Des pertes annuelles de un billion (1) en dollars américains

ill(Las Vegas) – Ce matin, Symantec (2) nous présentait la XVe édition de son rapport annuel Internet Security Threat. La bonne nouvelle ? Il faisait beau sur Las Vegas. La mauvaise ? Je n’ai pas le droit de vous en parler, ils ont foutu un embargo jusqu’à la semaine prochaine. Par contre, je peux dire que ce document assez élaboré confirme ce que nous entendons à Vision 2010, à savoir que la menace cybercriminelle semble en progression géométrique: elle augmenterait d’environ 100 % par année. Et ce n’est pas des peurs du style « Mars attaque ! ». Devant nous, tout à l’heure, Larry Clinton, le président de l’Internet Security Alliance (ISA) l’a confirmé. On en est rendu, a-t-il soutenu, qu’il se vole par année, de par le monde, pour un billion de dollars en propriété intellectuelle et en secrets d’entreprise.

illJe sais que je suis nul en arithmétique, mais un trillion, c’est mille billions US (selon le système américain et canadien-anglais), soit, pour paraphraser le capitaine Haddock, mille milliards (selon le système européen). Si ce n’était que de cela, on pourrait possiblement respirer. Sauf qu’en même temps, les budgets que les entreprises accordent à leurs TI sont, au mieux, gelés et, la plupart du temps, inférieurs aux besoins. Et plus on descend dans la chaîne des fournisseurs, pire c’est.

Personne n’attaque le Pentagone, tout le monde sait que la sécurité y est de qualité Fort Knox. Par contre, on ira fouiner tout au long de la chaîne des approvisionnements pour trouver une brèche possible et il est probable qu’on en décèlera une dans la petite entreprise tout en bas où le chiffre d’affaires ne permet pas une sécurité selon les règles de l’art. Dès lors, patiemment, on tentera de remonter étape par étape jusqu’au Pentagone.

illCe que M. Clinton déplore c’est que trop peu d’entreprises prennent la sécurité vraiment au sérieux et que la plupart y mettent quelques grains de sel. D’où son idée de publier, en collaboration avec l’American National Standards Institute (ANSI), les coûts financiers d’une sécurité mal ficelée comme elle existe présentement. C’est cette approche que l’on retrouve dans le rapport « The Financial Management of Cyber Risk: An Implementation Framework for CFOs » publié la semaine dernière et que l’on peut télécharger gratuitement sur le site de l’Alliance. On y remarque des données précieuses et, surtout, des conseils de répartition des ressources (« framework ») à travers toutes les divisions de l’entreprise, cela en fonction d’une sécurité vraiment efficace.

Le document de 76 pages qui est destiné aux VP finances (CFO) a été préparé par un groupe de 60 experts industriels et gouvernementaux et a été entièrement subventionné par le secteur privé. L’idée ? En chiffrant les coûts annuels de la cybercriminalité, cela sous les égides de l’ISA et de l’ANSI, la notion de malfaiteurs qui attaquent les entreprise cessera possiblement d’être une histoire de « Bonhomme Sept Heures » destiné à aider l’industrie de la sécurité à vendre plus de produits.

illEt peut-être une plus grand nombre d’entreprises prendront-elles les mesures correctrices qui s’imposent. C’est le sens de la gamme de produits que lance Symantec cette semaine à l’occasion de Vision, son raout annuel. On parle d’une nouvelle panoplie de logiciels de gestion de la sécurité appelées « Symantec Protection Suite » et de la version 10.0 du coffret « Control Compliance Suite », deux produits qui seront disponibles en juin. On parle également de la nouvelle version 10.5 de « Data Loss Prevention » (DLP), un des produits corpos parmi les plus populaires de Symantec, ainsi que la version 7.0 de la panoplie « Altiris Management Suite ». En même temps, la fabricante de annonçait avoir bonifié et simplifié sa « Veritas Storage Foundation », un système de gestion du stockage de données utilisé en environnement EMC, Fujitsu, HP, NetApp, 3PAR, Hitachi Data Systems et IBM. Le message par rapport à ces produits: « on les a rendu aussi convivial à utiliser qu’il était possible de le faire. »

C’est aussi le sens de certaines technos affublées de noms à coucher dehors, mais dont l’idée est excellente. En voici deux exemples: « Deduplication » et « Thin-Reclamation » ou « Thin-Provisionning ». La première qui se traduit en français par « décuplication » (approuvé par le Saint Office), est une fonction d’archivage intelligente qui est incluse dans des produits comme « NetBackup », « Backup Exec » et « Enterprise Vault ». Le néologisme signifie «défaire la duplication», autrement dit, éliminer bon nombre d’images redondantes, celles d’une masse d’archives déjà «backupées» ailleurs et autrement, ce qui est souvent typique dans les grandes organisations.

illQuant à la seconde, qu’on pourrait traduire par « attribution intelligente sur mesure de l’espace de stockage », elle consiste à doter les utilisateurs de l’espace dont ils ont besoin, pas plus, pas moins, le moment venu. Cela va en opposition avec la vieille habitude d’allouer ses téraoctets au pifomètre. La « Thin-Reclamation » fonctionne avec la grosse panoplie « Veritas Storage Foundation ». Dans les deux cas, on minimise les risques de vol, la masse d’info à traiter étant considérablement réduite.

Mais il y en a bien d’autres et la R&D continue de plus belle. Symantec et les autres n’ont pas le choix. Les criminels le font eux aussi, ce qui leur donne ces pratiques généralement à la fine pointe du progrès.

Encadré

Selon les experts de Symantec rencontrés à Vision 2010, le maliciel de 2010 ne ressemble pas à la déplaisante chtouille des années 90 soucieuse d’infester le plus grand nombre de gens possible. Il cible une personne et tente de l’utiliser pour déjouer les lignes de défense. Par exemple, le jour de travail suivant l’acquisition de l’entreprise B par l’entreprise A, les employés reçoivent un courriel leur demandant de souscrire à un nouveau plan de santé pour lequel ils doivent fournir certaines info personnelles.

Mais souvent, on se sert du profil Facebook, par exemple, d’un cadre d’entreprise qui se serait vanté d’avoir présenté une conférence bien reçue. Pourquoi lui ? Parce qu’il appartient à une entreprise où, dans les six mois précédents, il y a eu une brèche quelque part qu’on a réparée (patchée ?), ce qui correspond au profil de 80 % des boîtes ciblées; il y a présomption de faiblesses, donc des possibilités de pénétration. Dès lors, les malfaiteurs envoient au cadre des courriels de félicitations en provenance, soi-disant, de collègues. Il suffit que l’un d’eux l’atteigne, celui où on aura joint une photo prétendument prise durant la conférence, photo contenant le code malicieux. En l’ouvrant, le malheureux se trouve à faire entrer la «bête» ni vue ni connue. Un seul PC aura été visé et exploité. C’est la beauté de ce genre d’opération. On est loin d’ILOVEYOU qui, en 2000, avait infesté des dizaines de millions d’ordinateurs.

illIci, coeurs sensibles, cessez de me lire; ça devient effrayant. Une fois infiltrée, la «chose» prend bien son temps; rien ne la presse plus. Le pire cas est probablement celui de la Heartland Security où la saloperie est demeurée tapie pendant un an sans se faire remarquer par les systèmes de sécurité. Puis, elle s’est finalement retrouvée en mesure de ramasser un nombre affolant de numéros de cartes de crédit, un produit toujours bien reçu sur le marché interlope. Elle s’en est emparé et a foutu le camp sans se soucier du bordel déclenché. Tout se passe tellement vite que l’entreprise n’a pas vraiment le temps de réagir. De toute façon, si on l’avait repérée et tenté de la détruire, elle se serait dès lors multipliée à la vitesse de la lumière dans toutes le directions.

On se croirait dans Alien !

ligne.jpg

(1) Pour se dépatouiller sur les billions et les trillions, cliquez ici pour un article très clair du journaliste économique Claude Picher. (merci à Flipper_21, le dauphin-sistant).

(2) Si je suis ici à Las Vegas pour couvrir cet événement, c’est que Symantec défraie mes dépenses professionnelle.

Avis : j’utilise personnellement des machines sous Windows, Mac OS X et Linux et je n’ai aucune préférence; en fait j’ai une relation d’amour-haine avec chacune. Si vous croyez que je suis parti-pris envers l’une ou l’autre de ces plates-formes, je vous soumets respectueusement que vous avez tort et ne peux vous recommander que de consulter mes chroniques antérieures.
Publicités

36 réflexions sur “Des pertes annuelles de un billion (1) en dollars américains

  1. Un peu normal qu’une compagnie qui veut vendre des suites de sécurités vous disent que le monde informatique est au bord du désastre!!

    Est-ce que leurs études et leurs recherches sont vérifiables pour le quidam? On doit alors les croires sur parole…

    ça me fait penser que la mode actuelle est au catastrophisme…

    H1N1 devait être la prochaine menace planétaire qui devait rayer de la carte une partie de l’humanité… On a donc acheté des vaccins!!! Et le bogue de l’an 2000 devait paralyser le monde, rien de moins… avec des coûts astronomiques… On la rit encore, celle-là aussi…

    Bref, la chanson est connue… les chanteurs aussi…

    Moi, j’en prend mais j’en laisse pas mal plus qu’avant… 🙂

  2. À Votre article bravo Mr Nelson c’est rare que l’ont peut lire sur un site généraliste ce genre d’info qui par la bande touche aussi le grand publique .

    Ce genre d’intrusion qui dans l’univers informatique « fait des siècles » que cela se produit mais commence tout juste à être exposer aux yeux des décideurs dans le milieux concerné .

    Ce que j’approuve de l’initiative de Symantec , est que cette fois ils viendront appuyer les propos des nombreux TI’s d’entreprise qui jours après jours signalent le problème à leur patron . Des problème , qui très souvent sont faciles à corriger , comme le simple fait de mettre leurs putin de serveur ou parc informatique à jour ( up to date ) …

  3. Un trillion, dans le « short scale », c’est bien 10 exposant 12, ou mille milliards, ou un million de millions.

    Bon, là je voudrais pas poo-pooer sur ton ami Larry, mais son chiffre d’un trillion en propriété intellectuelle de volé chaque année, c’est juste impossible. Il est difficile d’estimer la valeur totale de toutes les propriétés intellectuelles et secrets d’entreprises dans le monde, mais c’est loin de valoir 1 trillion.

    Juste pour te donner une idée:
    -Le PIB du monde entier est d’environ 60 trillion (en 2008, give or take)
    -La capitalisation boursière de toutes les compagnies dans le monde est de 35 trillion (en 2008, donné de la banque mondiale)

    Bon, en supposant que la majorité des secrets d’entreprises appartiennent à des compagnies listées en bourse (ce qui n’est pas trop loin de la vérité, la boulangère du coin n’a pas de secrets à protéger, ou très peu: sa recette de pain ne vaut pas vraiment grand chose), il faudrait qu’environ 3% de la valeur boursière soit due à des secrets d’entreprises (ce qui n’est pas le cas, allez lire les formulaire 10K de quelques entreprises industrielles/manufacturières pour vous en convaincre), et que TOUS ces secrets aient été volés l’an passée (ce qui n’est pas le cas non plus, le secret commercial le plus convoité au monde, la recette de coke, n’a pas été volé en 2009. Ni le code source de Windows7 ou les formules en développement chez Amgen).

    Cette valeur de 1 trillion n’a aucun espèce de bon sens. La seule façon que ce serait possible, ce serait si le même secret se faisait voler plusieurs fois, autrement dit, que le voleur se fasse voler. Mais si quelqu’un m’arrivait avec ça comme explication, je lui rirais en pleine face.

    Je peux donc caller Bullshit sans trop de peur de me tromper. Mais c’est correct: Larry est un vendeur, il fait ce qu’il faut pour le bien de ses membres. Après tout, s’il disait que tout va pour le mieux au royaume de l’informatique, qui paierait les sommes astronomiques que demandent McAfee ou Symantec?

  4. @nelson

    Ok je prends mon trou, à un niveau macrocosme tu as raison.

    Mais moi ici à la maison je fais plutôt dans le microcosme. À mon niveau je considère la menace très exagérée.

    Quels sont mes risques? J’ai une carte Platinium, je suis couvert contre ce genre de risques. En fait c’est la banque qui prends une assurance sur ma carte. Une assurance que je paie indirectement en vertu du coût chargé sur ce genre de carte de crédit.

    Mais savais-tu qu’il est plus payant pour les banques de laisser faire que de reserrer la sécurité sur les cartes de crédit donc de limiter l’accès au crédit?

    Il y aurait moyen pour elles de grandement limiter les dégâts mais voilà elles ne veulent pas.

    Un exemple? Combien de fois ici avez-vous démontré la facilité de fraude à partir du site de Desjardins?

    Dois-je pleurer?

    Ce que ces gens oublient de te dire c’est que ces pertes ne sont pas toutes nettes. La plupart de ces organismes, banques et autres ont des assurances et tout ce beau système se balance.

    Aux frais des usagers tu vas me dire avec raison mais bon…

  5. … d’ailleurs, si vous allez jaser un peu avec un représentant de Smith and Wesson, il va vous dire que nous vivons dans un monde super dangereux aussi…

  6. @Nelson

    Le texte est percutant et bien écrit, mais est-ce qu’on ne devrait pas bien peser les phrases pour rappeler au lecteur l’évidence de conflit d’intérêt entre l’expertise reconnue de Symantec versus ses intérêts hautement mercantiles. Je suppose qu’on se fie à l’esprit critique bien affûtée du lecteur moyen de cette critique, mais personnellement et sans prétention, je ne partage pas cet optimisme.

  7. Nelson Dumais : « Personne n’attaque le Pentagone, tout le monde sait que la sécurité y est de qualité Fort Knox. »

    Et pourtant, le Pentagone a déjà subi des attaques. La NASA aussi.

    Suffit de taper : attaque informatique Pentagone, dans Google.

    http://www.top-logiciel.net/news-article.storyid-3360.htm

    http://www.generation-nt.com/mckinnon-pirate-informatique-nasa-pentagone-extradition-justice-actualite-131101.html

    D’ailleurs, il n’y a pas si longtemps, le gouvernement américain a procédé à une expérience sur son réseau et, à l’aide de hackers, a mimé une attaque de son réseau. Les résultats? Il aurait été facile de neutraliser le pays à cause de toutes les failles.

    http://www.generation-nt.com/usa-securite-attaques-pc-gouvernement-actualite-17068.html

    Pendant que les particuliers sont aux prises avec des voleurs d’identité ou de numéros de cartes de crédit, les entreprises, les banques et les gouvernements ont maille à partir avec des gens aux moyens et ambitions autrement plus sophistiqués.

    La troisième guerre mondiale sera peut-être informatique, après tout. 😉

  8. @nelson

    Il faut aussi faire très attention.

    Les lois au Canada ne sont pas les mêmes qu’aux Etats-Unis. Une banque ici faire faillite? Presque impossible. De toute façon nos dépôts sont garantis et protégés par la loi jusqu’à une certaine limite qui est si je me souviens bien suffisante pour quelqu’un comme toi et moi.

    Aux États-Unis c’est différent. Tu peux tout perdre. Ici également notre responsabilité personnelle en cas de perte ou de vol de notre carte est grandement limitée par la loi. Beaucoup moins aux Etats-Unis. Tu peux avoir des surprises.

    Que veux-tu nous vivons ici selon certains bloguistes de la Cyberpresse des pages politiques dans une dictature socialissssss…

    Symantec a tout intérêt à faire capoter les gens aux Etats-Unis afin d’accroître la pression sur les entreprises mais ici?

    Si une entreprise fait faillite à cause de normes de sécurité déficiante c’est son problème. Elle a fait une mauvaise gestion de risque qu’elle fasse faillite. J’achèterai mes produits ou services ailleurs un point c’est tout.

    De toute façon toutes les entreprises inscrites en bourses aux Etats-Unis doivent faire vérifer annuellement leurs états financiers par des vérificateurs comptables dont une des obligations est de vérifier si l’entreprise ne prends pas des risques financiers indus incluant à cause de normes de sécurités déficiantes.

    Surtout depuis que le gouvernement américain a passé la loi Sarbanes-Oxley.

    http://fr.wikipedia.org/wiki/COSO

    Alors disons que je trouve les affirmations de Symantec un tantinet alarmiste. C’est facile sortir des gros chiffres et nous les lancer en pleine figure mais…

    Mais mon appréciation du problème est la suivante : Quelle est l’impact de ces fraudes sur les gens de la classe moyenne au Canada? Car moi si des actionnaires gèrent mal leur portefeuille et investissent dans des entreprises mal foutues où est mon problème?

    Évidemment si les vérificateurs comptables qui signent les états financiers sont du même acabit que ceux qui ramassent de l’argent pour le PLQ là j’avoue que la situation serait à risque…

  9. rezut..

    L’AC Milan vient jouer au stade Olympique le 6 juin et j’étais pour écrire un commentaire sur le blogue de l’ami Milano, ce que je n’ai pas fait finalement.

    Mais je suis resté connecté avec mon pseudonyme d’amateur de soccer.

    Le piano ivre alias Viva Zapata alias Normand Cloutier de Lachine sur terre situé dans la voie Lactée quelque part dans l’univers.

    Mais c’est quoi l’univers? Où est-il? Comment le définir?

    Bon je m’en vais me coucher pour réfléchir à tout ça. Mais Nelson savais-tu que chaque galaxie comprend en moyenne de 100 milliards d’étoiles et qu’il y a environ 100 milliards de galaxie dans l’univers. Ça fait un gros chiffre, tellement gros que je suis incapable de le conceptualiser. Tout comme le chiffre de un trillion de dollars…. Alors il vient d’où ce chiffre et que représent-il? Comment le juger?

  10. Mille milliards de $ en pertes évaluées. Voyons dont.

    Où est-il ce Larry Clinton ? J’ai besoin d’un évaluateur compétent pour ma maison… Par contre je n’ai aucun doute de la croissance exponentielle de la cybercriminalité. Y a t-il moyen d’acheter des parts ?

  11. C’est vrai qu’il s’en vole des informations. Mais les USA aussi en volent! Cependant dans le contexte actuel, je pense que l’asie vole plus les USA que les USA volent l’Europe, et l’Europe vole aux USA…

    Bref les USA sont la cible de presque tous les pays, même plusieurs de ses alliés.

  12. Le type ne doit pas connaitre l’encryption … et avoir bcp d’actions …

    AES 256 = 100% secure

    The largest successful publicly-known brute force attack has been against a 64-bit RC5 key by distributed.net.

    La grande vulnerabilite vient du fait que les sites sont de plus en plus homogenes, e.g WordPress et autres passoires
    … sql injection … patch … sql injection … patch …

  13. Ben voyons donc monsieur & madame Chose…

    Ne sommes-nous pas tous l’Arnaqueur ou l’Arnaqué de quelqu’un ! Hummmmmm….

     »Ceusses » qui ont regardé hier soir LES INFLITRÉS sur TV5 (ou RFO) ont encore & encore eu la preuve que le  »système » ne peut pas protéger les enfants sur Internet…
    Et là, vous voudriez que le même  »système » protège quelques milliards de dollars….BURKKKKK…

    Comme d’Autres… JE ME SOUVIENS… du terrible  »bogue de l’An 2000 »… qui a coûté combien (lire : $$$$$$$) à vous et  »moé » et aux entreprises, en obligatoire  »sécurité » inutile !?!?!

     »Anyways » le 2 janvier 2000, ces  »experts » pour garder un job, se sont recyclés en  »consultants » en  »sécurité » informatique à tous les nivaux…

     »Because » aujourd’hui, vous et moi, pouvons nous procurer gratuitement une suite antivirus gratuitement (AVG & cie) donc, pour Symantec & Cie faut regarder ailleurs (lire: créer un besoin)… Pour continuer à faire des tonnes de US dollars…

    Et ne JAMAIS oublié le principe de SMITH & WESSON :
     »’Vaut mieux être jugé par 12 concitoyens que de crever en poltron ! »’

    faque…

  14. @viva_zapata Pour avoir travaillé dans le millieu (du bon coté de la clotûre!) il y a bel et bien des problèmes très sérieux dans toutes les entreprises.

    Les compagnies n’iront jamais dire haut et fort qu’ils ont subit une attaque. Et pour l’avoir su d’une source très fiable, il y a déjà eu une attaque très féroce envers une banque canadienne il y a quelques années. La banque a tout simplement fermé son système pendant plusieurs heures et emit un communiqué pointant vers un problème technique… Certain s’en souviendront…

    Même si votre petite carte platine a une assurance, eh bien qui possède cette compagnie d’assurance? C’est une division de la même banque.

    Qui ne connait pas une personne qui s’est fait cloné sa carte de crédit? Oui c’est remboursé mais qui paie à la fin?

    Il ne faut pas se leurer, la fraude coute cher et ce n’est pas les compagnies qui paient, ce sont nous! Oui il peut être plus payant pour une compagnie de ne rien faire mais au bout du compte, c’est une décision d’affaire: impact de la clientèle versus investissements en sécurité?

    @elvince 1T$ semble peut-être énorme mais il faut calculer les coûts indirects associés aux fraudes. Quand une compagnie comme Intel, Motorola ou autre se fait dérober des plans qui ont requis des années de développement à des coûts de centaines de millions alors le chiffre de 1T$ prend de la crédibilité.

  15. En anglais 1 billion c’est 1000 millions donc 1 milliard en francais.
    1 trillion c’est 1000 milliard.

    En francais c’est different.

  16. Vous devriez corriger vos nombres, vous utilisez l’échelle anglaise.

    1 trillion c’est mille billion dans l’échelle anglaise. Soit 10 exposant 12.
    1 billion anglais c’est un milliard français. Soit 10 exposant 9.

    1 billion français c’est 10 exposant 12. C’est mille milliards. Ou un million de millions.
    1 trillion français c’est 10 exposant 18. C’est mille billiards ou un million de billions.

    Heureusement que les pertes sont de 1 trillions anglais, car des pertes de 1 trillion français seraient 1 million de fois plus lourdes. (hum)

    Note : je défend l’échelle française non par par impérialisme linguistique, encore moins par esprit de ghetto linguistique. Je la défend car elle est plus logique que l’échelle anglaise. Il y a dans cette échelle une réelle connotation, directe, entre le nombre de zéros et le préfixe utilisé.

    1. 1 million : 6 zéros
    2. 1 billion : 12 = 2 x 6 zéros
    3. 1 trillion : 18 = 3 x 6 zéros
    4. 1 quadrillion : 24 = 4 x 6 zéros

    Et ainsi de suite. Essayez de justifier les préfixes aussi facilement avec l,échelle anglaise, vous allez en baver (1 quadrillion anglais a 15 zéros, 15 ne se divise même pas par 4, un quintillion anglais a 18 zéros, 18 ne se divise même pas par 5, et …

  17. Bah, une autre justification bidon pour donner le contrôle aux gouvernements et faire disparaître la liberté que l’on a en ce moment sur ce médium. Si les compagnies perdent de l’argent parce qu’elles sont imprudentes, croyez moi, elles trouveront le moyen d’y remédier.

  18. Un gars qui vend de l’assurance vie ne me diras surement pas que j’en ai pas besoin.
    Voilà ce que je nomme, Une vérité de la Palice.
    Ça prend pas un Bac universitaire pour comprendre ça.

  19. @elvince

    peut-être une erreur de traduction de la part de Nelson? car un trillion en anglais != un trillion en français. Ça serait plutôt l’équivalent de notre billion.

    un million == a million
    un milliard == a billion
    un billion == a trillion

    C’est une erreur assez fréquente

  20. Aux sceptiques

    Hier soir, j’ai fait part à un VP exécutif de Symantec, Francis deSuza, des remarques sceptiques que certains d’entre vous ont manifestées. Cet expert en sécurité ne s’est pas dit surpris puisque, selon lui, c’est toujours ainsi. Bien des gens estiment que Symantec est là pour faire des sous et qu’elle a tout intérêt à agiter des épouvantails. Pour lui, cela s’explique. Aucune entreprise n’a intérêt à publier des infos à l’effet qu’elle vient de se faire voler telle paperasse confidentielle et stratégique. La loi US varie selon les états, la plus sévère étant celle de la Californie, mais les entreprises sont tenues de déclarer tout vol de propriété intellectuelle, de secret manufacturier ou autre information pouvant lui nuire dans la mesure où les intérêts de l’actionnaire peuvent être lésés. Malgré cela le silence tente d’être total. D’où le fait que les gens ne savent presque rien des activités sur ce front. Parfois quelque chose de plus spectaculaire se produit (p. ex. ces municipalités américaines qui se font attaquer une à une ces temps-ci) et ils en savent quelques parcelles en lisant le journal. Ainsi, l’idée qu’ils se font de ces attaques est très différente de celle qu’ont les experts.

    Puis, le M. deSuza m’a sorti son Blackberry et m’a montré un fil RSS spécialement conçu pour présenter une synthèse (avec liens) des crosses cybernétiques en cours et de leur objectifs. Ahurissant ! C’est du sans arrêt et, chaque fois, de gros sous sont en jeu: ici des dizaines de milliers de no de cartes, là des infos sur le personnel, etc. J’ai beau être naïf, mais ce ne pouvait être une bébelle destinée à tromper les journalistes.

    Quant au trillion avancé par l’ISA, il vous suffit de télécharger l’ouvrage en vous servant du lien que j’ai aménagé pour comprendre la logique des auteurs, eux aussi des experts sur la question. Je sais que ça semble gros et que ça frappe, mais ils sont très sérieux sur la question.

    En terminant, n’allez surtout pas confondre l’intérêt que vous et moi nous nous faisions hacker avec celui d’attaquer par code malicieux bien orchestré une grandes entreprise ou un gouvernement. Nous n’avons d’intérêt pour ces gens que dans la mesure ou nous pouvons constituer un des maillons permettant d’accéder à l’objectif final. Donc, ce n’est pas parce que nous ne nous faisons pas hacker que ça n’existe pas.

  21. En ce qui a trait au trillion, voici un tableau qu’un commentateur m’a fait parvenir:

    Nombre

    forme exp. français américans
    1 000 10^3 mille thousand
    1 000 000 10^6 million million
    1 000 000 000 10^9 milliard billion
    1 000 000 000 000 10^12 billion trillion
    1 000 000 000 000 000 10^15 billiard quatrillion
    1 000 000 000 000 000 000 10^18 trillion quintrillion

    Dans mon texte, il me semble parler clairement de dollars américains.

    Mais je reconnais qu’il y a confusion. Ainsi, j’ai placé un lien vers le Grand Dictionnaire Terminologique sous le mot «trillion».

  22. Sans compter que l’on peux se faire hacker et ne jamais le savoir. Une fois le crime accompli, rien n’empêche les hackers de prendre bien soin d’effacer toutes traces de leur intrusion.

  23. @ Nelson

    Ok mais ça marche de l’autre côté aussi… Le gars de Symantec n’est pas là par charité chrétienne non plus, il y trouve un intérêt… à la taille de la menace. Ainsi, s’il faut l’exagérer un brin, pourquoi pas? Hé?

    Mais, c’est sûr que TOUS ici savent que les hackers existent et que certains en font une profession et qu’il existe des passes pour faire du cash ou des dommages  »politique » et/ou objectif  »militaires »… Rien de nouveau ici…

    Quant à savoir si Symantec peut stopper le cyber-crime bien organisé… Moi, je soulève un sourcil! Parce que s’ils travaillent comme ils l’ont fait depuis les années 80 avec leur imbuvable bloatwares… Je commence à parler de FAUX sentiments de sécurité! Ce qui, en soit, est encore PIRE que les hackers comme tel..

  24. Ce n’est pas que je ne crois pas qu’ils y aient des vols d’information. Mon problème vient des montants en cause. L’expérience nous prouve que les entreprises exagèrent les montants des pertes. Quand un employé fait du sabotage, les montants réclamés sont nettement exagérer.

    Pour donner un ordre de grandeur, le plan de relance économique du G20 a couté 1300 milliards.

    Si j’ai une entreprise avec un chiffre d’affaire de 200M et que je me fais voler la liste des mes clients, est-ce que je me fais voler 200M ou est-ce seulement la valeur des clients qui irons chez le compétiteur?

    Et comment évaluer le coût de la propriété intellectuel?

    Ça me rappelle les évaluations sur le temps perdu avec les spam. J’ai déjà vu des entreprises estimant que chaque employé perd 20 minutes par jour avec les spam.

  25. @username123

    La longueur de la clé n’a pas toujours d’importance, c’est l’algorithme qui importe. La longueur de clé ne fait que retarder le décodage car les algorithmes sont publiques et connus. Une clé de 64 bits était très bonne dans le passé mais plus maintenant car les PC sont plus rapides. Ce qui est acceptable maintenant (ex: AES 256) ne le sera plus dans quelque temps…

    Mais si l’algorithme est mauvais comme le WEP alors la longueur de clé n’importe pas vraiment… Il y a aussi des techniques avancées comme la congélation de la RAM pour récupérer la clé mais ça, c’est autre chose 🙂

    @Nelson Il y a déjà eu (et existe surement encore) un genre de eBay pour les fraudeurs.

  26. Nelson parlait de trilion en système anglais (10^12). En système français (10^18), un trilion de dollars représente plus que la valeur de toutes les entreprises sur terre réunies, additionnés à tout l’immobilier mondial. En fait ça nous prendrait encore des centaines d’années d’inflation pour arriver à ça.

    Je call quand même bullshit sur le trilion (10^12) de l’ISA. La démonstration est trop facile à faire que ce chiffre est trop élevé pour simplement croire que ce chiffre est plausible. Et le motif est trop évident pour être ignoré. Le chiffre n’est pas seulement faux, il n’est même pas plausible.

    Quant à sa petite démonstration, c’est bien joli, mais pour arriver à 1 trilion, ça prendrait une crosse chaque seconde, et que chacune de ces crosses coûtent 31,700$. Un peu moins une année bissextile. Est-ce que ça te semble toujours plausible? Penses-y, une fraude de carte de crédit ou de compte chèque d’un particulier peut valoir combien? 4000$? 5000$? Au max 20,000$. Maintenant ça t’en prend plusieurs par seconde, chaque seconde, sans prendre un break, sans échouer une seule fois, sans tomber sur un deadbeat qui a pas une cenne, sans te faire prendre. Je ne crois pas qu’un blackberry aurait assez de mémoire pour garder une année de données 🙂

  27. @ nelson

    Je vais faire mon tâtillon, mais j’ai bien peur que vous confondiez devise et langue… De fait, ça n’a rien à voir avec la devise, mais plutôt avec la langue : billion et « billion » sont des faux amis. Lorsque vous rapportez :

    « on en est rendu, a-t-il soutenu, qu’il se vole par année, de par le monde, pour un trillion de dollars en propriété intellectuelle et en secrets d’entreprise »

    vous traduisez touts les mots de cette phrase correctement, sauf le chiffre. Pour faire une traduction correcte, vous auriez dû écrire

    « On en est rendu, a-t-il soutenu, qu’il se vole par année, de par le monde, pour un billion de dollars en propriété intellectuelle et en secrets d’entreprise »

    Bref, si vous écrivez en français, 10^12 s’écrit un billion, pas autrement.

    En ce qui concerne Symantec, il me semble que le fait qu’ils paient vos dépenses à Las Vegas prouve bien qu’ils ont un intérêt à vous faire écrire sur le sujet, non? Sinon, pourquoi le feraient-ils? Votre honnêteté au sujet de la divulgation de cet intérêt est tout à votre honneur, d’ailleurs.
    Cela ne veut pas dire que ce qu’ils affirment est faux, mais disons qu’un brin scepticisme est tout à fait de circonstance.

    • @ jean_richard

      Oui je pense que vous avez raison. J’ai fait comme pour les galons US et ceux du Canada.

      Vous voyez ce que je voulais dire l’autre jour quand j’ai parlé du travail journalistique sur pression et sans filet. On doit fournir dans un contexte pressé pressé et il n’y a plus personne ne nous relit. Après, la moitié du débat ne parle pas du sujet que vous avez voulu lancer, mais de votre coquille/faute/gaffe. Frustrant, mais c’est désormais ainsi.

  28. Bon. Les experts en chiffres et langues… Écrivez donc à Nelson à son adresse courriel. Ce serait plus respectueux. Une erreur, ça arrive. Les commentaires, ça devrait être pour ajouter quelque chose à la chronique.

  29. Millions, trillions, zillions, métrique, anglaise, peu importe, c’est tout de même énorme.
    Mais est- ce exacte? Est-ce vraiment important que ce soit « exacte »?
    Je ne pense pas. On s’en fout en fait. C’est des chiffres qui sont tellement loin de nous. Aucune commune mesure avec notre petite vie d’individu branché.

    Par contre, n’est-ce pas un peu beaucoup plausible toute cette menace que ces experts nous envois à la figure?
    Si un « ti-clin » est capable de trouver sur le net un petit programme capable de « cracker » un clé WEP d’un sans-fil mal protégé et d’utiliser cette connexion pour son usage personnelle, on peut facilement imaginer ce qu’un expert peut faire dans un système même bien protégé.

    Je pense que le message que Symantec envois, bien que « sensationalisé », n’en soit pas moins d’actualité et la menace bien réelle. Qu’à notre niveau individuel on ne se sente pas interpellé par ça, c’est comprenable, ce genre de menace est tellement loin de nous. Le scepticisme est comprenable.

    Et outre la valeur monétaire du piratage informatique, pour moi, c’est aussi la tranquillité d’esprit de savoir que ce que je regarde sur Internet est aussi valide et non truffé de fausses informations et que la page internet que je désire visualiser est belle et bien la bonne page et non un page hackée. La sécurité c’est aussi pour ça.

    @Nelson

    Tu serais quasiment prêt pour travailler au Cirque du Soleil.
    « Mesdames, messieurs, pour ce prochain numéro de haut voltige, le journaliste techno le plus téméraire, n’utilisant que son iPhone et une connexion 3G de Rogers (en itinérance), Nelson ‘the roaming journalist’ et son numéro de chronique techno avec photos et hyperliens. Le tout sans filet et sous pression. »
    « Veuillez noter que les frais de ce numéro ont été assumés par La Forêt Du Grand Méchant Loup, fière commanditaire du valeureux chroniqueur. Ainsi que par tout autre organisation ou entreprise s’offrant un ragout annuel médiatisé. »

    Calp! Clap! Clap! La foule en délire.

    (Ben oui, j’me fout un peu de ta gueule, Nelson. Mais c’est sans méchanceté, promis.)

  30. @ claude_c

    Au contraire! Je crois que les commentaires apportent quelque chose à la chronique puisqu’il est question des chiffres/traduction/systèmes de notation/etc. Et Nelson semble s’être fait à l’idée, alors…

    Il y a en effet deux systèmes de notation des nombres à plusieurs zéros. Claude Piché en avait fait une chronique il y a quelques années dans La Presse version papier. Chronique que je trimballe dans un cartable à l’école (pour montrer aux sceptiques) et qui décrit l’utilisation différente des ces zéros (Je ne parle pas de Charest!) en Amérique du Nord et en Europe. (Il faudra que je pense à numériser pour utilisation plus pratique.)

    L’erreur est humaine… Vive Nelson!

    Le Dauphin zéro de trop!

  31. Bonjour!
    Intéressant comme débat, on s’obstine (en bon français l’emploi de « on » exclus la personne qui parle) sur les chiffres et la valeur des faits exposés par Nelson et personne ne parle vraiment de ce qu’ils font ou planifient de faire pour que leur environnement soit sécuritaire.

    La sécurité va bien au delà de la simple installation de systèmes ou de logiciels de sécurité. C’est avant tout une question d’attitudes, de culture d’entreprise, de procédés visant à s’assurer que les informations qui sont entre nos mains ou qui nous ont été confiées ne puissent tomber entre les mains de groupes ou d’individus non autorisés à y avoir accès. Cela englobe tous les aspects d’une entreprise, allant du simple comportement des individus, de l’utilisation des bons équipements jusqu’à la gestion des déchets, parce que les poubelles aussi renferment certains secrets. 😉

    Pour ceux qui sont réellement intéressé à s’informer, comprendre et agir sur la sécurité de leur entreprise ou organisme, je vous suggère ces sites (désolé si c’est en anglais):

    Un organisme américain d’information et de formation en sécurité sans buts lucratifs: http://www.sans.org/

    Un organisme canadien de recherches en sécurité : http://www.crc.gc.ca/en/html/crc/home/research/network/system_apps/network_systems/network_security/network_security

    Pour monsieur et madame Tout le Monde, la section spéciale de Consumer Reports: http://www.consumerreports.org/cro/electronics-computers/resource-center/cyber-insecurity/cyber-insecurity-hub.htm?resultPageIndex=1&resultIndex=5&searchTerm=security

    Pour connaitre les dernières menaces pour Windows, un excellent blogue avec infos venant de Microsoft: http://blogs.technet.com/srd/

    Un autre organisme américain en cyber-sécurité : http://cisecurity.org/en-us/?route=default

    Pour ceux qui sont unilingue français, la base en sécurité informatique se trouve ici : http://fr.wikipedia.org/wiki/Portail:S%C3%A9curit%C3%A9_informatique

    Et un court article en français pour ceux qui ont jamais le temps pour la sécurité: http://www.commentcamarche.net/contents/secu/secuintro.php3

    La sécurité est une affaire de gros bon sens, de respect des gens qui nous confient des informations et d’une touche de paranoïa appliquée aux bons endroits. 😉

    Nelson disait « ça fait peur », et j’ajouterais que, pour la plupart d’entre vous, vous n’avez encore rien vu. (avec rire de Vincent Leonard Price II dans Thriller) : http://en.wikipedia.org/wiki/File:Vincent_Price_Thriller.ogg

    Bonne fin de journée !!!! et dormez bien !!!! 😉

  32. Larry Clinton est américain!

    Alors, on doit faire « THINK BIG ».

    Beaucoup de superlatifs pour tenter de faire comprendre aux administrateurs d’entreprises qu’il y a des menaces à partir du moment où on se sert du NET.
    L’informatique en vase clos, c’est l’ère des dinosaures.

Laisser un commentaire

Entrez vos coordonnées ci-dessous ou cliquez sur une icône pour vous connecter:

Logo WordPress.com

Vous commentez à l'aide de votre compte WordPress.com. Déconnexion / Changer )

Image Twitter

Vous commentez à l'aide de votre compte Twitter. Déconnexion / Changer )

Photo Facebook

Vous commentez à l'aide de votre compte Facebook. Déconnexion / Changer )

Photo Google+

Vous commentez à l'aide de votre compte Google+. Déconnexion / Changer )

Connexion à %s