OK
Accueil > Communauté > Forum Général

Des ONG inquiètes du rachat de Fitbit par Google



simcour simcour
08/07/2020 21:53:43
0

Il est incroyable de voir qu'il y a des gens faisant confiance aux infrastructures commercial de stockage dans le cloud.

Il n'est pas compliqué d'avoir son propre serveur SSH si c'est nécessaire pour stocker des infos.

Bien sûr ce n'est pas sécurisé à 100% puisque rien ne l'est mais c'est mieux que le cloud.

Avec un serveur SSH on peut mettre en place un système de sécurité que je vais décrire ci-dessous.

Ici je parle de choses en lien avec la sécurité informatique : https://www.abcbourse.com/forums/msg680567_securite-numerique--cybersecurite


1.Les ordis utilisé doivent uniquement servir à se connecter au serveur SSH pour plus de sécurité dans l'idéal.


2.Les ordis pour se connecter et le serveur SSH ont un pare-feu logiciel autorisant uniquement les connexions vers le serveur SSH pour celui des postes clients et uniquement depuis les hôtes autorisé pour le serveur SSH (Filtrage Internet Protocol ou IP et MAC ou Media Access Control + éventuellement d'autres types de filtrage sans oublier d'autoriser uniquement les ports utiles ainsi que les services utiles).


3.Les postes clients et le serveur SSH ont un pare-feu matériel activé dans le modem-routeur qu'ils utilisent qui ont la même configuration que les pare-feu matériels.

Si plusieurs postes client sont connecté au même réseau local ils devront avoir une IP locale fixe et le réseau local devra accepter maximum le nombre d'utilisateur du réseau.

Par exemple si il y a quatre ordi soit quatre utilisateurs ayant accès au réseau local le modem-routeur ne pourra pas attribuer plus de 4 IP.

Mais bon l'idéal est un modem-routeur pour chaque poste client soit un réseau pour chaque poste client même ils sont situé au même endroits bien que ce soit plus cher pour plus de sécurité envers les postes clients. L'avantage supplémentaire est que chaque poste aura une IP publique différentes tandis que ce n'est pas le cas si tous les postes sont connecté au même modem-routeur que l'on appelle aussi box.


4.Chaque poste clients sera connecter à un commutateur lui même connecter à un autre commutateur connecté à un autre commutateur qui sera connecté à la box donnant accès à Internet.

Si une personne est assez intelligente pour respecter les règles qui est de se servir de son PC uniquement pour se connecter au serveur SSH et qu'elle n'essaye pas de contourner les sécurités mises en place pour faire autre choses et que des techniques sont utilisé pour empêcher l'introduction d'un programme malveillant comme le fait que chaque poste est sous surveillance en permanence et de même pour le serveur SSH , l'utilisateur n'a pas accès au compte root qui est le compte admin sur les systèmes basé sur Linux et de même pour le serveur SSH , mot de passe pour le BIOS ou UEFI inconnu de l'utilisateur ainsi que le GRUB si le poste utilise GRUB et pareil pour le serveur SSH , Pas de connexions sans fils , Les mots de passe de l'ordi et du serveur SSH sont des mots de passe dit fort parce ils sont longs et contiennent des minuscules des majuscules ainsi que des chiffres et des caractères spéciaux voir des caractères étrangers , Une procédure pour utiliser les supports amovibles tel les CD comme demander le lecteur externe à la sécurité et signer un registre puisque les lecteurs USB et autres ont était physiquement retirer de l'ordi et qu'il faut une autorisation de la sécurité à chaque fois pour mettre un port USB ainsi que le lecteur CD et de même pour le serveur SSH , Mise à jour systématiques des programmes que ce soit pour les postes clients où le serveur etc...

Il sera quasiment impossible de pirater un poste client à moins de compromettre le serveur SSH (Il faudra que le poste client télécharge un fichier infecté à son insu sur le serveur SSH) si on mets en place toutes ces protections et le fait que le poste client est connecté à un commutateur connecté à un commutateur connecté à un autre commutateur connecté au modem-routeur pour se connecter à Internet renforce la sécurité puisque un attaquant potentiel connaissant uniquement l'IP publique de la box devra réussir à pirater la box puis un commutateur , un autre commutateur et encore un commutateur puis enfin le poste client pour atteindre un poste client.

Qui se ferait chier à vous pirater à part le service de renseignement d'un État faisant de l'espionnage industriel , technologique , scientifique ou autres pour vous pirater si il y a tant de barrières.


5.Avec le poste client il faudra se connecter à son compte sur le serveur SSH directement accessible depuis Internet.


6.On est connecter à son compte sur le serveur SSH mais la seule chose que l'on peut faire est d'utiliser la commande pour changer de compte à cause des règles de sécurité.

On ne pourra pas se connecter directement à ce deuxième compte depuis Internet et le système vous obligera à vous connecter à votre premier compte pour que la connexion au second soit possible.


7.Vous êtes connecté à votre second compte. Maintenant il faut se connecter à votre troisième compte qui vous permettra de vous connecter à un autre serveur SSH qui est uniquement connecté au serveur SSH auquel vous êtes actuellement connecté.


8.Vous êtes connecté à votre troisième compte sur le premier serveur SSH accessible directement depuis Internet.


9.À partir du troisième compte sur le serveur accessible directement depuis Internet. Vous vous connectez à un autre serveur SSH qui n'est pas connecté directement à Internet puisque il est uniquement connecté au serveur SSH qui est directement accessible depuis le net.


10.Répétitions des étapes 7 et 8 pour le second serveur SSH.


11.À partir du troisième compte sur le second serveur SSH qui est connecté uniquement au premier serveur SSH.

Vous vous connectez à un troisième serveur SSH qui est uniquement connecté au second serveur SSH.


12.Répétitions des étapes 7 et 8 pour le troisième serveur SSH.


13.À partir du troisième compte sur le serveur SSH qui est uniquement connecté au second serveur SSH.

Vous pourrez faire ce que vous avez à faire qui est de télécharger des fichiers qui ont était chiffré plusieurs fois avec différents programmes et algorithmes de chiffrements.


14.Une fois que les fichiers vous intéressant ont était télécharger vous pourrez vous déconnectez de tous les serveurs et débrancher votre connectique Internet de votre ordi puis appliquer la procédure de sécurité pour obtenir un port USB et un lecteur CD/DVD et utiliser un CD ou DVD non réinscriptible pour des raisons de sécurité.

Vous vous en servirez pour copier les données téléchargées et les utiliser sur un autre ordi que celui utilisé pour utiliser les serveurs SSH.

Vous lirez les données sur un ordi qui n'est jamais connecter à un réseau informatique situé dans une cage de faraday pour éviter l'espionnage par captations des ondes électro-magnétiques qui aura d'autres protections tel le fait qu'il sera situé dans un sous-sol et que tout dans l'ordi sera blindé.

Dans l'idéal le poste utilisé pour accéder aux serveurs SSH aura aussi des protections contre la captation des ondes électro-magnétiques.

Une fois les données copié sur l'ordi qui ne se connecte jamais à un réseau informatique.

Le CD ou DVD devra être détruit. Pour envoyer des données à partir de SSH à d'autres utilisateurs il faudra faire la même chose dans l'autre inverse et donc utiliser un CD ou DVD pour copier des données de l'ordi jamais connecté à l'ordi qui se connecte à Internet etc...



Dit comme ça. Ça paraît difficile. Mais si moi qui est loin d'être un professionnel de la sécurité informatique arrive à penser à ce genre de choses. Les entreprises doivent être capable d'y penser.

J'aimerais rajouter qu'il faut que chaque serveurs SSH et que chaque postes clients utilisés ait un système d'exploitation type Linux ou BSD.

Pour complexifier le tout chaque serveur SSH peut avoir une distribution Linux ou BSD différentes.

Par exemple le premier serveur SSH sera sous Debian (Linux) , le deuxième sous Fedora (Linux) , le troisième sous TrueOS (BSD).

Soyons fous et si chaque postes clients avait un système d'exploitations différents.

Dans notre exemple il y a quatre postes et donc l'un pourrait avoir DragonFly BSD , un autre aura MINIX (Linux) , l'avant-dernier aura NetBSD et le dernier aura Ubuntu (Linux).

Pour plus de sécurité vu qu'une interface graphique est inutile pour les serveurs et que c'est inutiles pour se connecter à un serveur SSH.

Tous les postes clients et serveurs aurait uniquement une interface en ligne de commande.

Une interface en ligne de commande est suffisante pour copier des données sur un CD ou DVD.

Pour les plus paranos chaque serveurs SSH pourrait utiliser un programme différents pour mettre en place le serveur.

Le premier pourrait utiliser OpenSSH , Dropbear pour le deuxième et lsh pour le dernier.

Pour les plus paranos chaque postes clients pourrait utiliser un programme différents pour se connecter aux serveurs SSH.

Le premier poste utiliserait OpenSSH , PuTTY pour le deuxième , un client SSH interne à votre entreprise pour le troisième , lsh pour le dernier.

Pour les plus paranos vous pourrez utiliser des box d'un opérateur différents pour chaque box utilisé par les quatre différents postes et des commutateurs de différents modèles et marques.
  
Répondre
simcour simcour
08/07/2020 21:24:15
0

jamariuscky , je me demande pourquoi des individus utilisent ce genre de trucs qui ne servent à rien.

Ça me fait penser aux gens utilisant des services de cloud alors que l'on peut s'en passer.

On peut très bien stocker ses données sur une clé USB ou un autre support physique et s'il est nécessaire de les partager on peut crée un serveur SSH. Je te raconterais dans mon prochain message ce que l'on peut faire.


Au lieu d'utiliser les services de grandes sociétés pour envoyer et recevoir des courriels à but professionnel.

On peut crée une infrastructure avec ses propres serveurs et postes clients qui seraient plus sûr que les services des grandes sociétés.

Dans mon prochain message j'expliquerais comment crée une infrastructure sécurisé avec des serveurs SSH (La sécurité à 100% n'existe pas) et si on veux échanger des emails on peut s'en inspirer pour crée des serveurs SMTP (Wikipédia t'expliquera ce que c'est) et IMAPS (Wikipédia t'expliquera ce que c'est) qui communiqueraient uniquement avec des adresses courriels autorisés si c'est pour la communication au sein de l'entreprise.

Pour la communications avec d'autres entités que ce soit des fournisseurs ou clients il faudrait une infrastructure commune dans l'idéal pour chaque client et fournisseur mais en pratique ce serait coûteux et anti-écologique et il faut donc une infrastructure pour communique avec tout les fournisseurs et une autre pour les tout les clients.

Si une société à 100 clients et 20 fournisseurs il serait délicat d'avoir à gérer 120 infrastructures différentes et il faut donc réduire à une infrastructure pour les clients et une autre pour les fournisseurs fonctionnant avec un système d'hôte autorisé sur filtrage MAC et IP + filtrage sur l'adresse email des expéditeurs et destinataires et que les deux infrastructures soit physiquement séparé (Elles peuvent être dans un même lieu mais il ne doit pas y avoir de connexions informatique entre les deux que ce soit direct ou indirect) pour empêcher tout contact.


On peut utiliser un service gratuit de courriel type "Hotmail , Mailo , Yahoo Mail etc..." pour les communications ne concernant pas les clients , fournisseurs ou employés de son entreprise vu que ces conversations ne sont pas sensibles.


Je pense qu'il faut une adresse courriel pour envoyer des messages à ses employés et une autre pour recevoir leurs réponses (Séparer l'expédition des messages et réponse à ceux-ci pour des raisons de sécurité et donc une adresse pour envoyer des message et une autre pour en recevoir).

Je pense qu'il faut une adresse courriel pour envoyer des messages à ses fournisseurs et une autre pour recevoir leurs réponse.

Je pense qu'il faut une adresse courriel pour envoyer des messages à ses clients et une autre pour recevoir leurs réponse.

Je pense qu'il faut une adresse courriel pour envoyer des messages à ceux qui ne sont ni employés , ni fournisseurs , ni clients et une autre pour recevoir leurs réponse même si une est suffisante vu que ce n'est pas sensible ou pas trop sensible.

Ça fait un total de 8 adresses courriels à gérer vu qu'il y en a deux (Une pour l'envoi et une autre pour recevoir) par catégorie de contact (Employés , Clients , Fournisseurs , Autres).


Dans l'idéal il faut 8 ordinateurs soit un pour chaque chose (Un pour les envois de messages aux employés et un autre pour recevoir leurs réponses , De même pour les fournisseurs , De même pour les clients , De même pour les autres) pour plus de sécurité en cas de compromission de l'un d'eux mais c'est anti-écologique.

On peut sinon se contenter de 4 (Un pour les contacts avec les employés , Un autre pour ceux avec les fournisseurs , Un autre pour ceux avec les clients , Un autre pour ceux avec les autres).

On peut aussi se contenter de 3 (Un pour les contacts avec les employés qui sont les messages les plus sensibles , Un autre pour les fournisseurs et clients , Un autre pour les autres).

Bref , il y a pleins de possibilités.

  
Répondre
jamariuscky jamariuscky
02/07/2020 09:38:31
0

Il y a une solution : c'est de ne pas utiliser ces produits connectés...

  
Répondre
jamariuscky jamariuscky
02/07/2020 09:38:31
0


Des ONG ont exprimé leurs inquiétudes sur l'acquisition par Google de Fitbit, l'un des leaders mondiaux des objets connectés spécialisés dans les activités sportives, qui menace selon elles la protection des données personnelles et risque d'accroitre la position dominante du géant américain (AFP/Archives/Robyn Beck)

Une vingtaine d'ONG ont exprimé jeudi leurs inquiétudes sur l'acquisition par Google de Fitbit, l'un des leaders mondiaux des objets connectés spécialisés dans les activités sportives, qui menace selon elles la protection des données personnelles et risque d'accroitre la position dominante du géant américain.

"Les régulateurs du monde entier --en particulier ceux qui sont concernés par le respect des règles antitrust et la confidentialité des données-- doivent accorder (à cette opération) la plus grande attention", écrivent dans un communiqué commun ces organisations, dont le Beuc, le Bureau européen des unions de consommateurs, l'Open Markets Institute ou la Consumer Federation of America.

Ce rachat constitue selon elles "un test pour savoir comment les régulateurs abordent l'immense pouvoir que les géants technologiques exercent sur l'économie numérique et leur capacité à étendre leurs écosystèmes sans contrôle".

Elles estiment que "Google pourrait exploiter les ensembles de données de santé et de localisation exceptionnellement précieux de Fitbit, ainsi que ses capacités de collecte de données, pour renforcer sa position déjà dominante sur les marchés numériques tels que la publicité en ligne" ou encore les marchés de la santé.

Elles invitent les autorités chargées de se prononcer sur ce rachat à "se méfier de toute promesse" qui serait faite "de restreindre l'utilisation des données". "Les régulateurs doivent partir du principe que Google utilisera en pratique l'ensemble des données uniques, hautement sensibles et actuellement indépendantes de Fitbit en combinaison avec les siennes", affirment-elles.

Google a tenté de dissiper ces inquiétudes. Un porte-parole de la firme américaine a indiqué à l'AFP que Google s'était engagé "à ne pas utiliser les données Fitbit sur la santé et le bien-être pour les publicités de Google" et promis "de donner aux gens le choix et le contrôle de leurs données".

L'entreprise a également déclaré qu'elle serait "transparente sur les données collectées et sur les raisons de leur collecte". Et elle a affirmé "ne pas vendre d'informations personnelles à qui que ce soit".

Google avait annoncé début novembre le rachat de Fitbit pour 2,1 milliards de dollars, la transaction devant être conclue en 2020.

L'opération a été notifiée le 15 juin à la Commission européenne, gardienne de la concurrence dans l'UE, qui pour l'instant a jusqu'au 20 juillet pour rendre sa décision.

Précurseur dans la commercialisation à grande échelle des montres connectées et autres capteurs d'activité physique permettant de mesurer le nombre de pas faits quotidiennement, le nombre de calories absorbées ou encore le nombre d'heures de sommeil recommandées, Fitbit était en perte de vitesse depuis quelques années, devancée par Apple et rattrapée par Samsung.

Le Comité européen de la protection des données (EDPB), organe européen indépendant qui regroupe les régulateurs européens des données personnelles, avait déjà exprimé en février ses inquiétudes.

"Il est à craindre que la poursuite de la combinaison et de l'accumulation de données personnelles sensibles concernant les personnes en Europe par une grande entreprise de technologie puisse entraîner un haut niveau de risque pour les droits fondamentaux au respect de la vie privée et à la protection des données personnelles", était-il noté dans son communiqué.

© 2020 AFP

  
Répondre

Forum de discussion Général

202007082153 791498

Investir en Bourse avec Internet

Ma liste