement de cette mission a conduit à la création en 2005 de l’association Signal Spam et du lancement de l’outil de signalement des spams ainsi que du site web www.signal-spam.fr en mai 2007.

Les principes fondateurs de Signal Spam

De manière à partager et exploiter à travers le monde les informations et retours d’expérience avec les acteurs de la lutte contre le spam, les déclarations de phishing, malware ou autres pourriels répondent à des standards internationaux. Signal Spam tend ainsi à déployer ses efforts au delà des frontières françaises.

Par ailleurs, pour que chaque signalement de spam ait une véritable portée et permette une action judiciaire et administrative, les « déclarants » sont identifiés grâce à une procédure d’inscription. L’identification garantit l’exploitation juridique des données transmises.

Comment signaler un spam ?

La déclaration de spam peut s’effectuer par tout utilisateur de l’email (particulier ou professionnel) soit via un formulaire en ligne disponible sur le site, soit directement depuis son client de messagerie (Outlook ou Thunderbird 2) grâce à l’installation rapide d’un plug-in.

Une fois les messages frauduleux déclarés, ils sont stockés dans une base de données exploitable aussi bien par les acteurs privés que publics. Ces informations sont toutefois rigoureusement protégées et leur partage se fait sous contrôle juridique selon les recommandations de la CNIL, membre actif de l’association.

En mai 2010, Signal Spam a annoncé le lancement de son application 1.5 permettant de réactiver son service de « Feedback Loop » (système de remontée d’information) destiné aux FAI, aux membres de Signal Spam, ainsi qu’aux prestataires de services email, membres du SNCD. Cette nouvelle version va participer à l’essor de nouveaux développements tels que l’intégration de flux de données spécifiques, à destination de CERT-Lexsi et eBay.

Reste à souhaiter que nombre d’entreprises évoluant dans l’écosystème de l’email s’investissent davantage auprès d’entité dédiée comme Signal Spam dans la lutte contre LE fléau de l’ère numérique, le SPAM.

Comprendre le Cloud Computing

Le cloud computing (l’informatique dans les nuages) symbolise l’informatique dématérialisée : l’entreprise n’est plus propriétaire de ses serveurs informatiques mais accède de manière évolutive à des services en ligne. Elle n’a plus à gérer l’infrastructure.

Le cabinet d’études et de conseil Markess International définit le cloud computing comme « l’accès via le réseau et à la demande à des ressources informatiques (infrastructures IT, réseaux… de type IaaS, pour Infrastructure as a Service), des environnements de développement (PaaS, pour Platform as a Services) et/ou des applications (SaaS, pour Software as a Service). Le cloud computing se distingue par les composantes clés suivantes : ressources virtualisées, catalogue de services, automatisation de l’approvisionnement, simplification & standardisation, ajustement des ressources aux besoins, OPEX vs CAPEX. »

Les solutions en mode SaaS (Software as a Service) s’inscrivent dans le modèle économique du Cloud : l’entreprise cliente n’achète pas une application informatique et ne l’installe pas sur ses machines. Elle la loue “à la demande” auprès d’un fournisseur qui héberge cette application.

On distingue 3 types de Cloud Computing :

• le cloud privé (interne ou externe)

• le cloud public

• le cloud hybride

Pour en savoir plus sur ces différents types, vous pouvez consultez l’article de Jerome Saiz Cloud public, privé, hybride : le retour du périmètre ?

71% des projets de Cloud (en cours ou en prévision) sont de type privé. Les cloud public concerne seulement 13% des projets, et enfin, 7% s’appuie sur le modèle hybride.

Le marché du Cloud Computing connaît depuis 2 ans une croissance notable de 25%. (source Markess International). Selon le site Silicon.fr dans l’article Le cloud computing : mode ou tendance lourde? , ce marché pèserait 1 860 millions d’euros en 2010.

Les résultats de l’enquête Le Cloud Computing en France

La société de conseil et d’études marketing PAC nous informe dans son rapport que 54% des projets de cloud computing concernent la messagerie. Viennent ensuite les applications et/ou infrastructures liées à la finance et la comptabilité (26%).

Cette attraction du Cloud pour l’email peut s’expliquer d’une part, d’un point de vue historique par l’arrivée sur le marché d’offres pionnière en matière de courrier électronique.

Avec une volonté d’innovation permanente, Alinto, fut l’une des premières sociétés à concevoir une solution de messagerie sur le mode SaaS.

D’autre part, le développement prononcé de la messagerie sur ce modèle traduit la satisfaction et le bénéfice retirés par les entreprises. Voici les moteurs d’adoption et les avantages du Cloud Computing désignés par les répondants :

Les moteurs d’adoption du Cloud Computing en France :

• 37% Flexibilité, adaptabilité et souplesse

• 28% Disponibilité

• 23% Facilité

Les avantages du Cloud Computing exprimés par les entreprises interrogées :

Cependant, il existe des craintes particulièrement en matière de protection des données.

Les entreprises interrogées considèrent comme frein à une démarche vers le Cloud :

• à 44% la Sécurité et la Confidentialité

• 14% la Dépendance du réseau et les Facteurs liés au réseau

• 14% la Perte de contrôle sur les données et l’Externalisation vers un tiers

Google Apps, l’exemple qui nourrit les inquiétudes des réfractaires au Cloud

Le site Le Monde Informatique explique dans son article La fiabilité et la confidentialité des Google Apps une nouvelle fois remise en cause pourquoi plusieurs universités américaines ont préféré se tourner vers d’autres solutions de messagerie que celles de Google :

Après Yale qui a renoncé le mois dernier à son projet de messagerie Gmail, c’est au tour de l’université de Californie de Davis d’abandonner le webmail de Google utilisé par près de 30 000 personnes sur le campus, essentiellement des professeurs et des salariés des services généraux. Selon le site en ligne Mashable, la raison invoquée repose sans grande surprise sur les problèmes de confidentialités, aggravés par l’arrivée du service collaboratif Buzz. Les membres de la faculté tiennent en effet à conserver un caractère privé à leurs échanges professionnels […] Ces annonces surviennent la semaine où le service calendrier de Google a connu deux pannes majeures. […] les comptes des utilisateurs étaient en effet devenus inaccessibles selon les informations du tableau de bord de Google Apps. Les Internautes ont dû attendre une heure avant un retour à la normale. Le mercredi 28 avril, Google Agenda a également connu une défaillance et des problèmes de performances qui ont affecté certains utilisateurs pendant environ une heure, après “un nombre inhabituellement élevé” de demandes de synchronisation de la plate-forme mobile Android, selon la firme de Mountain View.

L’avenir du Cloud

Malgré ces incidents et la persistance des craintes liées notamment à la protection des données, les perspectives d’évolution du marché du Cloud ont de quoi rassurer les entreprises qui ont investi dans cette voie. Les prévisions évaluent à 2 730 millions d’euros le poids du marché en 2012.

Pour conforter cette montée en puissance du Cloud, il suffit d’observer les stratégies adopter par les grands éditeurs internationaux de logiciels qui les ont conduit à proposer leurs solutions en mode virtualisé. C’est au début de l’année 2010 que Microsoft a lancé Windows Azure, sa plateforme de Cloud computing qui doit permettre aux entreprises de simplifier l’utilisation des services distants.

* Pierre Audoin Consultants (PAC) est une société internationale de conseil et d’études de marché spécialisée dans le domaine du logiciel et des services informatiques – http://www.pac-online.com Voir le communiqué de l’enquête : cliquez-ici

Loin du statut de gadget, la messagerie instantanée est devenue au sein des entreprises un vecteur de collaboration à part entière dont ses propriétés la rendent singulière : rapidité, visibilité du statut de ses contacts, échange de fichiers,…

En l’intégrant à son webmail professionnel, Alinto enrichit son offre collaborative et apporte une véritable valeur ajoutée à ses clients qui recherchent un service de messagerie électronique tout en un, simple d’intégration, intuitif et sécurisé. Les informations de l’entreprise ne transitent pas sur des plateformes grand public et les usagers communiquent uniquement avec les collaborateurs et partenaires de l’entreprise.

En plus des services de messagerie déjà proposés au sein du webmail V4 (envoi et réception d’email, échange de fichiers volumineux, annuaire, agendas partagés, contacts partagés), les utilisateurs des boîtes Pack Collaboratif disposeront ainsi d’ici quelques semaines d’une messagerie instantanée immédiatement disponible. Accessible en permanence grâce à un accès web ou depuis n’importe quel logiciel de messagerie instantanée (pidgin, psi,…) comme l’ensemble des services Alinto Pro l’est avec Outlook ou ThunderBird, la messagerie instantanée sera accessible pour les utilisateurs d’iPhone, de Blackberry, de Windows Mobile, PC, Mac,…

La messagerie instantanée sera disponible en option pour les boîtes basiques ou en service seul sans email associé pour satisfaire le plus grand nombre. Ce service pourra être complété par une option de visioconférence.

Pour implémenter cette nouvelle solution, Alinto a fait appel à la technologie éprouvée d’Eximéo, éditeur expert en messagerie instantanée à destination des entreprises.

À propos d’Alinto

Créé en janvier 2000, Alinto est l’un des principaux éditeurs et opérateurs européens de messagerie collaborative et de communications unifiées. Alinto gère plus 4 000 domaines de messagerie professionnelle et plus d’un million et demi d’utilisateurs sur 5 pays.

Basé à Lyon et en Allemagne, Alinto s’appuie sur une équipe qui dispose d’une expertise dans la communication électronique depuis plus de quinze ans et conjugue une politique de recherche et développement soutenue avec un service client de haute qualité.

2010 marque les 10 ans de l’éditeur et opérateur de solutions de messagerie électronique qui a récemment reçu le prix spécial de l’innovation décerné par OSEO à l’occasion du Deloitte Technology Fast 50. Alinto s’est rapidement démarqué de par les choix stratégiques de ses fondateurs. L’innovation et la proximité ont permis de convaincre ses clients.

Avec une volonté d’innovation permanente, Alinto, fut l’un des premiers :

• à concevoir une solution de messagerie sur le mode SaaS (Software as a Service),

• à proposer un service d’accès à ses mails depuis un mobile en 2000,

• à proposer des services de Messagerie Premium et des BAL 2 Go en Europe,

• à faire lire un Agenda à un lapin (Nabaztag)…

Site web : http://www.alinto.com

Blog : http://www.demainlemail.com

À propos d’Eximéo

EXIMEO édite et opère des services de communications interactifs sécurisés pour les entreprises : Messageries instantanées, WebConférences avec support audio/vidéo, transfert de documents, partages de présentations.

Les solutions de communications EXIMEO fluidifient la circulation de l’information dans l’entreprise en mettant à portée de tous des outils efficaces pour communiquer et collaborer à 2, à 5, à 25 … au quotidien et en toute sécurité. EXIMEO met également l’accent sur la capitalisation des données échangées sur ses services en permettant la recherche d’informations dans les conversations passées à l’aide de critères comme la date, les participants à la conversation, les tags associés aux échanges, …

Les services EXIMEO sont utilisables au bureau ou en mobilité et peuvent être intégrés aux Intranets des entreprises sous la forme d’un client full-web. Ils peuvent, de plus, être couplés à un annuaire d’entreprise et pilotés à l’aide d’un outil d’administration pour gérer les comptes, centraliser les groupes de travail, tracer les usages du service, …

Les services EXIMEO sont proposés en mode SaaS (Software as a Service) en environnement hautement sécurisé.

Site web : http://www.eximeo.eu

Tribune publiée par le Journal du Net le 11/02/2010

Parmi les briques importantes du SI se distinguent la messagerie électronique, qui est désormais un moyen de communication incontournable. Les fonctions de cet outil, qui vont du simple échange de messages au partage d’informations, induisent la mise en œuvre d’environnements techniques des plus simples aux plus complexes.

Face aux coûts d’accès des solutions riches fonctionnellement, nombre d’entreprises utilisent un service basique, confié généralement à un prestataire télécoms (qui n’a, en fait, que rarement l’expertise de ces systèmes), alors qu’elles pourraient gagner à utiliser des fonctions avancées telles que les partages d’agenda, de tâches et de contacts ou encore la gestion documentaire. La messagerie est en effet un environnement particulièrement riche, si elle est utilisée au maximum de ses capacités. Il convient donc de bien mesurer cette donnée et de l’adapter à ses attentes particulières.

Élément sensible de la sécurité (attaques virales), mais aussi moyen de propagation d’informations non sollicitées (les fameux SPAMS), la messagerie demande des attentions particulières d’exploitation : mise à jour quotidienne de la sécurité, règle de gestion des pièces jointes, politique de filtrage, etc. La messagerie doit donc être hébergée et maintenue dans un environnement fortement sécurisé. Cette donnée est une composante centrale qui doit être prise en compte à tout moment. L’infrastructure doit intégrer une activité de surveillance anti-virus, une politique de gestion des pièces jointes, et un filtre anti-spam.  Enfin, la haute disponibilité est une donnée clé à intégrer dans les problématiques de messagerie.

Il est donc fondamental de bien gérer son environnement de messagerie, quelle que soit la configuration choisie :

- Le relais de messagerie, pour les entreprises possédant leur propre serveur de messagerie, sécurise les échanges entrants et sortants,
- Le simple compte de messagerie, accessible depuis un client en POP, IMAP ou Webmail,
- La messagerie d’entreprise, avec ses fonctions avancées de partage d’informations.

L’autre élément à prendre en compte est l’archivage de la messagerie. Avec l’évolution du mode d’échange, les contenus des messageries tendent à occuper une place de premier ordre dans le patrimoine numérique des entreprises. En effet, les mails stockés peuvent contenir des informations stratégiques : historique d’échanges, éléments transactionnels, contrats, etc.

Autant de données qu’il est inconcevable de ne pas protéger ni sauvegarder, au même titre que celles des documents traditionnels. La messagerie doit donc bénéficier d’un système d’archivage automatique.

La messagerie électronique demande donc une attention particulière afin d’être opérationnelle à tout moment. Dans ce contexte, force est de constater que les DSI recherchent aujourd’hui des solutions leur permettant de se prémunir des risques de dysfonctionnement. Parmi les solutions les plus fréquemment utilisées, l’on observe une forte poussée de l’externalisation des messageries auprès de structures spécialisées ; l’idée étant de ne pas avoir à s’occuper de la pérennité des infrastructures et de pouvoir bénéficier de toutes les fonctionnalités connexes à la messagerie traditionnelle.

Geoffroy de Lavenne, Directeurs des Opérations, Integra

Tribune publiée par le Journal du Net le 11/02/2010